Google Play’de Zararı olan Yazılımlar Ortaya çıkarıldı
Kaspersky, Google Play’de bulunan bazı uygulamalara zararı olan yazılımların gizlenmiş bulunduğunu keşfetti. Pek oldukça bilgiyi toplayan bu uygulamalar Google Play Store’dan kaldırıldı.
Android kullanıcıları, bir süredir zararı olan yazılımların ya da zararı olan özellikler içeren uygulamaların hedefi durumunda bulunuyor. Hatta Android’in iOS ile rekabetinde önündeki engellerden birinin bu problem olduğu biliniyor.
Son olarak Kaspersky, PhantomLance olarak adlandırılan ve bilhassa Asya’da Android kullanıcılarını hedef alan bir zararı olan yazılım hareketini açığa çıkardı. Bu harekette oldukça gelişmiş uygulamalar içeriyor.
Vietnam merkezli oluşum:
PhantomLance hareketinin merkezinde 2013 yılından bu yana etkinlik gösteren Vietnam destekli gelişmiş kalıcı tehdit (APT) grubu ATP32 yada OceanLotus’un yer almış olduğu belirtiliyor. Zararı olan uygulamaların hem Google Play Store’da hem de APKpure benzer biçimde sitelerde bulunmuş olduğu ifade ediliyor.
Zararı olan yazılımların toplamış olduğu veriler arasındaysa kurbanın konum bilgisi, arama kayıtları, kısa ileti geçmişi, rehberi, telefon modeli, kullandığı işletim sistemi modeli ve telefondaki öteki uygulamaların sıralaması benzer biçimde bilgiler içeriyor.
Araştırmacılara bakılırsa zararı olan yazılımın işletim sistemi versiyonunu ve öteki uygulamalar listesini öğrenme sebebi buna bakılırsa kendisini adapte edebilmek ve daha iyi gizlenmek. Böylece uygulama, gereksiz detaylarla dolmamasına karşın lüzumlu görmüş olduğu detayları toplayabiliyor.
Üç değişik versiyon:
Araştırmacılar zararı olan yazılımları 3 değişik kategoriye ayırıyor. Bu kategoriler çıkış tarihlerine bakılırsa değil, uygulamaların haiz olduğu gelişmişlik derecesine bakılırsa belirleniyor. Versiyon 1 uygulamalar en basitleri olurken Versiyon 3 en gelişmiş uygulamalar olarak gösteriliyor. Arada da Versiyon 2 kategorisi içeriyor.
Zararı olan uygulamaların ilk aşamada temiz versiyonları yüklenirken sonrasında içeriğine zararı olan kod ekleniyor. Bu kodlar güncellemelerin bir parçası olarak gönderiliyor, böylece dikkat çekilmemiş oluyor. Ek olarak geliştiricilerin düzmece GitHub profilleri bulunuyor. Böylece yaptıkları emekler daha yasalmış benzer biçimde görünüyor.
Android SDK 19 öncesini kullanan cihazlarda setUidMode adlı API fonksiyonuyla kullanıcı onayı olmaksızın cihazın root ayrıcalıklarına erişilebiliyor. Tüm bu çabaya karşın uygulamaların Vietnam, Hindistan, Bangladesh, Endonezya, Cezayir, Cenup Afirka, Nepal, Myanmar ve Malezya’da yalnızca 300 kişiyi etkilediği belirtiliyor.
Google şimdilik sorunlu uygulamaları kaldırdı sadece bu, saldırıların devamının gelmeyeceği anlamına gelmiyor. Kaspersky ise daha ilkin de benzer hareketlerde bulunan fena niyetli kişilerin ne kadar iyi adapte olabildiklerine dikkat çekiyor. İyi bir antivirüs uygulaması edinmek oldukça yararlı bir düşünce olarak gösteriliyor**.**
