Google Play Store kötü amaçlı yazılımlara karşı sağlam güvenlik önlemine sahip olsa da, bazen kötü amaçlı Android uygulamaları bu önlemleri aşmayı başarıyor. En son keşif, 11 milyondan fazla Android cihazı etkileyen bir Trojan içeren iki Play Store uygulamasıyla ilgili.
Aynı kötü amaçlı yazılımın resmi olmayan uygulamalarda da bulunmuş olması, kurbanlarının sayısının muhtemelen çok daha yüksek olduğu anlamına geliyor. Kaspersky araştırmacıları, kullanıcılara iki kaynaktan saldıran Necro Trojanı’nın yeni bir sürümünü keşfetti. Necro Trojanı, bir yandan Google Play Store’da dağıtılan meşru uygulamalar aracılığıyla iletilirken, bir yandan da kullanıcıların resmi olmayan yollarla indirdiği Spotify ve Minecraft’ın özel sürümleri gibi değiştirilmiş uygulamaların dışarıdan yüklenmesiyle kullanıcılara gönderiliyor.
Google Play Store dışından indirilen uygulamalar
Kaspersky ilk olarak Spotify Premium özelliklerini ücretsiz olarak sunduğunu iddia eden Spotify Plus adındaki değiştirilmiş bir Spotify uygulamasını inceledi. Uygulama “Güvenlik Doğrulamasına” sahip olduğunu iddia etse de, Kaspersky’nin analizi bu iddiaların yanlış olduğunu ve uygulamanın yüklendiği cihazları Trojan ile enfekte etmek için kullanıldığını buldu. Ayrıca araştırmacılar, aynı Trojan’ın WhatsApp’ın değiştirilmiş sürümleri olan “GBWhatsApp” ve “FMWhatsApp” sürümlerinde de yer aldığını buldular.
Oyunlar tarafında ise Kaspersky, Necro’nun Minecraft, Stumble Guys, Car Parking Multiplayer ve Melon Sandbox dahil olmak üzere çeşitli oyun modlarında bulunduğunu söylüyor.
Kaspersky’nin belirttiğine göre bu resmi olmayan kaynakların kaç kurbanı etkilediğini söylemek neredeyse imkansız ve kötü amaçlı yazılımın kurban sayısı hakkında sadece Play Store’daki indirme sayısını kesin olarak belirlemek mümkün.
Google Play Store'dan indirilen zararlı uygulamalar
Kaspersky’nin Google Play Store’da keşfettiği uygulamaların 11 milyondan fazla Android cihazı etkilediği söyleniyor. Etkilenen uygulamaların arasındaki en büyük uygulama, Kaspersky’nin tek başına 10 milyondan fazla kez indirildiğini söylediği Wuta Camera uygulaması olarak görülüyor. Ayrıca bu uygulama her zaman kötü amaçlı değildi ve araştırmacılar, Trojan’ın ilk olarak uygulamanın 6.3.2.148 sürümünde ortaya çıktığını söylüyor. Daha sonra bu kötü amaçlı yazılım kaldırıldı ve bu nedenle uygulamayı indirmenin şu anda güvenli olduğu söyleniyor.
Max Browser da bu Trojan’ı içeren bir başka uygulamaydı ve bir milyondan fazla kez indirilmişti. Uygulamanın bu Trojan’ı içeren ilk sürümü 1.2.0 sürümüydü, ancak Kaspersky’nin uygulamayı bildirmesinin ardından Google, Max Browser’ı uygulama mağazasından tamamen kaldırdı.
Necro kötü amaçlı yazılımı, etkilediği cihazlarda pek çok farklı işlevi yürütebiliyor. Bu işlevlerin arasında bağlantılarını görünmez pencerelerle açan reklam yazılımlarını çalıştırmak için kötü amaçlı eklentileri etkinleştirmek, çeşitli komut dosyaları çalıştıran programlar yüklemek, sahte abonelikleri etkinleştiren programlar yüklemek ve kötü amaçlı trafiği cihazınız üzerinden yönlendiren araçlar yüklemek gibi bir çok farklı seçenek bulunuyor.