Kaspersky uzmanları, Ağustos 2024’ün sonlarında Google Play’deki birçok popüler uygulamaya sızan ve Spotify, WhatsApp ve Minecraft dahil olmak üzere resmi olmayan platformlardaki uygulamaları değiştiren Necro Truva atının yeni bir sürümünü tespit etti. Necro, Truva atının yaratıcıları tarafından verilen komutlara dayanarak virüs bulaşmış cihazlara diğer zararlı bileşenleri indiren ve çalıştıran bir Android indiricisi. Kaspersky’nin çözümleri, bu kötü amaçlı saldırı kampanyasının bir parçası olarak Rusya, Brezilya, Vietnam, Ekvador ve Meksika’daki kullanıcıları hedef alan Necro saldırıları kaydetti.
Necro Truva Atının Yetenekleri
Kaspersky uzmanları tarafından keşfedilen Necro varyantı, virüs bulaşmış akıllı telefonlara görünmez pencerelerde reklam gösteren modüller indirebiliyor, bunlara tıklayabiliyor, yürütülebilir dosyalar indirebiliyor, üçüncü parti uygulama yükleyebiliyor ve JavaScript kodunu çalıştırmak için görünmez WebView pencerelerinde rastgele bağlantılar açabiliyor. Teknik özelliklerine dayanarak Truva atı muhtemelen kullanıcıları ücretli hizmetlere de abone yapabiliyor. Ek olarak, indirilen modüller saldırganların internet trafiğini kurbanın cihazı üzerinden yönlendirmesine olanak tanıyor. Bu da siber suçluların bulaştıkları cihazları kullanarak yasaklanmış ya da diğer kaynakları ziyaret etmelerini ve potansiyel olarak bir proxy botnetinin parçası olarak kullanmasını sağlıyor.
Resmi Olmayan Platformlardaki Virüslü Uygulamalar
Necro’nun şirket uzmanları tarafından ilk keşfi Spotify Plus’ın değiştirilmiş bir sürümü üzerinde oldu. Uygulamanın yaratıcıları bunun cihazlar için güvenli olduğunu ve resmi müzik akışı uygulamasında bulunmayan ek özellikler sunduğunu iddia etti. Daha sonra uzmanlar, Necro indiricisini içeren değiştirilmiş bir WhatsApp sürümü ve ardından Minecraft, Stumble Guys ve Car Parking Multiplayer gibi popüler oyunların virüslü sürümlerini de keşfetti. Necro bu uygulamalara doğrulanmamış bir reklam modülü aracılığıyla yerleştirilmişti.
Google Play’deki Virüslü Uygulamalar
Necro saldırısı üçüncü parti platformların ötesine geçerek Google Play üzerinde de keşfedildi. Kötü niyetli indirici, Wuta Camera uygulamasında ve Max Browser’da yer alıyordu. Google Play istatistiklerine göre bu uygulamaların toplam indirilme sayısı 11 milyonun üzerinde. Necro ayrıca bu platformda doğrulanmamış bir reklam modülü aracılığıyla da dağıtıldı. Kaspersky Lab’ın Google’a gönderdiği raporun ardından, zararlı kod Wuta Camera’dan ve Max Browser mağazadan kaldırıldı. Ancak kullanıcılar hala resmi olmayan platformlarda Necro ile karşılaşma riski taşıyor.
Kaspersky Siber Güvenlik Uzmanı Dmitry Kalinin, şunları söylüyor: “Kullanıcılar genellikle resmi uygulamalardaki kısıtlamaları aşmak veya ek ücretsiz özelliklere erişmek için resmi olmayan, değiştirilmiş uygulamaları indiriyor. Siber suçlular bu davranıştan faydalanarak, üçüncü parti platformlarda denetim olmadığı için bu uygulamalarla kötü amaçlı yazılım yayıyor. Necro’nun bu uygulamalara gömülü sürümünün steganografi tekniklerini kullanması ve tespit edilmemek için yükünü görüntülerin içine gizlemesi de dikkat çekici. Bu, mobil kötü amaçlı yazılımlarda çok nadir görülen bir yöntem.”
sitesinden daha fazla şey keşfedin
Subscribe to get the latest posts sent to your email.