Minecraft modlarındaki kötü amaçlı yazılımlar: Hikaye devam ediyor

Google Play üzerinde, kötü amaçlı reklam yazılımları gizleyen daha çok Minecraft mod paketi ve bir dosya kurtarma programı bulduk.

Yakın zamanda Google Play üzerinde bulduğumuz 20 uygulamayı bildirmemize rağmen, ki bunlar Minecraft mod paketleri olarak gizlenmişti ve en popüler olanını bir milyondan fazla kişi indirmişti, Minecraft temalı kötü amaçlı yazılımlar Google Play’de karşımıza çıkmaya devam ediyor. Bu uygulamalar söz verdikleri şeyleri yapmak yerine, kullanıcıların akıllı telefonlarını ve tabletlerini oldukça rahatsız edici reklam araçlarına dönüştürdü.

Açıkçası, bu uygulamalar bir kullanıcı açısından bakılınca da son derece işe yaramazdı. Normal çalışmak yerine ilk açıldıktan sonra simgelerini gizliyor ve tarayıcıyı açıp flash reklamlar gösteriyorlardı. Bazen de YouTube’dan videolar oynatıyor veya Google Play’den uygulama sayfaları açıyorlardı. Örneğin bizim incelediğimiz sürüm her iki dakikada bir tarayıcıyı açıp cihazı kullanılamaz hale getiriyordu. Bu daha da rahatsız ediciydi çünkü kullanıcının neler döndüğünü, hangi uygulamanın buna sebep olduğunu ya da bunu nasıl durduracağını anlayabilmesi çok zordu.

Google’ı bulduklarımız hakkında bilgilendirdik ve kötü amaçlı uygulamalar kısa bir süre içinde mağazadan kaldırıldı.

Kötü amaçlı uygulamaların yeni sürümleri

Google’ın uygulama mağazasından kaldırınca kötü amaçlı yazılımdan tamamen kurtulmuş olmuyoruz. Genelde uygulamayı yapanlar farklı isimler ve geliştirici hesapları kullanarak uygulamanın biraz daha yeni ve farklı sürümlerini yeniden yüklüyor.

Bu döngüye VK kullanıcı hesaplarını çalan VK MusicTruva Atı’nı örnek verebiliriz. Bu uygulama bildirilmiş olmasına rağmen birkaç yıl boyunca Google Play’de kalmaya devam etti.

Bunu da aklımızda tutarak, bunları bildirmemizin bir işe yarayıp yaramadığını öğrenmek için Google Play üzerindeki zararlı Minecraft modlarına tekrar baktık. Bunun için benzer uygulamaları arattık ve birkaç tane bulduk.

Yeni, geliştirilmiş sürümler

İlk olarak, yukarıda bahsettiğimiz yöntemi kullanarak fazladan özellikleri olan birkaç uygulama bulduk. Genellikle uygulamalar tam ekran reklamlar göstermek için saldırganlardan anlık mesaj komutları alıyordu (kullanıcı etkileşimine gerek yoktu). Uygulamalar ayrıca fazladan bir modül indirmeye tasarlanmıştı. Bu modül uygulamaya daha çok işlev kazandırıyordu ve uygulamanın simgelerini gizlemesini, tarayıcıyı çalıştırmasını, YouTube videoları oynatmasını, veya Google Play’den uygulama sayfaları açmasını sağlıyordu.

Bu sefer tehlikeli uygulamalar arasında Minecraft modlarına ek olarak, Dosya Kurtarma – Silinen Dosyalarınızı Kurtarın adında bir dosya kurtarma programı bulunuyordu. Şubat 2021’e kadar Google Play’de kalan sürüm 1.1.0 kötü amaçlı içerik barındırıyordu. Bu versiyon daha sonra kaldırıldı. Google Play’de şu anda bulunan sürüm 1.1.1 güvenli.

Google Play’deki, paralı abonelik özelliği olan basitleştirilmiş sürüm

İkinci olarak, temel işlevleri olan birkaç Minecraft mod paketi bulduk. Bu işlevler sayesinde uygulamalar, aktif olmadıkları zaman bile arada sırada tam ekran reklamlar gösteriyordu ama simgelerini saklayamıyor ve tarayıcıyı, YouTube’u veya Google Play’i çalıştıramıyordu. Daha çok para kazanabilmek için uygulama içi satın alma işlevi kullanılıyordu.

Google Play’deki kötü amaçlı Minecraft mod paketlerinden biri

 

İlginç bir şekilde, uygulamalardan birinin “temel” versiyonu şu anda mağazada mevcut ve uygulama içi satın alma işlevi bulunuyor; ama birkaç ay önce sadece ek olarak indirilebilen modülü kullanabiliyordu. Buradan, uygulamaların sahiplerinin para kazanma yöntemlerini sırayla denemeye devam ettikleri sonucuna vardık.

Facebook-hesaplarını-çalan sürüm

Üçüncü olarak, yukarıda belirttiğimiz kötü amaçlı işlev ana işlevi olmayan birkaç uygulama bulduk. Örneğin bir süre önce Google Play’de sahte birer Madgicx reklam ağı uygulaması ve TikTok reklam yönetimi uygulaması vardı. Bu uygulamalar sürekli olarak kullanıcının Facebook hesap bilgilerini istiyordu ve kullanıcı bilgileri girdiği takdirde hesabı çalıyordu.

Başka mağazalardaki uygulamalar

Son olarak, Google kendi mağazasından kaldırmış olsa da, başka mağazalarda böyle uygulamalara ulaşmak mümkün. Bu şaşırtıcı bir durum değil çünkü Google bile, ortalama bir şirketten çok daha fazla kaynağı olmasına karşın, bu kadar çok uygulamayı her zaman anında yönetemiyor. Yine de, diğer mağazaların güvenli olmadığını kanıtladığı için bu durumdan da bahsetmek istedik. Herhangi bir nedenden dolayı hala bu mağazaları kullanmak istiyorsanız, en azından sizi tehlikeli uygulamalara karşı koruması için güvenilir mobil antivirüs yazılımı indirin.

Bu hikayeden ve resmi Google uygulama mağazasına giren kötü amaçlı yazılımlarla ilgili diğer birçok bölümde görebileceğiniz gibi, uygulamalarınızı sadece Google Play’den indiriyorsanız bile telefonunuzda bir antivirüs programı olursa çok daha güvende olursunuz.

İpuçları