Rahatsız edici bir gelişmeyle Necro Truva Atı, Google Play’de yeniden ortaya çıktı, popüler uygulamaları etkiledi ve dünya çapında milyonlarca Android cihaza ulaştı.
Kaspersky‘nin siber güvenlik araştırmacıları, Google Play gibi resmi uygulama mağazalarında bulunanlar ve resmi olmayan web siteleri aracılığıyla dağıtılanlar da dahil olmak üzere çeşitli uygulamalarda Necro kötü amaçlı yazılımını keşfetti. Bu, Necro’nun resmi kanalları ilk kez istismar etmesi değil; 2019’daki önceki saldırısı 100 milyondan fazla kullanıcıyı etkilemişti.
Bu yeni enfeksiyon dalgası da aynı şekilde endişe verici; etkilenen uygulamaların sayısı 11 milyonu aştı.
Popüler Uygulamalarda Gizli Kötü Amaçlı Yazılım
Necro Trojan’ın son sürümü, Spotify ve Minecraft gibi bilinen uygulamaların değiştirilmiş sürümlerinde bulundu. Özellikle, resmi olmayan kaynaklardan indirilen Spotify Plus adlı bir Spotify modu, kötü amaçlı kod içerdiği için işaretlendi. Mod, gelişmiş özellikler ve güvenlik sertifikaları sunduğunu yanlış bir şekilde iddia etti, ancak bunun yerine karmaşık bir kötü amaçlı yazılım işlemi başlattı.
Virüslü uygulamalardan biri olan Wuta Camera, Google Play’de 10 milyondan fazla kez indirildi. Kötü amaçlı yazılım tespit edildikten sonra Google, virüslü sürümü hızla kaldırdı. Ancak birçok kullanıcı, keşfedilmeden önce tehlikeye atılmış sürümleri indirmişti ve bu da Truva atının tespit edilmeden yayılma yeteneğini gösteriyordu.
Gelişmiş Karartma Teknikleri
Necro, tespit edilmekten kaçınmak için karmaşık teknikler kullanır. Kötü amaçlı yazılım, yükünü uygulama dosyalarında gizlemek için karartma ve steganografi kullanır ve bu da güvenlik araçlarının tehdidi tanımlamasını zorlaştırır. PNG resim dosyalarında gizlenen kötü amaçlı yazılım, komuta ve kontrol (C2) sunucularından talimatları bekleyerek, açıkça görülebilecek şekilde saklanarak geleneksel güvenlik önlemlerinden kaçınır.
Etkinleştirildiğinde, Truva atı çeşitli zararlı eylemler gerçekleştirebilir; bunlar arasında görünmez pencerelerde reklam görüntüleme, dosyaları indirme ve çalıştırma, keyfi bağlantılar açma ve hatta kullanıcıları rızaları olmadan ücretli hizmetlere abone etme yer alır. Truva atı ayrıca kurbanın cihazını kullanarak tüneller oluşturur ve siber suçluların fark edilmeden kötü amaçlı faaliyetler yürütmesini sağlar.
Necro’nun Yayılması ve Evrimi
Necro Trojan’ın dağıtımı Google Play ile sınırlı değildir. Araştırmacılar, WhatsApp’ın modlanmış sürümleri de dahil olmak üzere resmi olmayan web sitelerinde birden fazla virüslü mod buldular. Bu virüslü uygulamalar, C2 sunucularından ikincil yükleri indirme ve çalıştırma yeteneği de dahil olmak üzere benzer kötü amaçlı davranışları paylaşır.
İlginçtir ki, Necro turuva atının son sürümleri kötü amaçlı dosyaları depolamak ve almak için Google’ın Firebase Remote Config hizmetini kullanır; bu taktik kötü amaçlı yazılımın işlemlerine başka bir karmaşıklık katmanı ekler. Ayrıca, kötü amaçlı yazılımın yükünü ne zaman yürüteceğini belirlemek için rastgele sayı üretimi kullanılır ve bu da tespiti daha da zorlaştırır.
Büyüyen Bir Tehdit
Necro’nun resmi ve resmi olmayan uygulama kaynaklarına sızma yeteneği, Android kullanıcılarını hedef alan kötü amaçlı yazılımların giderek daha karmaşık hale geldiğini gösteriyor. Google Play gibi güvenilir platformları kullanarak, Truva atı yazarları yaygın uygulamaları istismar ederek milyonlarca kullanıcıyı riske attı.
Google Play, virüslü uygulamaları kaldırmak için adımlar atmış olsa da, yaygın olarak kullanılan uygulamalardaki kötü amaçlı yazılımlar, dikkatli olmanın önemini hatırlatıyor. Android kullanıcılarının resmi olmayan kaynaklardan uygulama indirmekten kaçınmaları ve cihazlarının güncel güvenlik çözümleriyle donatıldığından emin olmaları isteniyor.
Necro Truva Atı, yükünü iletmek için giderek daha karmaşık yöntemler kullanarak gelişmeye devam ediyor. Uyum sağlarken, siber güvenlik uzmanları kötü amaçlı yazılımın büyüyen tehdidine ayak uydurmak için yeni stratejiler geliştirmelidir.
Araştırmacılar, “Necro Truva Atı yine dünya çapında on binlerce cihaza saldırmayı başardı. Bu yeni sürüm, mobil kötü amaçlı yazılımlar için çok nadir bir teknik olan ikinci aşama yükünü gizlemek için steganografi ve tespitten kaçınmak için karartma kullanan çok aşamalı bir yükleyicidir,” dedi. “Modüler mimari, Truva Atı’nın yaratıcılarına, enfekte uygulamaya bağlı olarak yükleyici güncellemelerinin veya yeni kötü amaçlı modüllerin hem toplu hem de hedefli dağıtımı için çok çeşitli seçenekler sunuyor.”
Bu kötü amaçlı yazılımdan etkilenmemek için Kaspersky şunları öneriyor:
- Google Play uygulamalarından herhangi birini yüklediyseniz ve sürümler virüslüyse, uygulamayı kötü amaçlı kodun kaldırıldığı bir sürüme güncelleyin veya silin.
- Uygulamaları yalnızca resmi kaynaklardan indirin. Resmi olmayan platformlardan yüklenen uygulamalar kötü amaçlı işlevler içerebilir.
- Cihazınızı kötü amaçlı yazılım yükleme girişimlerinden korumak için güvenilir bir güvenlik çözümü kullanın.
