ESET Araştırma Takımı, makus emelli yazılım indiren, saldırgan reklam tabanlı bir tehdit olan Android/FakeAdBlocker’ı tahlil etti. Android/FakeAdBlocker URL kısaltıcı hizmetlerini ve iOS takvimlerini suistimal ediyor. Android aygıtlara truva atları dağıtıyor.
Android/FakeAdBlocker genelde birinci sefer başlatıldıktan sonra başlatıcı simgesini gizliyor. İstenmeyen uydurma uygulama ya da yetişkin içerik reklamları sunuyor. iOS ve Android takvimlerinde gelecek aylarda istenmeyen e-posta aktiflikleri oluşturuyor. Bu reklamlar genelde fiyatlı SMS iletileri göndererek, gereksiz hizmetlere abone olarak ya da Android bankacılık truva atları, SMS truva atları ve berbat maksatlı uygulamalar indirerek kurbanların para kaybetmesine neden oluyor. Makûs maksatlı yazılım, bunlara ek olarak, reklam ilişkileri oluşturmak için URL kısaltıcı hizmetleri kullanıyor. Oluşturulan URL irtibatlara tıklandığında kullanıcılar para kaybına uğruyor.
ESET telemetrisine dayalı olarak, Android/FakeAdBlocker birinci kere Eylül 2019’da saptandı. 1 Ocak ile 1 Temmuz 2021 tarihleri ortasında, bu tehdidin 150.000’den fazla örneği Android aygıtlara indirildi. En çok etkilenen ülkeler ortasında Ukrayna, Kazakistan, Rusya, Vietnam, Hindistan, Meksika ve Amerika Birleşik Devletleri bulunuyor. Berbat hedefli yazılım birçok örnekte saldırgan reklamlar görüntülese de, ESET farklı makus gayeli yazılımların indirilip yürütüldüğü yüzlerce olay da saptadı; bunlara Chrome, Android Güncellemesi, Adobe Flash Player ya da Android’i Güncelle üzere görünen ve Türkiye, Polonya, İspanya, Yunanistan ve İtalya’daki aygıtlara indirilen Cerberus truva atı da dahil. ESET, Ginp truva atının Yunanistan ve Orta Doğu’da indirildiğini de belirledi.
Uygulama indirdiğiniz yerlere dikkat edin
Android/FakeAdBlocker’ı tahlil eden ESET Araştırmacısı Lukáš Štefanko şu açıklamayı yaptı: “Telemetremize dayalı olarak, birçok kullanıcı Android uygulamaları Google Play dışındaki kaynaklardan indirme eğilimi gösteriyor. Bu da, berbat hedefli yazılımların müelliflerinin gelir oluşturmak için kullanılan saldırgan reklam uygulamalarıyla yayılmasına yol açabiliyor.” Kısaltılmış URL irtibatlarından para kazanılması hakkında yorum yapan Lukáš Štefanko kelamlarına şu halde devam etti: “Birisi bu türlü bir ilişkiyi tıklattığında, kısaltılmış URL’yi oluşturan kişinin gelir elde etmesini sağlayan bir reklam görüntüleniyor. Sorun şu ki, bu irtibat kısaltıcı hizmetlerden kimileri, kullanıcıları aygıtlarının tehlikeli ve makus gayeli yazılımlar tarafından etkilendiğini söyleyen düzmece yazılımlar üzere saldırgan reklam teknikleri kullanıyorlar.”
ESET Araştırma Takımı, aktiflikleri iOS takvimlerine gönderen ve Android aygıtlarda başlatılabilen, makûs emelli yazılım Android/FakeAdBlocker’ı aktifleştiren irtibat kısaltıcı hizmetler tarafından oluşturulan etkinlikler saptadı. iOS aygıtlarda kullanıcıyı istenmeyen reklamlarla boğmanın yanı sıra, bu temaslar otomatik olarak bir ICS takvim belgesi indirerek kurbanların takvimlerinde etkinlikler yaratabiliyor.
Kullanıcılar aldatılıyor
Štefanko kelamlarına şu halde devam etti: “Her gün gerçekleşen ve her biri 10 dakika süren 18 aktiflik yaratıyor. İsimleri ve açıklamaları kurbanın telefonuna virüs bulaştığı, kurbanın bilgilerinin çevrimiçi açığa çıktığını ve virüse karşı muhafaza uygulamasının kullanım mühletinin sona erdiği izlenimini yaratıyor. Aktifliklerin açıklamalarında, kurbanı geçersiz reklam yazılımı web sitesini ziyaret etmeye yönlendiren bir temas yer alıyor. O web sitesi yeniden aygıta virüs bulaştığını argüman ediyor ve kullanıcıya Google Play’den kelamda daha pak uygulamalar indirme seçeneği sunuyor.”
Android aygıtları kullanan kurbanlar için durum daha da tehlikeli; zira bu dolandırıcılık emelli web siteleri Google Play mağazası dışından makus emelli uygulama indirilmesine yol açabiliyor. Bir senaryoda, web sitesi yasal uygulamayla en ufak bir ilgisi olmayan ve reklamları engellemenin tam aksisini yapan “adBLOCK” ismi verilen bir uygulamanın indirilmesini istiyor. Bir öbür senaryoda, kurbanlar istenen belgeyi indirmek için ilerlediklerinde, “Your File Is Ready To Download (Dosyanız İndirilmeye Hazır)” isimli berbat maksatlı uygulamayı indirme ve kurma adımlarının yer aldığı bir web sayfası görüntüleniyor. Her iki senaryoda da, URL kısaltma hizmeti aracılığıyla geçersiz reklam yazılımı ya da Android/FakeAdBlocker truva atı gönderiliyor.
Kaynak: (BHA) – Beyaz Haber Ajansı
