Google Play’de 400 Trojan

Ekim 13, 2016

Android kullanıcılarına sık sık uygulamaları resmi uygulama dükkanlarından indirmelerini öğütlüyoruz.  Google Play’den uygulama indirmek diğer yerlerden indirmekten daha güvenli, çünkü bir uygulamanın Google Play’e girebilmesi için bir grup testlerden geçmesi ve onaylar alabilmesi lazım.

Bu önlemlere rağmen zararlı yazılım içeren uygulamalar zaman zaman Google Play’e sızabiliyor. Geçtiğimiz günlerde Google Play’de yaşanan büyük olayda Google Play’de bulunan 400’den fazla uygulama (ve başka kaynaklardaki 3,000 civarı uygulama)’ya DressCode Trojanı bulaştı.

dresscode-trojan-featured

İlk bakışta ismi komik geliyor, ‘Giysi Kodu Trojanı’: Bu Trojan ilk defa araştırmacılar tarafından 2016 Ağustos’ta, kız çocukları için hazırlanmış oyunlar ve uygulamalarda keşfedildi.

Bu uygulamalardan bir tanesi Google Play’de yaklaşık 500,000 defa indirilmiş çok popüler bir uygulamaydı. Ayrıca diğer uygulamalar da aynı Trojan bulaştığı tespit edildi. O zamana kadar 400 tane fazla zararlı yazılım bulaştığı uygulama bulundu, bunlardan 40 tanesi Google Play’deydi. Araştırmacılar durumu Google’a bildirdi, Google da bu zararlı uygulamaları marketten kaldırdı. Ama bu buzdağının sadece görünen kısmıydı..

Bu olaydan sonra başka bir grup araştırmacı bu Trojan ile ilgilenmeye başladı ve derinlemesine araştırma yapmaya, benzer uygulama marketlerini aramaya karar verdiler. Birkaç gün sonra ekip 3,000 uygulamanın DressCode Trojan’ından etkilendiğini ve 400 tanesinin Google Play’de olduğunu belirtti.

Etkilenen uygulamaların çoğu oyun ve oyunla alakalı şeylerdi – mesela oyun hakkında ipuçları ve oyunla ilgili bildirimler veren uygulamalar ağırlıktaydı.

DressCode ile ilgili en büyük sorun, Trojanı keşfetmenin zor olması. Programın yazılım kodu diğerlerine nazaran çok az. Büyük ihtimalle bu sebeple Google’ın yetkilileri fark edemiyor ve Google Play’e girmesi için onay veriyorlar.

DressCode Trojanı ne işe yarar?

Genel olarak DressCode Trojan’ının tek işi yönetim ve kontrol sunucusuna bağlanmaktır. Genellikle yönetim ve kontrol sunusuna bir defa bağlandığında, sunucu geri komut göndererek Trojan’ı “uyutur”, böylelikle anlık olarak tespit etmek neredeyse imkansız hale gelir.

Cihazınıza bulaşan zararlı yazılımı kontrol edenler cihazınızı kullanmaya karar verdiğinde Trojan’I uyandırır, akıllı cihazınızı ya da tabletinizi proxy sunucusuna çevirirler ve internet trafiğini üzerinizden sağlarlar.

Siber suçluların bundan çıkarı ne?
Öncelikle zararlı yazılım bulaşmış cihazlar belli IP adreslerine botnet tüneli olabilirler. Bu yöntem siber suçlular için trafiği arttırmak, linklere tık sağlamak, reklamlara tıklamak ve DDoS saldırısı düzenleyerek internet sitelerini çökertmek amaçlı kullanılabilir.

İki, virüs bulaşmış cihaz bazı yerel ağ kaynaklarına erişebilir, saldırganlar da buraya erişerek önemli verileri çalabilir.

Botnet olmak istemiyorum! Ne yapmam lazım?

Aslında genel uyarımıza (uygulamaları sadece resmi kaynaklardan indirin) uyduğunuz zaman başınıza çok çok nadir gelebilecek bir olay bu. Ayrıca diğer kaynaklara bakınca Google Play’de bulunan zararlı yazılım sayısının diğerlerinden çok daha az olduğu doğru. Ancak aynı anda 400 zararlı yazılım bulaşmış uygulama da pek az bir sayı değil. Bunların yanı sıra bulaştıkları uygulamalar da küçük uygulamalar değiller. Mesela Minecraft “GTA 5” modu (Evet, gerçekten böyle bir şey var). Bu uygulama 500,000 defa indirilmiş bir uygulama.

Kısaca yapmanız gerekenler ise şöyle;
1. Uygulama indirirken dikkatli olun. Bilinmeyen bir uygulama indirecekseniz, önce yorumları okuyun. Uygulamanın istediği izinlere dikkat edin ve düşünün. Maalesef yorumlara güvenilmez ama yine de uygulama hakkında fikir verebilir.

2. Mobil cihazınıza güçlü bir güvenlik çözümü yükleyin. Kaspersky Antivirus & Security for Android, DressCode trojanını HEUR:Backdoor.AndroidOS.Sobot.a. ismiyle tanıyor. Eğer uygulamamızı satın aldıysanız, indirdiğiniz tüm uygulamaları tarayarak size DressCode’a karşı koruyor. Eğer ücretsiz sürümü kullanıyorsanız, cihazınızı düzenli olarak taramayı unutmayın.