Reklam
GoogleMobileSecurity

Hâlâ Google Play mağazasında oturan fotoğraf düzenleyici Android uygulaması kötü amaçlı yazılım

android

Google Play mağazasında bulunan bir Android uygulaması, kendisini bir fotoğraf düzenleyici uygulaması olarak tanıtıyor. Ancak, kullanıcı adına, ödeme bilgileriyle birlikte potansiyel olarak reklam kampanyaları yürütmek için kullanıcının Facebook kimlik bilgilerini çalan bir kod içerir.

Uygulamaya “Blender Photo Editor-Easy Photo Background Editor” denir ve bugüne kadar 5.000’den fazla kez yüklenmiştir.

Geçen hafta Play Store’da 500.000’den fazla yüklemeye sahip benzer kötü amaçlı uygulamalar da bulundu.

Facebook ile “Giriş” sadece giriş yapmaktan fazlasını yapar

Birçok Android uygulaması gibi, “Blender Photo Editor-Easy Photo Background Editor” uygulaması da Facebook ile oturum açma işleviyle birlikte gelir. Bunun dışında, bazı şüpheli şeyler yapmak için Facebook kimlik bilgilerinizi de kullanır.

Tatyana ŞişkovaKaspersky’de bir Android Kötü Amaçlı Yazılım Analisti olan , bu hafta “trojan” uygulamasını keşfetti. hala uygun Google Play mağazasında, yazarken.

kötü amaçlı fotoğraf düzenleyici Android uygulaması
Fotoğraf düzenleyici Android uygulaması hâlâ Google Play mağazasında duruyor (BipleyenBilgisayar)

Uygulama, geçen hafta benzer “fotoğraf düzenleyici” uygulamalarında bulunanla aynı kötü amaçlı kod içeriyor. Maxime Ingrao, mobil ödeme siber güvenlik firması Evina’da güvenlik araştırmacısı.

Bu Android uygulamaları, Android kullanıcılarının uygulamaya erişmek için Facebook hesapları aracılığıyla oturum açmasını gerektirir, ancak daha sonra, uygulamanın içinde gizlenmiş şifreli JavaScript komutları aracılığıyla kimlik bilgilerini sessizce toplamasını gerektirir.

Uygulamalar daha sonra kullanıcının Facebook hesabına göz atmak ve herhangi bir reklam kampanyasını ve saklanan ödeme bilgilerini aramak için Facebook Graph API’sine istekte bulunur.

Ingrao’ya göre kötü amaçlı yazılım, “yapmış olabileceğiniz reklam kampanyalarıyla ve kayıtlı bir kredi kartınız olup olmadığıyla çok ilgileniyor.” Bu, bu uygulamaların arkasındaki saldırganın, kullanıcının Facebook kimlik bilgileri ve bağlantılı ödeme bilgileri aracılığıyla kendi reklam kampanyalarını oluşturmasına olanak tanır.

500.000’den fazla kez yüklenen özdeş uygulamalar

Ingrao daha önce “Magic Photo Lab – Photo Editor” ve “Pix Photo Motion Edit 2021” adlı benzer kötü amaçlı uygulamaları keşfetmişti ve ikincisi 500.000’den fazla yüklemeye sahipti.

Her iki uygulama da o zamandan beri Google Play mağazasından kaldırıldı.

Google Play mağazasında 500.000'den fazla indirilen kötü amaçlı Android uygulamaları
Google Play mağazasında 500.000’den fazla indirilen kötü amaçlı Android uygulamaları (BipleyenBilgisayar)

Araştırmacı, bu uygulamalarda doğru olmayan bir şeyi nasıl bulduğuna dair BleepingComputer ile bazı görüşler paylaştı.

Ingrao, bir e-posta röportajında ​​BleepingComputer’a “Şüpheli kodu önce dinamik bir analiz yaparak fark ettim” dedi.

“WebView’ün kimlik bilgilerini almak için JavaScript çalıştırdığını fark ettim. Ardından kodu indirdim ve kodun içindeki metinlerin şifresini çözen işlevi yeniden kodladım, yürütülen JavaScript’i ve Facebook Graph API’sine yapılan çağrıları bu şekilde buldum” diye devam etti. Fransız güvenlik araştırmacısı.

BleepingComputer ayrıca şunları da analiz etti: APK Google Play’de hala yayında olan ve uygulamada aynı kötü amaçlı kodun görüldüğünü onaylayabilen “Blender Photo Editor-Easy Photo Background Editor” için.

Analizimiz sırasında, Android uygulamasının Java kaynak kodunu derlenmiş APK’dan kabaca yeniden oluşturmaya çalıştık (bayt kodu).

“sources/com/easyblender/blendphoto/Blends/ext/AnaActivity.java” şüpheli sınıfı, Ingrao tarafından başvurulan Web Görünümünü içerir. Ek olarak, “m.face” ve “mf” gibi kısmi dizeleri de fark ettik. m.facebook.com ve m.fb.com etki alanları.

Karışık kod, çeşitli yerlerde, yalnızca uygulama canlı olarak çalışırken şifresi çözülen JavaScript koduyla şifrelenmiş dizeler içerir. Kullanıcının Facebook’unu almak için kodda talimatlar var “erişim_token” Facebook API’sinde kimlik doğrulaması yapmak ve Facebook oturumu tanımlama bilgilerine erişmek için, “c_user“—hepsi normal “Facebook ile Oturum Açma” iş akışının bir parçası olarak görünebilir.

Kötü Amaçlı Fotoğraf Düzenleyici uygulama kodu
Uygulamanın içinde bulunan çeşitli gizlenmiş ve şifrelenmiş kod örnekleri (BipleyenBilgisayar)

Ancak çalışma zamanında aşağıdaki JavaScript kodu, Ingrao tarafından görüldü, ek casusluk yapar. Uygulama tarafından başlatılan bir Web Görünümü, kullanıcı tarafından girilen Facebook kimlik bilgilerini almak için bu JavaScript kodunu çalıştırır.

Ve bu, kullanıcının hesabında bulunan herhangi bir Facebook reklam kampanyasına ve ilgili ödeme bilgilerine göz atmak için Facebook’un Grafik API’sine yukarıda belirtilen talepler yapıldığında:

Kötü amaçlı JS kodu çalışma zamanında şifresini çözer
Kötü amaçlı JS kodu çalışma zamanında şifresini çözer (Maxime Ingrao)

Android kullanıcıları, son zamanlarda Google Play mağazasında görülen bu tür “fotoğraf düzenleyici” uygulamalarına karşı dikkatli olmalıdır. Bu tür bir uygulamayı zaten yüklemiş olanlar, uygulamayı hemen kaldırmalı, akıllı telefonlarını temizlemeli ve Facebook kimlik bilgilerini sıfırlamalıdır.

BleepingComputer, yukarıda bahsedilen Blender fotoğraf düzenleyici uygulamasını yayınlamadan önce Google Play’e bildirdi.




Source link

Başa dön tuşu

Reklam Engelleyici Algılandı

Lütfen reklam engelleyiciyi devre dışı bırakarak bizi desteklemeyi düşünün