Necro Truva Atı, Google Play Uygulamalarında ve Spotify, WhatsApp’ın Modlanmış Sürümlerinde Tespit Edildi

Güvenlik araştırmacılarına göre, bazı Google Play uygulamaları ve popüler uygulamaların resmi olmayan modları, tehlikeli bir kötü amaçlı yazılımı yaymak için saldırganlar tarafından hedef alınıyor. İddiaya göre Necro truva atı, tuş vuruşlarını kaydedebiliyor, hassas bilgileri çalabiliyor, ek kötü amaçlı yazılımlar yükleyebiliyor ve komutları uzaktan yürütebiliyor. Google Play uygulama mağazasındaki iki uygulama bu kötü amaçlı yazılımla tespit edildi. Ayrıca, Spotify, WhatsApp ve Minecraft gibi uygulamaların modlanmış (değiştirilmiş) Android uygulama paketlerinin (APK’ları) de truva atını dağıttığı tespit edildi.

Google Play Uygulamaları ve Modlanmış APK’lar Necro Trojan’ı Yaymak İçin Kullanıldı

Necro ailesinden bir trojan ilk kez 2019’da, kötü amaçlı yazılımın popüler PDF oluşturma uygulaması CamScanner’ı enfekte etmesiyle görüldü. Google Play’deki uygulamanın 100 milyondan fazla indirmeye sahip resmi sürümü kullanıcılar için bir risk oluşturuyordu, ancak o sırada bir güvenlik yaması sorunu düzeltti.

Kaspersky araştırmacılarının bir gönderisine göre, Necro trojanının yeni bir sürümü artık iki Google Play uygulamasında tespit edildi. İlki, 10 milyondan fazla kez indirilen Wuta Camera uygulaması ve ikincisi, bir milyondan fazla kez indirilen Max Browser. Araştırmacılar, Kaspersky’nin şirketle iletişime geçmesinin ardından Google’ın bulaşmış uygulamaları kaldırdığını doğruladı.

Asıl sorun, çok sayıda üçüncü taraf web sitesinde barındırılan popüler uygulamaların çok sayıda resmi olmayan ‘modlanmış’ sürümünden kaynaklanıyor. Kullanıcılar bunları yanlışlıkla Android cihazlarına indirip yükleyebilir ve bu süreçte onları enfekte edebilir. Araştırmacılar tarafından tespit edilen kötü amaçlı yazılım içeren APK’ların bazıları Spotify, WhatsApp, Minecraft, Stumble Guys, Car Parking Multiplayer ve Melon Sandbox’ın değiştirilmiş sürümlerini içeriyor; bu modlanmış sürümler kullanıcılara genellikle ücretli abonelik gerektiren özelliklere erişim vaat ediyor.

İlginçtir ki, saldırganların kullanıcıları hedeflemek için bir dizi yöntem kullandığı anlaşılıyor. Örneğin, araştırmacılara göre Spotify modu, birden fazla reklam modülü görüntüleyen bir SDK içeriyordu. Kullanıcı yanlışlıkla görüntü tabanlı modüle dokunursa, trojan yükünü dağıtmak için bir komut ve kontrol (C&C) sunucusu kullanılıyordu.

Benzer şekilde, WhatsApp modunda, saldırganların Google’ın Firebase Remote Config bulut hizmetini C&C sunucusu olarak kullanmak için üzerine yazdıkları bulundu. Sonuç olarak, modülle etkileşim kurmak aynı yükü dağıtacak ve yürütecektir.

Kaspersky gönderisinde, kötü amaçlı yazılımın dağıtıldıktan sonra “yürütülebilir dosyaları indirebileceği, üçüncü taraf uygulamaları yükleyebileceği ve JavaScript kodunu yürütmek için görünmez WebView pencerelerinde keyfi bağlantılar açabileceği” vurgulandı. Dahası, kullanıcı bilmeden pahalı ücretli hizmetlere de abone olabilirdi.

Google Play’deki uygulamalar zaten kaldırılmış olsa da, kullanıcıların üçüncü taraf kaynaklardan Android uygulamaları indirirken dikkatli olmaları tavsiye ediliyor. Pazar yerine güvenmiyorlarsa, herhangi bir uygulama veya dosya indirmekten veya yüklemekten kaçınmalıdırlar.