Mobil uygulamalardan kaynaklanan tehditlerin dünyasında ortalık domuzdan geçilmiyor. Google Chrome uygulama dükkanında yer alan kötü niyetli Bad Piggies kopyalarının ardından, başka bazı geliştiricilerin de aynı oyunun sahte sürümlerini hazırlayıp yayınlamış olduklarını farkettik.
Geçtiğimiz ay piyasaya sürülen Bad Piggies (Yaramaz Domuzcuklar) oyununun hemen ardından oyunun sahte sürümlerinin Rusya orijinli bazı web sitelerinde yayınlandığını görmüştük. Oyun sürümlerin hiç biri oyunun kendisiyle bağlantılı değildi. Yaptığımız incelemeler, tüm bu uygulamaların kötü amaçlı olduğunu ve özellikle de yüksek fiyatlı özel servis hatlarını suistimal ettiklerini gösterdi. Kullanıcıya sormadan SMS mesajları yollayan bu uygulamalar, kullanıcıyı yüksek faturalarla başbaşa bırakıyordu.
Zararlı Bir Bad Piggies Sürümünün Anatomisi
Araştırmamız sırasında, “Bad Piggies” terimini arattığımızda Rusya kayıtlı 48 alan adıyla karşılaştık. Bu siteler arasında piggies-{ENGELLENDİ}d.ru gibi uygulama indirilebilen sayfalar da vardı.
Bahsi geçen site, uygulamayı birden çok platform için sunmakta. Kullanıcılara sunulansa, gerçek Bad Piggies oyunu yerine ANDROIDOS_FAKEINST.A olarak isimlendirilen zararlı bir .APK dosyası. Bu dosya çalıştırılıp sisteme kuruldığında ana ekrana simgesini yerleştiriyor ve bazı belirli numaralara SMS yollamaya başlıyor. Kullanıcının onayı olmadan yollanan bu mesajlar, hattın sahibini satın almadığı hizmetler için fazladan para ödemek zorunda bırakıyor.
Mobil güvenlik mühendisi Bob Pan’a göre ANDROIDOS_FAKEINST.A kullandığı dizileri şifreli bekletip çalışırken çözmek ve programının içine alakasız program parçacıkları ekleyerek kendini gizlemek gibi marifetlere sahip. Ayrıca uygulama programının içinde kullandığı tüm sınıf ve alan isimlerini anlamsız harf dizileriyle değiştirerek incelenmesini zorlaştırıyor.
Uygulamanın oluşturduğu kısayol da kendi sürprizini taşımakta. Tıklandığında, kullanıcıyı tarayıcısını güncelleyecek bir siteye yönlendiriyor. Bu güncelleme aslında yine zararlı bir yazılım olan ve belirli numaralara SMS yollayan JAVA_SMSSEND.AB. Hatırlarsanız bu kötü amaçlı yazılımcığı daha önce de Skype kurulum dosyası olarak dağıtılırken görmüştük.
Popüler Uygulamalar Hırsızları Heyecanlandırıyor
Ne kadar kurnaz olurlarsa olsunlar, siber-suçlular ve diğer kötü adamlar bazen alışkanlıklarına mahkum oluyorlar. Kurbanlarını, kurdukları tuzaklara itmek için kullandıkları yöntemler hep aynı. Mesela bu olayda ele aldıkları formül, uygulamanın popülerliği ve medyada yoğun şekilde yer alması. Bad Piggies, inanılmaz başarı kazanmış Angry Birds oyununa dayanmakta ve ilk çıktığından beri basının yoğun ilgisiyle karşı karşıya.
Daha önce konu ettiğimiz Instragram ve Angry Birds Space olaylarında da durum böyleydi. Instragram’un Facebook tarafından satın alındığı ve Android sürümünün yayınlandığı haberi duyulur duyulmaz Internet’in her yerinde kötü amaçlı, sahte sürümler ortaya çıktı. Mümkün olduğunda çok kullanıcıyı avlayabilmek için bu uygulamaların popülerliğini kullanmak isteyen ahlak yoksunu bazı geliştirici ve hırsızlar bu uygulamaların sahte sürümlerini kısa sürede hazırladılar.
Rusya’ya kayıtlı alan adları da bu tür sahtecilerin en sevdikleri şeyler arasında gözüküyor. Bu yılın Temmuz ayından bu yana .RU uzantılı adreslerden yayınlanan 6000’den fazla mobil uygulama sayfasını engellememiz gerekti. Bu, geçen yıl engellediğimiz 2946 site karşısında muazzam bir artış. Kullanıcıları bu sitelere yönlendirmek için kullanılan yöntemse adresleri forumlar, blog mesajları ya da email yoluyla yaymak.
Sahte (ya da daha kötüsü, masum gibi gözüken zararlı) uygulamaları indirmekten kurtulmanın yolu, Google Play gibi yasal uygulama dükkanlarını kullanmaktan geçiyor. Ayrıca, indirmeden önce uygulamanın kendisi ve geliştiricisi hakkında kısa bir araştırma yapmak iyi olabilir. Mobil internet deneyiminizi daha güvenli kılmak için daha önce yayınladığımız Android Telefonunuzu Güvene Almak için 5 Basit Adım yazımıza da bir göz atabilirsiniz.
Trend Micro Mobile Security for Android kullanan mobil kullanıcıların endişe etmelerine gerek yok, çünkü uygulamamız bahsedilen sahte yazılımları belirliyor ve siliyor. Smart Protection Network™ uygulamamızsa, bu sahte sürümleri dağıtan web sitelerine erişimi de engelliyor.