{"id":12842,"date":"2024-09-30T12:11:48","date_gmt":"2024-09-30T09:11:48","guid":{"rendered":"https:\/\/www.kaspersky.com.tr\/blog\/?p=12842"},"modified":"2024-09-30T12:11:48","modified_gmt":"2024-09-30T09:11:48","slug":"necro-infects-android-users","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.tr\/blog\/necro-infects-android-users\/12842\/","title":{"rendered":"Necro Truva At\u0131 11 milyon Android kullan\u0131c\u0131s\u0131na nas\u0131l sald\u0131rd\u0131?"},"content":{"rendered":"

Kaspersky Daily olarak, blogumuzun okuyucular\u0131n\u0131 cihazlar\u0131na i\u00e7erik indirirken \u00e7ok dikkatli olmaya \u00e7a\u011f\u0131r\u0131yoruz<\/a>. Sonu\u00e7ta, modlar ve hacklenmi\u015f s\u00fcr\u00fcmler i\u00e7eren resmi olmayan kaynaklar bir yana, Google Play bile k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131mlara kar\u015f\u0131 dokunulmazl\u0131\u011fa sahip de\u011fildir<\/a>. Dijital d\u00fcnya d\u00f6nmeye devam etti\u011fi s\u00fcrece, Truva atlar\u0131 g\u00fcvenilir bir korumaya<\/a>\u00a0sahip olmayan cihazlara s\u0131zmaya devam edecektir.<\/p>\n

Bug\u00fcn d\u00fcnya \u00e7ap\u0131nda 11 milyon Android kullan\u0131c\u0131s\u0131n\u0131n Necro Truva At\u0131\u2019na nas\u0131l kurban gitmi\u015f olabilece\u011finin hikayesini anlat\u0131yoruz. Truva at\u0131n\u0131 hangi uygulamalarda buldu\u011fumuzu ve kendinizi nas\u0131l koruyaca\u011f\u0131n\u0131z\u0131 \u00f6\u011frenmek i\u00e7in okumaya devam edin.<\/p>\n

Necro nedir?<\/h2>\n

D\u00fczenli okuyucular\u0131m\u0131z Necro hakk\u0131ndaki 2019 tarihli ilk yaz\u0131m\u0131z\u0131<\/a> an\u0131msayacakt\u0131r. O d\u00f6nemde uzmanlar\u0131m\u0131z, Google Play\u2019de 100 milyondan fazla indirilen bir metin tan\u0131ma uygulamas\u0131 olan CamScanner\u2019da bir Truva at\u0131 ke\u015ffetmi\u015fti. \u015eimdi \u201cnekromanserler\u201d eski Truva at\u0131n\u0131 canland\u0131rd\u0131lar; ki hem Google Play\u2019deki pop\u00fcler uygulamalarda hem de resmi olmayan sitelerdeki \u00e7e\u015fitli uygulama modlar\u0131nda, \u00f6zellik bak\u0131m\u0131ndan daha g\u00fc\u00e7l\u00fc bir s\u00fcr\u00fcm\u00fcn\u00fc bulduk. Bu uygulamalar\u0131n geli\u015ftiricileri b\u00fcy\u00fck olas\u0131l\u0131kla, Necro\u2019nun koda s\u0131zd\u0131\u011f\u0131, do\u011frulanmam\u0131\u015f bir reklam entegrasyon arac\u0131 kulland\u0131lar.<\/p>\n

Kendi kodunu g\u00f6r\u00fcn\u00fc\u015fte zarars\u0131z bir g\u00f6r\u00fcnt\u00fc i\u00e7ine gizlemek i\u00e7in, k\u00f6t\u00fc ama\u00e7l\u0131 y\u00fck\u00fcn\u00fc steganografi<\/a> kullanarak kurnazca indiren bug\u00fcn\u00fcn Necro\u2019su, tespit edilmekten ka\u00e7\u0131nmak i\u00e7in gizlenmi\u015f<\/a> bir y\u00fckleyici<\/a> olsa da bu; onu bulmam\u0131z\u0131 engellemedi!<\/p>\n

\u0130ndirilen k\u00f6t\u00fc ama\u00e7l\u0131 mod\u00fcller; herhangi bir DEX<\/a> dosyas\u0131n\u0131 (Android i\u00e7in yaz\u0131lm\u0131\u015f derlenmi\u015f kod) y\u00fckleyip \u00e7al\u0131\u015ft\u0131rabilir, indirilen uygulamalar\u0131 y\u00fckleyebilir, kurban\u0131n cihaz\u0131 \u00fczerinden t\u00fcnel a\u00e7abilir ve hatta potansiyel olarak \u00fccretli abonelikler sat\u0131n alabilirler. Ayr\u0131ca, g\u00f6r\u00fcnmez pencerelerde reklamlar g\u00f6r\u00fcnt\u00fcleyebilir ve bunlarla etkile\u015fime girebilir, rastgele ba\u011flant\u0131lar a\u00e7abilir ve herhangi bir JavaScript kodunu \u00e7al\u0131\u015ft\u0131rabilirler.<\/p>\n

Necro\u2019nun nas\u0131l tasarland\u0131\u011f\u0131 ve nas\u0131l \u00e7al\u0131\u015ft\u0131\u011f\u0131 hakk\u0131nda daha fazla bilgiyi Securelist blogumuzda<\/a> bulabilirsiniz.<\/p>\n

Necro\u2019nun gizlendi\u011fi yerler<\/h2>\n

Spotify\u2019\u0131n kullan\u0131c\u0131 taraf\u0131ndan modlanm\u0131\u015f bir s\u00fcr\u00fcm\u00fcnde, foto\u011fraf d\u00fczenleme uygulamas\u0131 Wuta Camera\u2019da, Max Browser\u2019da ve hem WhatsApp hem de pop\u00fcler oyunlar\u0131n (Minecraft dahil) modlar\u0131nda k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m\u0131n izlerini bulduk.<\/p>\n

Modlanm\u0131\u015f Spotify\u2019da<\/h3>\n

Ara\u015ft\u0131rmam\u0131z\u0131n en ba\u015f\u0131nda Spotify Plus uygulamas\u0131nda yap\u0131lan al\u0131\u015f\u0131lmad\u0131k bir de\u011fi\u015fiklik dikkatimizi \u00e7ekti. Kullan\u0131c\u0131lar, resmi olmayan bir kaynaktan favori uygulamalar\u0131n\u0131n, hem \u00e7evrimi\u00e7i hem de \u00e7evrimd\u0131\u015f\u0131 olarak s\u0131n\u0131rs\u0131z dinleme sa\u011flayan, \u00fccretsiz ve kilitsiz bir abonelik sunan yeni bir s\u00fcr\u00fcm\u00fcn\u00fc indirmeye davet edildi. G\u00fczel ye\u015fil Spotify MOD APK \u0130ndir<\/em> d\u00fc\u011fmesi \u00e7ok cazip g\u00f6r\u00fcn\u00fcyor, de\u011fil mi? Durun! Bu k\u00f6t\u00fc ama\u00e7l\u0131 bir yaz\u0131l\u0131m. G\u00fcvenlik Onayl\u0131<\/em> ve Resmi Sertifika<\/em> garantilerini bo\u015f verin; bu uygulama b\u00fcy\u00fck bir y\u0131k\u0131ma sebep olacak.<\/p>\n

\"T\u00fcm<\/a>

T\u00fcm versiyonlar indirmeye a\u00e7\u0131k olsa da ben asla yanl\u0131\u015f olan\u0131 indirmem. Necro veya di\u011fer Truva atlar\u0131 da buralarda bir yerde gizleniyor olabilir mi?<\/p><\/div>\n

Bu uygulama ba\u015flat\u0131ld\u0131\u011f\u0131nda Truva at\u0131, sald\u0131rganlar\u0131n C2 sunucusuna enfekte cihaz hakk\u0131nda bilgi g\u00f6nderdi ve yan\u0131t olarak bir PNG resmi indirmek i\u00e7in bir ba\u011flant\u0131 ald\u0131. K\u00f6t\u00fc ama\u00e7l\u0131 y\u00fck<\/a>, steganografi arac\u0131l\u0131\u011f\u0131yla bu g\u00f6r\u00fcnt\u00fcye gizlenmi\u015fti.<\/p>\n

Google Play\u2019deki uygulamalarda<\/h3>\n

Spotify modu resmi olmayan kanallar arac\u0131l\u0131\u011f\u0131yla da\u011f\u0131t\u0131l\u0131rken, Necro bula\u015fm\u0131\u015f Wuta Camera, Google Play\u2019de kendine yer buldu ve uygulama buradan 10 milyondan fazla kez indirildi. Verilerimize g\u00f6re Necro y\u00fckleyicisi, Wuta Camera\u2019n\u0131n 6.3.2.148 s\u00fcr\u00fcm\u00fcne s\u0131zm\u0131\u015f olup, temiz s\u00fcr\u00fcmleri 6.3.7.138\u2019den ba\u015flamaktad\u0131r. Dolay\u0131s\u0131yla, s\u00fcr\u00fcm\u00fcn\u00fcz bundan daha d\u00fc\u015f\u00fckse, hemen g\u00fcncellemeniz gerekir.<\/p>\n

\"Etkileyici<\/a>

Etkileyici indirme say\u0131s\u0131 ve iyi derecelendirmeler bir Truva at\u0131n\u0131 maskeledi<\/p><\/div>\n

Max Browser\u2019\u0131n kitlesi \u00e7ok daha k\u00fc\u00e7\u00fck; sadece bir milyon kullan\u0131c\u0131. Necro, 1.2.0 s\u00fcr\u00fcm\u00fcnde uygulama koduna s\u0131zd\u0131. Uygulama, bildirimimizin ard\u0131ndan Google Play\u2019den kald\u0131r\u0131ld\u0131, ancak \u00fc\u00e7\u00fcnc\u00fc taraf kaynaklarda h\u00e2l\u00e2 mevcut. Elbette bunlara daha da az g\u00fcvenilmelidir, \u00e7\u00fcnk\u00fc taray\u0131c\u0131n\u0131n Truva atl\u0131 s\u00fcr\u00fcmleri h\u00e2l\u00e2 orada aktif durumda olabilir.<\/p>\n

WhatsApp, Minecraft ve di\u011fer pop\u00fcler uygulamalar\u0131n modlar\u0131nda<\/h3>\n

Alternatif mesajla\u015fma istemcileri genellikle resmi kuzenlerinden daha fazla \u00f6zelli\u011fe sahiptir. Ancak ister Google Play\u2019de ister \u00fc\u00e7\u00fcnc\u00fc taraf bir sitede olsun, t\u00fcm modlara \u015f\u00fcpheli<\/a> yakla\u015fmal\u0131s\u0131n\u0131z, \u00e7\u00fcnk\u00fc genellikle Truva atlar\u0131yla birlikte gelirler<\/a>.<\/p>\n

\u00d6rne\u011fin, resmi olmayan kaynaklardan da\u011f\u0131t\u0131lan Necro y\u00fckleyicili WhatsApp modlar\u0131n\u0131n yan\u0131 s\u0131ra Minecraft, Stumble Guys, Car Parking Multiplayer ve Melon Sandbox i\u00e7in modlar bulduk. Ve bu se\u00e7ki kesinlikle rastgele de\u011fil zira sald\u0131rganlar, her zaman en pop\u00fcler oyunlar\u0131 ve uygulamalar\u0131 hedef al\u0131r<\/a>.<\/p>\n

Necro\u2019ya kar\u015f\u0131 nas\u0131l korunulur?<\/h2>\n

\u00d6ncelikle, resmi olmayan kaynaklardan uygulama indirilmemesini<\/a> \u015fiddetle tavsiye ediyoruz \u00e7\u00fcnk\u00fc cihaza bu \u015fekilde bula\u015fma riski son derece y\u00fcksek. \u0130kinci olarak, Google Play ve di\u011fer resmi platformlardaki uygulamalar da makul d\u00fczeyde bir \u015f\u00fcpheyle de\u011ferlendirilmeli. Wuta Camera gibi 10 milyon indirmeye sahip pop\u00fcler bir uygulama bile Necro kar\u015f\u0131s\u0131nda yetersiz kald\u0131.<\/p>\n