Kötü amaçlı Android uygulaması, Google Play mağazasında 100 milyondan fazla kez indirildi.

Eylül 2, 2019

Kaspersky araştırmacıları, cep telefonu tabanlı ve OCR (optik karakter tanıma) özellikli bir PDF oluşturucu olan ve Google Play mağazasından indirilme sayısı 100 milyonu geçen CamScanner adındaki uygulamada kötü amaçlı yazılım buldu. Çeşitli kaynaklarda uygulama, CamScanner — Phone PDF Creator ve CamScanner-Scanner to scan PDFs gibi kısmen farklı adlarla da anılıyor.

Google Play gibi resmi uygulama mağazaları, yazılım indirme konusunda genellikle güvenli bölge olarak görülür. Ancak ne yazık ki hiçbir yer tamamen güvenli değildir ve kötü amaçlı yazılım dağıtıcıları da zaman zaman uygulamalarını Google Play mağazasına gizlice sokmanın bir yolunu bulmaktadır.

Burada sorun, Google gibi güçlü bir şirketin bile milyonlarca uygulamayı kapsamlı bir şekilde kontrol edemiyor olmasıdır. Uygulamaların çoğunun düzenli olarak güncellendiği, dolayısıyla Google Play moderatörlerinin işlerinin asla bitmediği de unutulmamalıdır.

Aslında CamScanner uzunca bir süre herhangi bir kötü niyeti olmayan, kurallara uygun bir uygulamaydı. Gelir kaynağı olarak reklamları kullanıyordu ve hatta uygulama içi satın alma dahi söz konusuydu. Fakat bir noktada bu durum değişti ve uygulama son sürümlerinde, içinde kötü amaçlı modül yer alan bir reklam kitaplığı ile birlikte gelmeye başladı.

Kaspersky ürünleri bu modülü, Çin malı akıllı telefonlara önceden yüklü olarak gelen bazı uygulamalarda gördüğümüz Trojan-Dropper.AndroidOS.Necro.n olarak algılamaktadır. Adından da görüldüğü üzere modül, bir Trojan Dropper’dır. Yani modül, uygulamanın kaynağında bulunan şifreli bir dosyadan başka bir kötü amaçlı modül çıkarıp çalıştırmaktadır. Çıkarılan bu kötü amaçlı yazılım da, o noktada geliştiricilerinin neyin peşinde olduğuna göre daha da kötücül modüller indiren bir Trojan İndiricisidir.

Örneğin, bu kötü amaçlı kodu içeren bir uygulama, izinsiz reklamlar gösterebilir ve kullanıcıları ücretli aboneliklere kaydettirebilir.

Bazı CamScanner kullanıcıları, uygulamanın şüpheli davrandığını fark etmiş ve uygulamanın Google Play sayfasında görüşlerini uygulamanın engellenmesine yönelik uyarılarla birlikte belirtmiştir.

Kaspersky araştırmacıları, uygulamanın yeni bir sürümünü incelemiş ve söz konusu kötü amaçlı modülü bulmuştur. Bulgularımızı Google yetkililerine ilettik ve uygulama Google Play mağazasından hemen kaldırıldı.

CamScanner uygulamasının geliştiricileri, son güncelleme ile kötü amaçlı koddan kurtulmuşa benziyorlar. Yine de, uygulamanın sürümlerinin cihazlara göre farklılık gösterdiği ve bazılarında hala kötü amaçlı kod bulunabileceği dikkate alınmalıdır.

Bu durumdan çıkarabileceğimiz ders, resmi bir mağazadan, hatta bu konuda iyi bir şöhrete sahip olan ve hatta milyonlarca olumlu görüşe ve geniş, sadık bir kullanıcı kitlesine sahip bir mağazadan indirilse dahi her uygulamanın bir gecede kötü amaçlı bir yazılıma dönüşebileceğidir. Her uygulama, köklü bir değişiklikten sadece bir güncelleme kadar uzaktır. Böyle bir duruma asla düşmemek için, Android uygulamalara yönelik güvenilir bir antivirüs programı kullanın ve arada sırada telefonunuzu taratın. Kaspersky Internet Security for Android programının ücretli sürümü taramaları otomatik olarak gerçekleştirir.)