Kaspersky, Necro Trojan’ın Google Play’e Sızdığını ve 11 Milyona Yakın Kurbanı Olduğunu Bildirdi

0

BEĞENDİM

ABONE OL

News

0

Kaspersky uzmanları, Ağustos 2024’ün sonlarında Google Play’deki birçok tanınan uygulamaya sızan ve Spotify, WhatsApp ve Minecraft dahil olmak üzere resmi olmayan platformlardaki uygulamaları değiştiren Necro Truva atının yeni bir sürümünü tespit etti. Necro, Truva atının yaratıcıları tarafından verilen komutlara dayanarak virüs bulaşmış aygıtlara öteki ziyanlı bileşenleri indiren ve çalıştıran bir Android indiricisi. Kaspersky’nin tahlilleri, bu makus gayeli atak kampanyasının bir kesimi olarak Rusya, Brezilya, Vietnam, Ekvador ve Meksika’daki kullanıcıları amaç alan Necro atakları kaydetti.

Kaspersky uzmanları tarafından keşfedilen Necro varyantı, virüs bulaşmış akıllı telefonlara görünmez pencerelerde reklam gösteren modüller indirebiliyor, bunlara tıklayabiliyor, yürütülebilir dosyalar indirebiliyor, üçüncü parti uygulama yükleyebiliyor ve JavaScript kodunu çalıştırmak için görünmez WebView pencerelerinde rastgele temaslar açabiliyor. Teknik özelliklerine dayanarak Truva atı muhtemelen kullanıcıları fiyatlı hizmetlere de abone yapabiliyor. Ek olarak, indirilen modüller saldırganların internet trafiğini kurbanın aygıtı üzerinden yönlendirmesine imkan tanıyor. Bu da siber hatalıların bulaştıkları aygıtları kullanarak yasaklanmış ya da öteki kaynakları ziyaret etmelerini ve potansiyel olarak bir proxy botnetinin modülü olarak kullanmasını sağlıyor.

Necro’nun şirket uzmanları tarafından birinci keşfi Spotify Plus’ın değiştirilmiş bir sürümü üzerinde oldu. Uygulamanın yaratıcıları bunun aygıtlar için inançlı olduğunu ve resmi müzik akışı uygulamasında bulunmayan ek özellikler sunduğunu argüman etti. Daha sonra uzmanlar, Necro indiricisini içeren değiştirilmiş bir WhatsApp sürümü ve akabinde Minecraft, Stumble Guys ve Car Parking Multiplayer üzere tanınan oyunların virüslü sürümlerini de keşfetti. Necro bu uygulamalara doğrulanmamış bir reklam modülü aracılığıyla yerleştirilmişti.

Necro saldırısı üçüncü parti platformların ötesine geçerek Google Play üzerinde de keşfedildi. Makûs niyetli indirici, Wuta Camera uygulamasında ve Max Browser’da yer alıyordu. Google Play istatistiklerine nazaran bu uygulamaların toplam indirilme sayısı 11 milyonun üzerinde. Necro ayrıyeten bu platformda doğrulanmamış bir reklam modülü aracılığıyla da dağıtıldı. Kaspersky Lab’ın Google’a gönderdiği raporun akabinde, ziyanlı kod Wuta Camera’dan ve Max Browser mağazadan kaldırıldı. Fakat kullanıcılar hala resmi olmayan platformlarda Necro ile müsabaka riski taşıyor.

Kaspersky Siber Güvenlik Uzmanı Dmitry Kalinin, şunları söylüyor: “Kullanıcılar çoklukla resmi uygulamalardaki kısıtlamaları aşmak yahut ek fiyatsız özelliklere erişmek için resmi olmayan, değiştirilmiş uygulamaları indiriyor. Siber hatalılar bu davranıştan faydalanarak, üçüncü parti platformlarda kontrol olmadığı için bu uygulamalarla berbat gayeli yazılım yayıyor. Necro’nun bu uygulamalara gömülü sürümünün steganografi tekniklerini kullanması ve tespit edilmemek için yükünü imajların içine gizlemesi de dikkat cazip. Bu, taşınabilir makus hedefli yazılımlarda çok az görülen bir usul.”

Necro Trojan hakkında daha fazla bilgi edinmek için Securelist.com adresini ziyaret edebilirsiniz.

Bu ve öbür Android kaynaklı siber tehditlere karşı korunmak için Kaspersky uzmanları şunları öneriyor:

• Uygulamaları sırf resmi kaynaklardan indirin.
• İşletim sistemlerini ve yüklü uygulamaları nizamlı olarak güncelleyin.
• Ürünleri bağımsız test laboratuvarları tarafından doğrulanan Kaspersky Premium gibi muteber bir üreticinin muteber güvenlik tahlillerini kullanın.