Kötü amaçlı yazılım bulaşan Android uygulama mağazası

APKPure uygulama mağazasına, Android cihazlara Truva atları indiren kötü amaçlı bir modül bulaştı.

Kötü amaçlı yazılım yükleme olasılığınızı azaltmak için uygulamaları her zaman yalnızca resmi mağazalardan indirmenizi öneriyoruz. Bunun yanında resmi olmayan mağazalar yalnızca kötü amaçlı uygulamaları barındırmakla kalmaz, aynı zamanda kendileri de hiç güvenli olmayabilir. Yakın zamanda yapılan bir incelemenin sonucunda, Android uygulamaları için popüler bir alternatif kaynak olan APKPure’a Truva Atı bulaştığını ve başka Truva atları dağıttığını bildirmekten üzüntü duyuyoruz.

APKPure ne işe yarıyor?

Tüm Android uygulama mağazalarının içinde en resmi olanı elbette Google Play. Ancak yalnızca Google Mobil Hizmetlerini (GMS) kullanan ve sıkı şekilde Google’ın altyapısına bağlı kalan cihazlarda kullanılabilir. Bazı sağlayıcılar Google’a bağımlı olmamak için GMS kitaplıklarını kullanmaz ve Android açık bir işletim sistemi olduğu için bunu yapmaları mümkündür.

Kullanıcılar açısından bunun hem avantajları hem de dezavantajları var. Android kullanıcılarının normal uygulamaları indirebildiği Google’ın uygulama mağazasına erişimin kaybedilmesi önemli bir dezavantajdır.

Alternatif mağazaların devreye girdiği yer burasıdır ve APKPure da bu mağazalardan biri. Diğer uygulama mağazalarından farklı olarak, yalnızca ücretsiz veya paylaşılan yazılım (shareware) şeklindeki uygulamaları barındırıyor. Ayrıca APKPure’un sahipleri, mağazalarındaki tüm uygulamaların Google tarafından tarandığına ve tamamen güvenli olduğuna vurgu yapıyor; uygulamaların Google Play’dekilerle tamamen aynı olduğunu söylüyorlar.

Peki APKPure’da ne oldu?

Mağazadaki uygulamalar tüm testleri geçmiş olabilir, ancak APKPure uygulaması bu testlerden geçmemiş. Bu olay, uygulama geliştiricilerinin, daha sonra kötü niyetli olduğu ortaya çıkan, doğrulanmamış bir kaynağa ait reklam SDK’sı kullandığı CamScanner olayını akıllara getiriyor. APKPure’a da kötü amaçlı yazılım bu şekilde girdi.

Görünüşe göre APKPure sürüm 3.17.18, Kaspersky çözümlerinin HEUR: Trojan-Dropper.AndroidOS.Triada.ap olarak algıladığı, gömülü bir Truva atı dropper’ına (dosya yükleyici) sahip bir reklam SDK’sı ile donatılmıştı. Uygulama başlatıldığında, yüklü olan Truva atını açar ve çalıştırır, ki tehlikeli olan kısım da bu. Bu bileşen birkaç şey yapabilir: kilit ekranında reklam gösterir; tarayıcı sekmeleri açar; cihaz hakkında bilgi toplar; ve en tatsız olanı, diğer kötü amaçlı yazılımları indirir.

APKPure yüklü bir cihazın başına neler gelebilir?

Hangi Truva atının indirileceği (APKPure’da yerleşik olanına ek olarak), cihazın Android sürümünün yanı sıra akıllı telefon sağlayıcısının güvenlik güncellemelerini ne kadar düzenli yayınladığına ve kullanıcının bunları yükleyip yüklemediğine bağlıdır.

Kullanıcı, işletim sisteminin görece yeni bir sürümüne sahipse, yani Android 8 veya üstü, ki bu da root (kök erişimi) izinlerini rastgele vermez, dropper Triada Truva Atı için ek modüller yükler. Bu modüller, saydığımız diğer şeylerin yanı sıra, ücretli abonelikler satın alabilir ve başka kötü amaçlı yazılımları indirebilir.

Cihaz daha eskiyse, Android 6 veya 7 çalıştırıyorsa ve güvenlik güncellemeleri yüklenmemişse (veya bazı durumlarda sağlayıcı tarafından bile yayınlanmamışsa) ve bu nedenle hala root edilebiliyorsa, bu durumda yüklenecek kötü amaçlı yazılım xHelper Truva Atı olabilir. Bu canavarı yok etmek oldukça zor; fabrika ayarlarına döndürmek bile bunu başaramaz. Root erişimi ile donanmış xHelper, saldırganların cihazda neredeyse istedikleri her şeyi yapmalarına izin verir.

Peki artık APKPure güvenli mi?

8 Nisan’da, konu hakkında APKPure’u bilgilendirdik. 9 Nisan’da, APKPure temsilcileri sorunu gördüklerini ve düzeltme üzerinde çalıştıklarını söylediler. Bundan kısa bir süre sonra, APKPure web sitesinde yeni bir sürüm (3.17.19) çıktı. Güncellemede yer alan açıklamaya göre, “APKPure’u daha güvenli bir hale getiren potansiyel bir güvenlik sorunu düzeltildi.”

Sorunun gerçekten çözüldüğünü doğrulayabiliriz: APKPure 3.17.19, kötü amaçlı bileşen içermiyor. Güvenle kullanılabilir.

Truva Atına sahip APKPure’a karşı kendinizi nasıl korursunuz?

APKPure kullanmıyorsanız endişelenmenize gerek yok — bugünün konusu olan sorun sizi ilgilendirmiyor. Ancak gelecekte karşılaşılabilecek benzer sorunlardan kaçınmak için şunlar yapın:

  • Resmi olmayan kaynaklardan asla uygulama indirmeyin ve Android’in ayarlarından üçüncü taraf kaynaklardan indirilen uygulamaların yüklenmesini engelleyin;
  • Tüm yeni dosyaları otomatik olarak tarayan güvenilir bir güvenlik çözümü;
  • işletim sistemini ve tüm uygulamaları düzenli olarak güncelleyin;

APKPure kullanıyorsanız, ek olarak şunları da yapmanızı öneririz:

  • APKPure uygulamasını, sorunun giderildiği (yani, 3.17.19 veya daha yeni) sürüme güncelleyin;
  • Cihazınızı tam kapsamlı bir antivirüs taramasından geçirin.

İpuçları