Kaspersky
araştırmacıları kullanıcılara istenmeyen reklamlar gösteren ve e-ticaret
uygulamalarını kurdurmaya çalışan yeni bir Truva atı uygulaması tespit etti.
Bu uygulama hem
kullanıcıları hem de reklam verenleri kandırabiliyor. Akıllı telefon uygulama
mağazalarını ziyaret eden bu zararlı yazılım çeşitli uygulamaları indirip
kullanıcı adına bunlar hakkında yorumlar yazıyor. Bunların tümünü de cihazın
sahibi farkında olmadan gerçekleştiriyor.
Kış satışları yoğunlaştıkça hem kullanıcıların hem de
markaların daha dikkatli olması gerekiyor. Kullanıcılar mağaza seçerken, daha
önceden yapılan yorumlara önem veriyor. Satıcılar da kampanya ve reklam
bütçelerini bu dönemde artırıyor. Ancak ne kullanıcılar ne de satıcılar
internette gördüklerine tamamen güvenmemeli. Yeni bir Truva atı uygulaması,
popüler alışveriş uygulamalarının puanını artırıp insanları bunları kurmaya
itiyor ve ardından sayısız reklam gösteriyor.
‘Shopper’ adı verilen
bu uygulama, ayrıntılı gizlenme yöntemleri ve Google Accessibility Service
kullanımıyla araştırmacıların dikkatini çekti. Engelli kullanıcılara yardımcı
olmak için tasarlanan bu servis uygulama içeriklerinin sesli okunmasını ve
kullanıcıların arayüzle etkileşime girebilmesini sağlıyor.Ancak saldırganlar bu
özelliği cihazın sahibine karşı ciddi bir tehdit olarak kullanıyor.
Bu servisi kullanma izni alan zararlı yazılım, sistem
arayüzü ve uygulamalarla etkileşime girmek için neredeyse sayısız fırsata
kavuşuyor. Ekrandaki verileri toplayabilen yazılım düğmelere basabiliyor ve
hatta kullanıcı hareketlerini taklit edebiliyor. Zararlı uygulamanın nasıl
yayıldığı henüz tam olarak bilinmese de kaspersky araştırmacıları cihaz
sahiplerinin bunu sahte reklamlardan veya üçüncü taraf uygulama mağazalarından
yasal uygulama almaya çalışırken indirmiş olabileceğini düşünüyor. Zararlı
uygulama kendini bir sistem uygulaması olarak gösteriyor ve kendini
kullanıcıdan gizlemek için ConfigAPK adlı sistem simgesini kullanıyor. Ekran
kilidi açıldıktan sonra çalışan uygulama cihaz hakkında bilgi toplayarak
saldırganın sunucusuna gönderiyor. Sunucudan da uygulamanın çalıştıracağı
komutlar alınıyor.
Gelen komutlara göre uygulama şunları yapabiliyor:
- · Cihaz sahibinin Google veya Facebook hesabını
kullanarak AliExpress, Lazada, Zalora, Shein, Joom, Likee ve Alibaba gibi
popüler alışveriş ve eğlence uygulamalarına kayıt olmak.
- · Google Play’de uygulamalara cihaz sahibi adına
yorum bırakmak.
- · Erişilebilirlik Servisini kullanma haklarını
kontrol etmek. Eğer izin verilmemişse uygulama bunu talep eden sahte bir istek
gönderiyor.
- · Google Play Protect özelliğini kapatmak. Bu
özellik, Google Play Store’daki uygulamaları indirilmeden önce kontrolden
geçiriyor.
- · Uzak sunucudan gelen bağlantıları gizli bir
pencerede açmak ve bir dizi ekranın engeli kaldırıldıktan sonra kendini
uygulama menüsünden gizlemek.
- · Ekran kilidini açarken reklam göstermek ve bu
reklamlar için uygulama menüsünde etiketler oluşturmak.
- · Apkpure[.]com adresinden uygulamalar indirip
kurmak
- · Reklamı yapılan uygulamaları Google Play’den
indirip açmak.
- · Kurulu uygulamaların etiketlerini reklamı
yapılan sayfaların etiketleriyle değiştirmek.
Ekim - Kasım 2019 arasında, alışveriş tutkunu
Trojan-Dropper.AndroidOS.Shopper.a yazılımından etkilenen kullanıcıların büyük
bir kısmı (yüzde 28,46) Rusya’daydı. Rusya’yı sırasıyla Brezilya (yüzde 18,70)
ve Hindistan (yüzde 14,23) takip etti.
Kaspersky Zararlı Yazılım Analisti Igor Golovin, “Bu kötü
niyetli uygulamanın verdiği gerçek zarar şimdilik yalnızca istenmeyen
reklamlar, kullanıcı adına verilen sahte yorumlar ve puanlar olsa da kimse
bunun ileride değişmeyeceğini garanti edemez. Bu zararlı uygulama şu anda alışveriş
alanına odaklanmış durumda fakat sahip olduğu özellikler sayesinde saldırganlar
kullanıcıların sosyal medya hesaplarından ve diğer platformlardan sahte
bilgiler de yayabilir. Örneğin, Shopper’ın arkasındaki isimlerin istedikleri
videolar kullanıcıların sayfalarında yayınlanabilir ve internete sahte bilgiler
yayılabilir.” dedi.
Kaspersky ürünleri Shopper zararlı yazılımını
Trojan-Dropper.AndroidOS.Shopper adıyla tespit edip engelliyor. Shopper
hakkında daha fazlasını Securelist.com adresinden okuyabilirsiniz.
Bunun gibi zararlı yazılım tehditleriyle karşılaşma riskini
azaltmak için kullanıcılara şunları tavsiye ediyoruz:
- · Erişilebilirlik Servisi ile ilişkisi olmadığı
halde bunu kullanmak isteyen uygulamalara dikkat edin.
- · Kurduğunuz uygulamaların neler yapabildiğini
görmek için her zaman uygulama izinlerini kontrol edin.
- · Yoğun reklamı yapılmış olsa bile güvensiz
kaynaklardan uygulama indirmeyin, bilinmeyen kaynaklardan gelen programların
kurulmasını engelleyin.
- · Potansiyel tehlike taşıyan veya şüpheli
taleplerde bulunan uygulamaları tespit etmeye yardımcı olan ve verilen
izinlerin getirebileceği riskleri açıklayan, Kaspersky Internet Security for
Android gibi güvenilir bir mobil güvenlik çözümü kullanın.
