Android Şifre Çalan Kötü Amaçlı Yazılım 100.000 Google Play Kullanıcısına Bulaşıyor
Facebook kimlik bilgilerini çalan kötü niyetli bir Android uygulaması, Google Play Store aracılığıyla 100.000'den fazla kez yüklendi ve uygulama hala indirilebilir durumda.
Android kötü amaçlı yazılımı, 'Craftsart Cartoon Photo Tools' adlı bir karikatürleştirici uygulama olarak gizlenerek, kullanıcıların bir görüntü yüklemesine ve onu bir çizgi film işlemesine dönüştürmesine olanak tanıyor.
Geçtiğimiz hafta, güvenlik araştırmacıları ve mobil güvenlik firması Pradeo, Android uygulamasının, kullanıcıların uygulamayı kullanmadan önce oturum açmasını gerektiren bir Facebook oturum açma ekranını görüntüleyen "FaceStealer" adlı bir truva atı içerdiğini keşfetti.
Jamf güvenlik araştırmacı Michal Rajčan'a göre, kullanıcılar kimlik bilgilerini girdiğinde, uygulama onları saldırganların toplayabileceği zutuu[.]info [VirusTota ] adresindeki bir komuta ve kontrol sunucusuna gönderecek.
C2 sunucusuna ek olarak, kötü niyetli Android uygulaması, daha fazla verinin gönderildiği ve geçmişte diğer kötü niyetli FaceStealer Android uygulamalarını tanıtmak için kullanılan www.dozenorms[.]kulüp URL'sine [ VirusTotal ] bağlanacaktır.
Pradeo'nun raporunda açıkladığı gibi, bu uygulamaların yazarı ve dağıtıcısı, yeniden paketleme sürecini otomatikleştirmiş ve aksi takdirde meşru bir uygulamaya küçük bir kötü amaçlı kod parçası enjekte etmiş görünüyor.
Bu, uygulamaların herhangi bir kırmızı bayrak yükseltmeden Play Store inceleme prosedüründen geçmesine yardımcı olur. Kullanıcı onu açar açmaz, Facebook hesabına giriş yapmadıkça herhangi bir gerçek işlevsellik verilmez.
Ancak, oturum açtıklarında, uygulama, resme bir grafik filtresi uygulayacak olan çevrimiçi düzenleyiciye http://color.photofuneditor.com/ belirli bir resmi yükleyerek sınırlı işlevsellik sağlayacaktır.
Bu yeni resim daha sonra kullanıcı tarafından indirilebileceği veya arkadaşlarına gönderilebileceği uygulamada gösterilecektir.
Birçok uygulama gereksiz yere kullanıcıların bir sunucuda oturum açmasını gerektirdiğinden, çoğu durumda Facebook, kullanıcılar bu oturum açma istemlerine karşı duyarsızlaştı ve daha yaygın olarak kimlik bilgilerini şüphe duymadan girdi.
Sorun belirtileri
Bu karikatürleştirici uygulamalar ne kadar popüler ve eğlenceli olsa da, insanlar biyometrik veriler (yüzlerinin görüntüleri) gibi hassas bilgileri girmelerini gerektiren yazılımları yüklerken çok dikkatli olmalıdır.
Bu uygulamalar, görüntü değişikliklerini gerçekleştirir ve filtreleri yerel olarak cihazda değil uzak bir sunucuda uygular, böylece verileriniz uzak bir konuma yüklenir ve süresiz olarak tutulma, başkalarıyla paylaşılma, yeniden satılma vb. risklerle karşı karşıya kalır.
Söz konusu uygulama hala Play Store'da olduğundan, Android uygulamasının güvenilir olduğu otomatik olarak varsayılabilir. Ancak ne yazık ki, kötü niyetli Android uygulamaları bazen Google Play Store'a sızar ve kötü incelemelerden tespit edilene veya güvenlik şirketleri tarafından keşfedilene kadar kalır.
Ancak birçok durumda dolandırıcı ve kötü amaçlı uygulamaları Google Play'deki incelemelerine bakarak tespit etmek mümkündür.
Aşağıda görebileceğiniz gibi, 'Craftsart Karikatür Fotoğraf Araçları' için kullanıcı yorumları ezici bir şekilde olumsuz, toplamda olası beş üzerinden sadece 1,7 yıldız. Ayrıca, bu incelemelerin çoğu, uygulamanın sınırlı işlevselliğe sahip olduğu ve önce Facebook'ta oturum açmanız gerektiği konusunda uyarıda bulunuyor.
İkincisi, geliştiricinin adı, Google tarafından geliştirildiğini gösteren 'Google Commerce Ltd'dir. Ayrıca, listelenen iletişim bilgileri, büyük bir kırmızı bayrak olan rastgele bir kişinin Gmail e-posta adresini içerir.
Projenin gizlilik politikasını okumak için geliştiricinin Blogspot'ta barındırılan sayfasını ziyaret ettik ve orada farklı bir e-posta adresi bulduk, yani bir uyumsuzluk bile var.
Son olarak, Pradeo'nun iddiaları hakkında yorum yapması için yazara bir e-posta göndermeye çalıştık, ancak adreslerden biri bile yok.
Bu, akıllı telefonunuza yüklediğiniz her uygulama için aşırı inceleme gibi görünebilir, ancak doğası gereği riskli uygulamalar için standart kontrol prosedürü olmalıdır.
Pradeo, Google'a Craftsart Cartoon Photo Tools uygulamasının doğası hakkında bilgi verdi ve Bleeping Computer ayrıca Play Store ekibine bir mesaj gönderdi, bu nedenle Google'ın kısa süre içinde kaldırması gerekiyor.
Ancak, uygulamayı cihazlarına yükleyenler, uygulamayı derhal kaldırmalı, Facebook hesaplarını sıfırlamalı ve ek koruma için iki faktörlü kimlik doğrulamayı etkinleştirmelidir.
Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.