Etiket arşivi: android market

Sahte Google Play sitesi zararlı yazılım saçıyor

Bir Cevap Yazın

Android Market’ın isminin Google Play olarak değişmesini fırsat bilen siber suçlular sahte siteler açarak kullanıcıları kandırmaya çalışıyor. Dünya çapında milyonlarca kullanıcısı bulunan Android işletim sisteminin uygulama indirme kanalı olan Google Play, dolandırıcıların en önemli kozlarından birine dönüştü.

Zararlı URL’ler ile Rusya’daki kullanıcıları kandırmaya yönelik açılan .ru uzantılı web sitelerinde içlerine virüs yerleştirilmiş Google Play yazılımlarının indirilmesi isteniyor. Rusça yazılan metinde şu ifadelere yer veriliyor: “Google Play’i Android’e indirin. Google Play daha önceden Android Market olarak bilinen ancak eski Android Market’ın Google e-kitap, birçok formatta film ve müzik içeren mağazalar ile birleşmesinden oluşuyor.”

Sitedeki tıklanabilir resimler denendiğinde diğer Rus alan adı bulunan zararlı yazılımla dolu web sitelerine ulaşılıyor. Bu sitelerde şüpheli Android uygulamaları öneriliyor.

Kullanıcının haberi olmadan ücretli servislere abone oluyor

Trend Micro Analisti Karla Agregado, Google Play uygulamasını –google-play.apk–  indirdiğinde zararlı yazılım keşfettiğini açıkladı. Zararlı yazılımla ilgili bilgiler veren Agregado, “Bu tip zararlı yazılımlar doğrudan kullanıcıdan para çalmak için kullanıcıdan habersiz ücretli servislere üye oluyor” dedi.

Zararlı yazılım bulunan .APK uzantılı dosyalar Trend Micro Smart Protection Network üzerinde çoktan engellendi. Dolayısıyla Trend Micro kullanıcılarının mobil cihazlarında da endişe etmelerine gerek yok.

Bu saldırıda ortaya çıkan önemli nokta ise; saldırganların kısa sürede gündeme göre çeşitli saldırı teknikleri geliştirdikleri ve trend başlıkları kullandıkları. Kullanıcılara en önemli tavsiyemiz, uygulama indirirken ve uygulama mağazalarında gezerken oldukça dikkatli olmaları.

Sahte uygulamalar Android Market’te hızla yayılıyor

Bir Cevap Yazın

Trend Micro Analisti Kervin Alintanahin, gün geçtikçe daha fazla sahte uygulamanın Android Market’te yer aldığını aktardı. Geçtiğimiz hafta, hatırlarsınız popüler mobil oyun “Temple Run” için geliştirilen sahte uygulamaya şahit olduğumuzdan söz etmiştik. Bu kez tam 37 sahte uygulama keşfettik.

Gerçekte popüler olan uygulamaların sahte sürümlerini yaratan saldırganlar, kullanıcı bilgilerini çalmayı ya da doğrudan cihazın kontrolünü eline geçirmeyi hedefliyor.

Android Market’te gezerken geliştiricilerin web sitelerinin Google alan adı yerine googel üzerinden yönlendirildiğini gördük. Uygulamalar bir kez yüklendiğinde kullanıcının Facebook üzerinde paylaşmasına sebep oluyor ve Android Market’te kendine yüksek puan veriyor. Ayrıca Android cihazın masaüstünde kendine kısayollar yaratıyor.

Uygulama hassas bilgileri dışarıdaki sunuculara taşıdığı için esas problem orada başlıyor. İşletim sisteminin sürümü, telefonun kimliği olan IMEI numarası ve telefon numarası üçüncü kişilerle paylaşılıyor. Uygulama bir kez çalıştırıldığında bilgiler sunuculara gönderiliyor.

Google ile bilgilerimizi paylaştık ve uygulamalar kaldırıldı

Google’a bulduklarımızı rapor olarak sunduk. Bize pozitif yaklaştılar ve Android Market’te bildirdiğiz uygulamaları kaldırdılar. Ancak uygulamaların Android Market’ten kaldırılıyor olması tehlikenin geçtiğini göstermiyor. Siber suçlular hala üçüncü parti marketler, forumlar ve diğer gizli buluşma noktaları sağlayan diğer sitelere sahte uygulamaları yükleyerek yayılmasını sağlayabiliyor.

Bu sahte uygulama trendi hızla devam ediyor. Kullanıcıların uygulamaları yüklerken oldukça dikkatli olması gerekiyor. Trend Micro kullanıcıları elbette bu tehditlere karşı koruma altında. Ancak kullanıcıların bilinçli olması mobil cihazların bu tür saldırılardan korunmasında en önemli etken olduğunu vurgulamalıyız.

2011’de tehditler mobile yöneldi

Bir Cevap Yazın

2011 Androd işletim sisteminin yıldızının parladığı bir yıl oldu. Tabii bu yükseliş Android’i tehdit eden zararlı yazılımlara da yansıdı. Sıkça vurguladığımız gibi, Androd’in kullanıcı sayısındaki artış, bu kitleyi saldırganlar için cazibe noktası haline getirdi ve Android kullanıcılarını takibe almaları için uygun ortamı yarattı.

Tehditler nereden geliyor?

Bu tehditlerin çoğu, Çin’de bulunan üçüncü parti uygulama mağazalarından geliyor. Uygulama mağazaları genel olarak zararlı değiller, ancak gereken güvenli koşulları sunmak için yeterli kaynakları bulunmadığı için tehlike saçıyorlar. Bunun sonucu olarak da bu bağımsız uygulama mağazalarında zararlı yazılımlar, yeniden paketlenen ürünler ve korsan uygulamalar kolaylıkla kullanıcıların karşısına çıkabiliyor.

Ne tür tehditlere rastlıyoruz?

Mobil alanda ne tür tehditler gördük? Bu tehditlerin bazıları eski işletim sistemlerinde (OSes) görüldü. Buna bir örnek, kullanıcıları kendi istekleri dışında paralı servislere kaydeden giriş seviyesi servis istismarcıları. Aslına bakarsanız 2011’de üçüncü parti uygulama mağazalarının yanı sıra Android Market’e de ulaşan kötücül uygulamalarla giriş seviyesi servis istismarcıları en büyük tehdit oldu.

Bu tip tehditler, siber suçlulara kazanca ulaşmak için kestirme yolu gösterdiği için çok popüler. Bununla birlikte gelişmekte olan daha sofistike tehditlerin de olduğunu görüyoruz. Bu tür tehditlerin bazılar uzun zamandır masaüstü platformunda görülüyor. Mobil tehditler daha sofistike hale geldikçe daha önce de olduğu gibi masaüstünde rastlanan taktiklerin yeniden kullanılacaklarını görmek sürpriz olmayacak.

Bilgi hırsızları masaüstü bilgisayarlarda uzun zamandır sorun yaratıyorlardı. Fakat şimdi bu tehdit mobil platformları da etkilemeye başladı. Bu noktada DroidDreamLight ailesi iyi bir örnek olabilir. DroidDreamLight’ın eski sürümleri cihazla ilgili bilgi çalmaya yönlendirilmişken, günümüzde ise yeni versiyonları mesajlar ve çağrı kayıtları gibi kişisel bilgileri çalar hale geldi. Paradansa şirketlerin gizli bilgilerini çalmayı tercih eden bir saldırgan için bu tip bilgiler paha biçilmez denebilir.

Ayrıca 2011’de öne çıkan tehditlerden bir diğeri de finansal bilgilerin çalınması oldu. 2010’da ZeuS’la çalışan bir mobil kötücül yazılımı olan ve mobil telefonlardaki çift faktör doğrulama sistemini çökerten ZITMO’nun ilk vakaları görülürken, 2011’de ZITMO’nun Android versiyonuna rastladık. Bu örnek siber suçluların çift faktörlü doğrulama şemalarını alt etmek için neler yapabildiğini gözler önüne seriyor.

Peki açıklar ve bu açıkları kullanan tehditler tarafında ne oldu?

2011’de mobil işletim sistemlerindeki güvenlik açıkları olduğu ve bu açıklara pek çok saldırı gerçekleştiği görüldü. DroidKungFu’nun belirli sürümleri, temel öncelikleri kazanmak adına Android’in eski versiyonlarındaki açıklardan saldırı gerçekleştiriyor. (Android kodlarında açıklar keşfedilen tek telefon işletim sistemi olmadı. iOS ve Windows Phone 7’nin de açıkları bulundu.)

2011, mobil kötücül yazılım tehditlerinin yılı oldu. Fakat bu sizi yanıltmasın, 2012’de bu tehditler daha da kötüleşecek. Önerimiz; kullanıcıların bu tehditlere karşı kendilerini korumak için adımlar atması ve karşılaşılabilecek en kötü senaryolara karşı hazırlıklı olmasıdır.