Google, zararlı Android uygulamaların Google Play Store’a girmesini engellemekte sorun yaşıyor gibi görünüyor.
Symantec’ten güvenlik araştırmacıları arka planda kötü amaçlı web sitelerine girilmesini zorlamak için Telegram mesajlaşma uygulamasının resmi olmayan bir sürümü olarak tanıtılan yeni bir uygulama buldular.
MobonoGram 2019 olarak adlandırılan bu uygulama meşru Telegram uygulamasının açık kaynak kodunu kullanıyor. Ancak Google Play Store‘da yayınlamadan önce içerisine kötü amaçlı yazılım eklediler.
Etkilenen cihazlara kötü amaçlı yazılım olan “Android.Fakeyouwon” kurulmaktadır. Bu zararlı yazılım bir komut-kontrol (C&C) sunucusundan alınan kötü amaçlı URL’leri telefonunuza yüklemektedir.
Google, Kötü Amaçlı Yazılımlara Her Gün Daha Çok Maruz Kalıyor
Google’ın Google Play Store’unda ilk kez kötü amaçlı yazılım bulunmuyor. Son birkaç ay içerisinde arama devi, uygulama mağazasında gittikçe artan sayıda kötü amaçlı yazılım uygulamasına izin vermişti.
Sahte uygulamalardan ve oyunlardan, sessizce reklam sunan, casus yazılımlardan sahte reklamlar elde etmek için zorlayan uygulamalara, Android cihazlarındaki tehditler yelpazesi gün geçtikçe genişliyor.
Google kendileri için, cihazları potansiyel olarak zararlı uygulamalardan korumak için bir araç olarak Google Play Protect’ti kullanıyor.
Şirketin çabaları yalnızca geçen yıl 700.000’den fazla uygulamanın kaldırılmasına yol açarken, inceleme sürecindeki açıklar, zararlı uygulamaların tekrar yayınlanmasını mümkün kılıyor.
Google Play Store’da bulunan yeni adware ve diğer kötü amaçlı yazılımlarla ilgili sürekli rapor akışına rağmen Google, yalnızca Google Play’den Android uygulama yüklemenin çok daha güvenli olduğunu vurguluyor.
Ancak bu olaylar, Google’ın kendi uygulama filtrelerinin sınırlarını kontrol etmeye ve sözde onaylı mağazasına ilişkin güvenlik endişelerini artırıyor.
MobonoGram Kötü Amaçlı Yazılımı Nasıl Çalışıyor?
İngilizce ve Farsça dillerinde bulunan MobonoGram, uygulamanın resmi olarak yasaklandığı İran ve Rusya gibi ülkelerdeki kullanıcıları ve ABD’yi hedef alıyor.
Araştırmacılar, uygulamanın temel mesajlaşma işlevselliği sağlamasına rağmen, kullanıcının izni olmadan cihazda gizlice birkaç hizmet çalıştırdığı, arka planda sonsuz bir kötü amaçlı web sitesi akışı yüklediği de ortaya çıktı.
Zararlı uygulama, cihazın her açılışında veya bir uygulama yüklendikten veya güncellendikten hemen sonra, uygulamanın kendisini başlatmasına izin veren bir ‘kalıcılık mekanizması’ içeriyor.
Araştırmacılara göre bu Autostart özelliği ön plan servisi olarak çalışmak üzere ayarlanmış ya da hizmetin durdurulması durumunda iki saat sonra otomatik olarak yeniden başlatılmasını sağlıyor.
Uygulama çalışmaya başladıktan sonra kötü amaçlı URL’ler, isteğin kaynağını gizlemek için bir tarayıcı kullanıcı aracısı ve üç JavaScript kodu almak için belirlenmiş bir C&C sunucusu grubuna erişiyor.
Araştırmacılar, JavaScript kodlarının tıklama sahtekarlığı yapmak ve reklam geliri elde etmek için tasarlandığını bildiriyor.
“Tüm JavaScript kodları gerçekten yüklenmiş olsa bile, tıklanma etkinlikleri eylemlerde görülmüyor. Bununla birlikte, kötü amaçlı yazılımın tıklama sahtekarlığı veya başka bir kötü amaç için kullanılması olasılığını tamamen gözardı edemeyiz” diyorlar.
Bunun dışında Symantec araştırmacıları, kötü niyetli bir web sitesine sınırsız istek döngüsüne neden olan bazı URL’ler bulunduğunu da buldular.