Geçtiğimiz Temmuz ayında Doctor Web’deki meslektaşlarımız Google Play’de bir Truva arka kapısı tespit etti. Bu tür keşifler her gün gerçeklemese de bu bir ilk değil: Araştırmacılar Google Play’de gerçekten de bazı Truva atları bulabiliyor, hatta bazen yüzlercesini aynı anda buldukları bile oluyor.
Öte yandan bu Truva atı, Google Play’de bulunan kötü amaçlı yazılımlara göre şaşırtıcı derecede karmaşık olduğu için uzmanlarımız konuyu daha derinden ele almaya karar verdi. Kendi araştırmalarını yürüttüler ve bu kötü amaçlı yazılımın 2015’in sonundan bu yana devam eden kötü amaçlı bir girişimin bir parçası olduğunu keşfettiler (bu girişime PhantomLance diyoruz).
PhantomLance ne yapabilir
Uzmanlarımız, PhantomLance’in birden fazla sürümünü tespit etti. Artan karmaşıklıklarına ve ortaya çıkma zamanlarındaki farklılıklara rağmen yapabildikleri açısından birbirlerine oldukça benziyorlar.
PhantomLance’in ana hedefi, kurbanın cihazındaki gizli bilgileri hasat etmek. Bu kötü amaçlı yazılım, sahiplerine lokasyon verilerini, arama kayıtlarını, metin mesajlarını, kurulu uygulamaların listesini ve enfekte akıllı telefon hakkındaki tüm bilgileri sunabiliyor. Dahası, yazılımın fonksiyonları C&C sunucusundan ilave modüller eklenerek istendiği anda genişletilebiliyor.
PhantomLance yayılımı
Google Play, bu kötü amaçlı yazılımın ana yayılım platformu. Üçüncü taraf havuzlarda da bu yazılıma rastlandı ama bu havuzların çoğu yalnızca resmi Google App Store’un birer yansıtmasıydı.
Bu Truva atının bir sürümüyle enfekte olmuş uygulamaların 2018 yazından bu yana mağazada görünmeye başladığını kesin olarak söyleyebiliyoruz. Kötü amaçlı yazılım, font değiştirme, reklam kaldırma, sistem temizleme gibi çeşitli uygulamalarda gizli halde bulundu.
Elbette o zamandan bu yana PhantomLance’i içeren uygulamalar Google Play’den kaldırıldı, fakat yansıtmalarda hala bazı kopyalar bulunabiliyor. Bu yansıtma havuzlarının kurulum paketlerinin doğrudan Google Play’den indirildiğini, dolayısıyla kesinlikle virüssüz olduğunu belirtmeleri ise oldukça ironik.
Siber suçlular oyuncaklarını Google’ın resmi mağazasına sokmayı nasıl başardı? Birincisi, saldırganlar orijinalliği artırmak için GitHub’da her bir geliştirici için profil oluşturdular. Bu profiller yalnızca bir tür lisans sözleşmesi içeriyordu. Yine de GitHub’da profil sahibi olmak, görünüşe bakılırsa geliştiricilere saygınlık kazandırmıştı.
İkincisi, PhantomLance geliştiricilerinin mağazaya ilk yükledikleri uygulamalar kötü amaçlı değildi. Programların ilk sürümleri hiçbir şüpheli özellik içermediği için Google Play kontrollerini rahatça geçtiler. Kötü amaçlı özellikler, bir süre sonra getirilen güncellemelerle uygulamalara eklendi.
PhantomLance’in hedefleri
Yayıldığı coğrafyayı ve internet mağazalarındaki Vietnamca sürümleri göz önünde bulundurduğumuzda, PhantomLance yaratıcılarının ana hedefinin Vietnamlı kullanıcılar olduğuna inanıyoruz.
Ayrıca uzmanlarımız, PhantomLance’i Vietnamlı kullanıcıları hedef alan birçok kötü amaçlı yazılımdan sorumlu OceanLotus grubuyla ilişkilendirecek pek çok karakteristik özelliğe de rastladı.
Daha önce analiz edilen OceanLotus kötü amaçlı araçları arasında bir macOS arka kapısı ailesi, bir Windows arka kapısı ailesi ve 2014-2017 yılları arasında etkinliği tespit edilen bir dizi Android Truva atı yer alıyordu. Uzmanlarımız PhantomLance’in bu Android Truva atlarının 2016’da başlayan sürümlerinin izinden gittiği sonucuna ulaştı.
PhantomLance’den nasıl korunulur
Android’e yönelik kötü amaçlı yazılımlarla ilgili yazılarda sık sık tekrar ettiğimiz bir ipucu, uygulamaları yalnızca Google Play’den kurmanız. Fakat PhantomLance, kötü amaçlı yazılımların bazen internet devlerini bile kandırabileceğini bir kez daha gösterdi.
Google, uygulama mağazasını temiz tutmak için çok çaba harcıyor. Aksi takdirde şüpheli yazılımlarla çok daha sık karşılaşırdık, fakat şirketin yapabilecekleri sınırsız değil ve saldırganlar yaratıcılıklarını ortaya koyuyor. Bu yüzden bir uygulamanın yalnızca Google Play’de olması güvenli olduğunu garanti etmiyor. Daima diğer faktörleri de göz önünde bulundurun:
- Güvenilir geliştiricilerin uygulamalarını tercih edin.
- Uygulama puanlarına ve kullanıcı yorumlarına dikkat edin.
- Bir uygulamanın istediği izinleri dikkatle inceleyin ve çok fazla izin istediğini düşünüyorsanız reddetmekten çekinmeyin. Örnek vermek gerekirse, bir hava durumu uygulamasının kişilerinize ve mesajlara erişmeye ihtiyacı olmadığı gibi, bir fotoğraf filtresinin de konumunuzu öğrenmesine gerek yoktur.
- Android cihazınıza yüklediğiniz uygulamaları güvenilir bir güvenlik çözümüyle tarayın.
PhantomLance hakkında daha fazla teknik bilgi edinmek için uzmanlarımızın Securelist’teki detaylı raporunu inceleyebilirsiniz.