Google Play’de yer alan 300’den fazla kötü amaçlı Android uygulaması, 60 milyon kez indirilerek kullanıcıları hedef aldı. Bu uygulamalar, reklam dolandırıcılığı yapmanın yanı sıra kullanıcıların kimlik bilgilerini ve kredi kartı bilgilerini çalmaya çalıştı.
IAS Threat Lab tarafından ortaya çıkarılan ve “Vapor” adı verilen bu kötü amaçlı faaliyet, 2024’ün başlarından bu yana devam ediyor. IAS, 180 uygulamanın bu kampanyanın bir parçası olduğunu ve günde 200 milyon sahte reklam teklifi oluşturduğunu tespit etti. Bitdefender’ın yayımladığı yeni bir rapor ise kötü amaçlı uygulama sayısını 331’e çıkardı. Bu uygulamalar, özellikle Brezilya, ABD, Meksika, Türkiye ve Güney Kore’deki kullanıcıları hedef aldı.
Google Play’deki Tehlikeli Uygulamalar Açıklandı
Vapor kampanyasında kullanılan uygulamalar, sağlık ve fitness takibi, not alma araçları, pil optimize edicileri ve QR kod tarayıcıları gibi işlevler sunan yardımcı uygulamalardı. Bu uygulamalar, Google’ın güvenlik incelemelerini geçmeyi başardı çünkü başlangıçta kötü amaçlı bileşenler içermiyordu. Kötü amaçlı işlevler, kurulum sonrasında bir komut ve kontrol (C2) sunucusundan gelen güncellemelerle indirildi.
Bitdefender ve IAS tarafından vurgulanan bazı önemli uygulamalar şunlar:
- AquaTracker – 1 milyon indirme
- ClickSave Downloader – 1 milyon indirme
- Scan Hawk – 1 milyon indirme
- Water Time Tracker – 1 milyon indirme
- Be More – 1 milyon indirme
- BeatWatch – 500.000 indirme
- TranslateScan – 100.000 indirme
- Handset Locator – 50.000 indirme
Bu uygulamalar, Google Play’e farklı geliştirici hesaplarından yüklendi. Her geliştirici, yalnızca birkaç uygulama yükleyerek, uygulamaların kaldırılması durumunda büyük bir kesinti yaşanmasını engellemeye çalıştı.
Vapor uygulamaları, kurulumdan sonra AndroidManifest.xml dosyasındaki Launcher Activity’yi devre dışı bırakarak görünmez hale geliyor. Bazı durumlarda, kendilerini Ayarlar menüsünde meşru uygulamalar olarak yeniden adlandırıyor (örneğin, Google Voice).
Bu uygulamalar, kullanıcı etkileşimi olmadan başlıyor ve yerel kodu kullanarak ikincil bir gizli bileşeni etkinleştiriyor. Bu yöntem, Android 13 ve sonraki sürümlerdeki güvenlik korumalarını atlatıyor.
Uygulamalar, tam ekran bir kaplama oluşturarak reklamları diğer uygulamaların üzerinde gösteriyor. Kullanıcılar, ‘geri’ düğmesi devre dışı bırakıldığı için bu reklamlardan çıkamıyor. Ayrıca, uygulamalar kendilerini ‘Son Görevler’ listesinden kaldırıyor, böylece kullanıcılar hangi uygulamanın reklamı gösterdiğini anlayamıyor.
Bitdefender, bazı uygulamaların reklam dolandırıcılığının ötesine geçerek, Facebook ve YouTube için sahte giriş ekranları gösterdiğini ve kullanıcıları çeşitli bahanelerle kredi kartı bilgilerini girmeye zorladığını bildirdi. Uzmanlar bu soruna karşı Android kullanıcılarına güvenilir olmayan yayıncıların uygulamalarını yüklemekten kaçınmalarını ve verilen izinleri dikkatlice incelemeleri gerektiğinin altını çizdi.