Kaspersky, Google Play'e sızan Necro Truva atını keşfetti
Kaspersky Siber Güvenlik Uzmanı Dmitry Kalinin:
- "Siber suçlular üçüncü parti platformlarda denetim olmadığı için bu uygulamalarla kötü amaçlı yazılım yayıyor"
İSTANBUL - Kaspersky uzmanları, Google Play'de yer alan popüler uygulamalara sızan ve resmi olmayan platformlarda Spotify, WhatsApp ve Minecraft gibi uygulamaları değiştiren Necro Truva atının yeni bir sürümünü tespit etti.
Şirketten yapılan açıklamaya göre, Necro, virüs bulaşmış cihazlara ek zararlı bileşenler indirip çalıştıran bir Android indirici olarak tanımlanıyor. Kaspersky'nin güvenlik çözümleri, bu kötü amaçlı yazılımın Rusya, Brezilya, Vietnam, Ekvador ve Meksika'daki kullanıcıları hedef aldığını ortaya koydu.
Kaspersky uzmanları, Necro'nun ilk olarak Spotify Plus'ın değiştirilmiş bir sürümünde tespit edildiğini, ardından WhatsApp ve Minecraft, Stumble Guys ve Car Parking Multiplayer gibi çeşitli popüler oyunların virüslü sürümlerinde de keşfedildiğini bildirdi. Bu uygulamaların değiştirilmiş sürümleri, doğrulanmamış reklam modülleri aracılığıyla zararlı yazılım yaydı.
Necro varyantı, virüs bulaşmış akıllı telefonlara görünmez pencerelerde reklam gösteren modüller indirebiliyor, bunlara tıklayabiliyor, yürütülebilir dosyalar indirebiliyor, üçüncü parti uygulama yükleyebiliyor. JavaScript kodunu çalıştırmak için görünmez WebView pencerelerinde rastgele bağlantılar açabiliyor. Kullanıcılar, ücretli hizmetlere de abone yapabiliyor.
İndirilen modüller saldırganların internet trafiğini kurbanın cihazı üzerinden yönlendirmesine olanak tanıyor. Bu da siber suçluların bulaştıkları cihazları kullanarak yasaklanmış ya da diğer kaynakları ziyaret etmelerini sağlıyor.
-"Mobil kötü amaçlı yazılımlarda çok nadir görülen bir yöntem"
Google Play üzerinde ise Necro, Wuta Camera ve Max Browser gibi uygulamalara yerleştirildi. Bu iki uygulamanın toplamda 11 milyondan fazla indirildiği kaydedilirken, zararlı yazılımın Google Play'den kaldırıldığı belirtildi. Ancak, resmi olmayan platformları kullananlar için bu riskler devam ediyor.
Kaspersky, bu ve benzeri tehditlere karşı kullanıcılara yalnızca resmi kaynaklardan uygulama indirmelerini, düzenli güncellemeler yapmalarını ve güvenilir güvenlik çözümleri kullanmalarını öneriyor.
Açıklamada görüşlerine yer verilen Kaspersky Siber Güvenlik Uzmanı Dmitry Kalinin, Necro'nun kullanıcıların resmi uygulamalardaki kısıtlamaları aşmak için resmi olmayan, değiştirilmiş uygulamaları indirmeleriyle yayıldığını aktardı.
Kalinin, "Siber suçlular bu davranıştan faydalanarak, üçüncü parti platformlarda denetim olmadığı için bu uygulamalarla kötü amaçlı yazılım yayıyor. Necro'nun bu uygulamalara gömülü sürümünün steganografi tekniklerini kullanması ve tespit edilmemek için yükünü görüntülerin içine gizlemesi de dikkat çekici. Bu, mobil kötü amaçlı yazılımlarda çok nadir görülen bir yöntem." ifadelerini kullandı.