GoogleMobileSecurity

Google Play’deki ‘Akıllı TV uzaktan kumandası’ Android uygulaması kötü amaçlı yazılımdır

Google Oyun

Google Play mağazasında bulunan iki Android uygulamasının bu hafta kötü amaçlı yazılım içerdiği tespit edildi.

Bu uygulamalara ‘Akıllı TV uzaktan kumandası’ ve ‘Cadılar Bayramı Boyama’ adı verilir, birincisi en az 1.000 defadan fazla indirilmiştir.

Akıllı TV uzaktan kumanda uygulaması ‘Joker’ kötü amaçlı yazılımını paketler

Bu hafta, Kaspersky’deki Android kötü amaçlı yazılım analisti Tatyana Shishkova, Joker kötü amaçlı yazılımıyla bağlantılı iki Google Play uygulamasının adını açıkladı.

Bu uygulamalardan en az biri olan ‘Smart TV remote’, 29 Ekim’de yayınlanmasından bu yana 1.000’den fazla kez yüklendi.

Shishkova’ya göre, bu uygulamalar Joker kötü amaçlı yazılımıyla truva atı atılıyor:

BleepingComputer tarafından daha önce bildirildiği üzere, Joker kötü amaçlı yazılımının arkasındaki tehdit aktörleri görünüşte iyi huylu uygulamalarda kötü amaçlı kodu gizle ve bunları resmi uygulama mağazalarında yayınlayın. Bu yılın başlarında, 500.000’den fazla Huawei Android cihazına Joker bulaştığı tespit edildi.

Kötü amaçlı yazılımın, kullanıcıların rızası veya bilgisi olmadan premium mobil hizmetlere abone olduğu bilinmektedir.

Gizlenmiş kod paketleri ELF’leri ve APK’ları indirir

Kötü amaçlı kodu daha iyi analiz etmek için BleepingComputer, Android uygulamalarını aldı ve bu APK’ları geri derledi.

Shishkova tarafından da onaylandığı gibi, kötü amaçlı kod Smart TV uzaktan kumanda uygulamasındaki “resources/assets/kup3x4nowz” dosyasında bulunuyor. Halloween Coloring uygulaması için aynı konumda “q7y4prmugi” adlı özdeş bir dosya bulunur.

Bu dosyalar, aşağıda gösterilen, bir Linux paketini paketleyen base64 kodunu içerir. ELF ikili:

APK içindeki base64 kodu
Kötü niyetli Android uygulaması içinde Base64 paketlenmiş ELF (BipleyenBilgisayar)

Bu ELF ikili programı, bir Amazon AWS bulut sunucusunda barındırılan ikinci aşama yükünü daha da indirir. ELF’lerde ikinci aşama yüke ilişkin URL’ler şunlardır:

Akıllı TV uzaktan kumandası uygulaması: https://50egvllxk3.s3.eu-west-3.amazonaws[.]com/yr41ajkdp5
Cadılar Bayramı Boyama uygulaması: https://nwki8auofv.s3.sa-east-1.amazonaws[.]com/vl39sbv02d

yük için aws url'si
Bir AWS sunucusundan indirilen ikinci aşama yükü (BipleyenBilgisayar)

BleepingComputer tarafından kontrol edildiği gibi, bu dosyalar yr41ajkdp5 ve vl39sbv02d XOR ile şifrelenmiş olduklarından, şimdiye kadar önde gelen antivirüs motorlarının hiçbiri tarafından algılanmadı.

Ancak bu dosyaların bir XOR anahtarı ‘0x40’ ile kodunun çözülmesi APK arşivleri oluşturur. Özünde, yarı iyi huylu ‘Akıllı TV uzaktan kumandası’ ve ‘Halloween Coloring’ uygulamaları, Android cihazlarınıza kötü amaçlı uygulamalar indirmek için bir cephedir.

Geçen ay, kötü amaçlı “fotoğraf düzenleyici” uygulamaları da Google Play mağazasında otururken yakalandı Shishkova ve mobil ödeme siber güvenlik firması Evina’da güvenlik araştırmacısı olan Maxime Ingrao tarafından.

BleepingComputer, kötü niyetli “Akıllı TV uzaktan kumandası” ve “Halloween Coloring” uygulamalarını yayınlamadan önce Google Play’e bildirdi ve Google’ın yanıtını bekliyoruz.

Google Play Protect’in sonunda bu uygulamaları yakalayabileceği ve uygulamaların Play Store’da yayınlanmasına yol açan ilk kaçırmaya rağmen etkilenen kullanıcılara otomatik koruma sunabileceği makul.

“Google Play Protect, uygulamaları yüklediğinizde kontrol eder. Ayrıca cihazınızı düzenli aralıklarla tarar. Zararlı olabilecek bir uygulama bulursa size bir bildirim gönderebilir,… siz uygulamayı kaldırana kadar uygulamayı devre dışı bırakın, [or] uygulamayı otomatik olarak kaldır”, diyor Google’ın resmi belgeler.

Bu arada, bu uygulamalardan herhangi birini yüklemiş olan kullanıcılar, uygulamayı hemen kaldırmalı, akıllı telefonlarını temizlemeli ve hesaplarından başlatılan yetkisiz abonelikleri veya faturalandırma etkinliklerini kontrol etmelidir.




Source link

Başa dön tuşu

Reklam Engelleyici Algılandı

Lütfen reklam engelleyiciyi devre dışı bırakarak bizi desteklemeyi düşünün