Abonelik Truva Atları, Android kullanıcılarının cebindeki paraya el koymak için en bilinen yöntemlerden birini kullanıyor. Kullanışlı bir uygulama kisvesi altında akıllı telefonlara sızdıktan sonra gizlice ücretli hizmetlere abone oluyorlar. Çoğunlukla abonelik gerçek ancak kullanıcıların ihtiyaç duymadığı bir hizmete ait oluyor.
Bu tür Truva Atlarının yaratıcıları komisyonla para kazanıyor, yani kullanıcının harcadığı para üstünden belirli bir yüzde alıyorlar. Ücret genellikle cep telefonu hattına kesilse de bazı dolandırıcılık örneklerinde doğrudan banka kartından da alınabiliyor. İşte Kaspersky uzmanlarının geçtiğimiz bir yıl içinde gözlemlediği mobil abonelik Truva Atı örnekleri arasında en çok dikkat çekenler.
Ücretli abonelikler ve metin mesajlarındaki doğrulama kodları
Jocker ailesine ait Truva Atları genellikle Google Play üzerinden dağıtılıyor. Siber suçlular gerçekten kullanışlı olan bir takım uygulamalara kötü amaçlı kodlar ekledikten sonra bu uygulamaları farklı isimlerle tekrar mağazaya yüklüyorlar. Kullanılan uygulamalar arasında mesajlaşma, tansiyon kaydı tutma ya da belge tarama uygulamaları gibi uygulamalar yer alıyor. Google Play moderatörleri bu tür uygulamaları tespit etmeye çalışsa da buldukları uygulamaları mağazadan kaldırana kadar yerine yenileri geliyor.
Şimdi abonelik Truva Atlarının nasıl çalıştığına bakalım. Normalde kullanıcının bir hizmete abone olması için içerik sağlayıcının sitesine girip Abone Ol butonuna tıklaması gerekir. Hizmet sağlayıcılar otomatik abonelik girişimlerini önlemek için kullanıcıdan metin mesajıyla gönderilen bir kodu girerek amacını doğrulamasını ister. Ancak Jocker ailesine ait kötü amaçlı yazılımlar bu koruma yöntemini atlatmayı başarır.
Virüslü uygulama cihaza girdikten sonra çoğunlukla kullanıcıdan metin mesajlarına erişim talep eder. Ardından Truva Atı görünmez bir pencerede abonelik sayfasını açar, Abone Ol butonuna tıklamayı taklit eder ve doğrulama kodunu metin mesajlarından çalarak aboneliği gerçekleştirir.
Uygulama işlevlerinin metin mesajlarına erişim gerektirmediği durumlarda ise (örneğin bir belge tarama uygulamasına niye mesajlara erişim izni veresiniz?) Jocker ailesine ait abonelik Truva Atları bildirimlere erişim talep eder. Bu sayede doğrulama kodunu metin mesajı yerine gelen mesajın bildiriminden çalabilirler.
Abonelik Truva Atları CAPTCHA’yı nasıl atlatıyor
MobOk ailesine ait Truva Atları biraz daha karmaşık. Bunlar yalnızca mesaj veya bildirimlerden doğrulama kodlarını çalmakla kalmıyor, aynı zamanda otomatik abonelik girişimlerine karşı bir diğer koruma yöntemi olan CAPTCHA‘yı da atlatabiliyorlar. Truva Atı, resimdeki kodu anlayabilmek için resmi özel bir servise gönderiyor. Geçtiğimiz sene CAPTCHA tanıma hizmeti sunan tıklama çiftliklerinin faaliyetlerini araştırmıştık.
MobOk ailesi diğer açılardan Jocker ailesine ait Truva Atlarıyla benzer şekilde çalışıyor. MobOk pek çok örnekte bazı akıllı telefon modellerinde önceden yüklü olarak gelen uygulamalar, resmi olmayan WhatsApp modifikasyonları ya da APKPure adlı alternatif uygulama mağazası üzerinden Triada Truva Atının yükü olarak dağıtılıyor. MobOk taşıyan uygulamalar bazen Google Play’de de bulunuyor.
Resmi olmayan kaynaklardan yayılan abonelik Truva Atları
Vesub ailesine ait kötü amaçlı yazılımlar da resmi mağazalarda bir sebeple yasaklanan uygulamalar kılığında (örneğin YouTube’dan içerik indirme uygulamaları, Tubemate ve Vidmate gibi video yayını servisleri ya da GTA5’in resmi olmayan Android sürümü görünümüne bürünerek) şüpheli kaynaklardan dağıtılıyor. Aynı zamanda bu kaynaklarda Minecraft gibi popüler ve pahalı uygulamaların ücretsiz sürümleri olarak da karşımıza çıkabiliyorlar.
Vesub taşıyan uygulamalar, MobOk ve Jocker ailelerinin aksine genellikle kullanıcı için kullanışlı hiçbir özellik taşımıyor. Yüklenir yüklenmez üstte uygulamanın yüklendiğine dair bir pencere görüntülerken ilgili pencereleri kullanıcıdan gizleyerek istenmeyen aboneliği sayın alıyorlar. Bazı durumlarda MobOk taşıyan uygulamaların içinde kullanışlı bazı özellikler olabiliyor ama bunlar birer istisna.
Telefon numarasıyla oturum açma
GriftHorse.ae Truva Atları ise daha da basit. İlk defa çalıştırıldıklarında, görünüşte oturum açma amacıyla, kullanıcıdan telefon numarasını girmesini istiyorlar. Kullanıcı numarayı girip Oturum Aç butonuna tıklar tıklamaz abonelik başlatılıyor ve ücret mobil hesaplarına yansıtılıyor. Bu kötü amaçlı yazılım kendisini çoğunlukla silinen dosyaları kurtaran bir uygulama, fotoğraf ve video düzenleme uygulaması, telefon çaldığında feneri yakıp söndüren bir uygulama, navigasyon uygulaması, belge tarayıcı ya da çeviri uygulaması gibi çeşitli uygulamalar biçiminde gösteriyor. Gerçekte ise virüslü uygulamanın hiçbir kullanışlı işlevi yok.
Otomatik ödemeli abonelikler
GriftHorse.l abonelik Truva Atları, isimleri öncekiyle benzer olsa da farklı bir yol izliyor: Tekrar eden ödemeleri olan abonelikleri kullanıyorlar. Bu durum resmi olarak kullanıcının doğrudan onayıyla gerçekleşse de kurbanlar düzenli otomatik ödeme talimatı verdiklerini fark edemeyebiliyor. İkinci hile ise ilk ödemeyi çok düşük tuttuktan sonra diğer ücretleri hatırı sayılır biçimde arttırma.
Eğitim kurslarına abonelik sunan sahte sitelerde benzer bir dolandırıcılığı incelemiştik. Bu örnek de aşağı yukarı aynı şekilde işliyor, ancak uygulamanın içerisinde gerçekleştiriliyor. Truva Atı ağırlıklı olarak Google Play üstünden dağıtılıyor, para ise içeriğe erişim için istenen ödeme bilgileri sayesinde doğrudan banka kartından çekiliyor.
Dolandırıcıların ağına düşmemenin yolları
İstenmeyen bir ücretli aboneliğin nasıl iptal edilebileceğini bulmak çok zor olabiliyor. Dolayısıyla, her zamanki gibi bu durumda da tedbir tedaviden daha iyi bir yol. Abonelik Truva Atlarından korunmak için şunları öneriyoruz:
- Birincisi, resmi olmayan kaynaklardan uygulama yüklemeyin. Bu, cihazınızın güvenliğini önemli ölçüde arttıracak.
- Resmi kaynaklar çok daha iyi olsa da ne yazık ki %100 güvenli değil. Bu yüzden, Google Play veya başka bir mağazadan uygulama indirmeden önce değerlendirmeleri ve puanları kontrol etmeyi ihmal etmeyin.
- Uygulamanın platformda ne zaman yayınlandığına da bakın. Mağazalar tehlikeli sahte uygulamaları proaktif olarak kaldırdığı için dolandırıcılar sürekli virüslü uygulamaların yeni sürümlerini oluşturur. Dolayısıyla, istediğiniz uygulama mağazada yeni yayınlanmışsa dikkatli olun.
- Uygulamalara cihazınıza minimum erişim izni Örneğin bir uygulamaya mesajlarınızı veya bildirimlerinizi okuma izni vermeden önce uygulamanın buna gerçekten ihtiyaç duyup duymadığını sorgulayın.
- Güvenilir bir mobil antivirüs çözümü yükleyin. Böyle bir çözüm sizi abonelik Truva Atları da dahil tüm dijital kötülüklerden korur.