Google’ın Play Store’da Netflix aracı kılığında bulunan yeni keşfedilen Android kötü amaçlı yazılımları, gelen mesajlara WhatsApp otomatik yanıtlarını kullanarak diğer cihazlara otomatik olarak yayılacak şekilde tasarlanmıştır.
Check Point Research’teki (CPR) araştırmacılar, FlixOnline adında bir uygulama olarak gizlenen ve potansiyel kurbanları Netflix içeriğine ücretsiz erişim vaatleriyle cezbetmeye çalışan bu yeni kötü amaçlı yazılımı keşfettiler.
CPR araştırmacıları, araştırma bulgularını sorumlu bir şekilde Google’a açıkladı ve kötü amaçlı uygulamayı Play Store’dan hızla kaldırıp kaldırdı.
Kötü amaçlı FlixOnline uygulaması, mağazadan indirilebildiği iki ay boyunca yaklaşık 500 kez indirildi.
WhatsApp Aracılığı ile Kötü Amaçlı Sitelere Yöneltiyor!
Uygulama Google Play Store’dan bir Android cihaza yüklendikten sonra kötü amaçlı yazılım, yer paylaşımı, pil optimizasyonunun yok sayılması ve bildirim izinleri isteyen bir hizmet başlatır.
İzinler verildikten sonra kötü amaçlı yazılım, kimlik bilgisi hırsızlığı amacıyla herhangi bir uygulama penceresi üzerinde katman oluşturabilir, cihazın enerji tüketimini optimize etme sürecini kapatmasını engelleyebilir, uygulama bildirimlerine erişim elde edebilir ve mesajları yönetebilir veya yanıtlayabilir.
Ardından, komuta ve kontrol sunucusundan alınan ve operatörleri tarafından hazırlanmış özel metin yüklerini kullanarak gelen tüm mesajlara otomatik yanıt vermek için yeni WhatsApp bildirimlerini izlemeye başlar.
Check Point Mobil İstihbarat Müdürü Aviran Hazum, “Buradaki teknik, bildirimleri yakalayarak ve Bildirim Yöneticisi aracılığıyla ‘reddetme’ veya ‘yanıtlama’ gibi önceden tanımlanmış eylemleri gerçekleştirme becerisiyle WhatsApp bağlantısını kaçırmaktır.” dedi.
“Kötü amaçlı yazılımın bu kadar kolay gizlenebilmesi ve nihayetinde Play Store’un korumalarını atlayabilmesi, bazı ciddi tehlike işaretlerini ortaya çıkarıyor.”
Check Point, bu kampanyada gözlemlenen otomatik yanıtların kurbanları kimlik bilgilerini ve kredi kartı bilgilerini toplamaya çalışan sahte bir Netflix sitesine yönlendirdiğini söyledi.
Peki Ne İçin Yapılıyor!
Saldırganlar, bu kötü amaçlı yazılımı kullanarak, aşağıdakiler de dahil olmak üzere çeşitli kötü amaçlı etkinlikler gerçekleştirebilir:
- Kötü amaçlı bağlantılar aracılığıyla daha fazla kötü amaçlı yazılım yaymak.
- Kullanıcıların WhatsApp hesaplarından veri çalmak.
- Kullanıcıların WhatsApp kişilerine ve gruplarına sahte veya kötü amaçlı mesajlar yaymak (örneğin, işle ilgili gruplar)
- Hassas WhatsApp verilerini veya görüşmelerini tüm kişilerine göndermekle tehdit ederek kullanıcıları zorla almak.
Check Point sözlerini “Kurtulabilir Android kötü amaçlı yazılımı, kullanıcıların, güvenilir kişilerden veya mesajlaşma gruplarından geliyormuş gibi görünseler bile, WhatsApp veya diğer mesajlaşma uygulamaları aracılığıyla aldıkları indirme bağlantılarına veya eklerine karşı dikkatli olmaları gerektiğini vurguluyor.” dedi.
“CPR, bu kötü amaçlı yazılım kampanyasını durdurmaya yardımcı olsa da, tespit edilen kötü amaçlı yazılım ailesinin burada kalacağından şüpheleniyoruz, çünkü Play Store’da farklı uygulamalarda geri dönebilir.”
Kötü amaçlı yazılım örnek karmaları ve C2 sunucu adresi dahil olmak üzere güvenlik ihlali göstergeleri (IOC’ler) Check Point raporunun sonunda mevcuttur.
Zimperium araştırmacıları tarafından üçüncü taraf Android uygulama mağazalarında keşfedilen bir Sistem Güncellemesi olarak gizlenmiş başka bir Android kötü amaçlı yazılımı, tehdit aktörlerine yeni bilgiler hırsızlık için hazır olduğunda otomatik olarak tetiklenecek şekilde tasarlanmış casus yazılım yetenekleri sağladı.
