ESET Arastirma Ekibi, kötü amaçli yazilim indiren, saldirgan reklam tabanli bir tehdit olan Android/FakeAdBlocker’i analiz etti. Android/FakeAdBlocker URL kisaltici hizmetlerini ve iOS takvimlerini suistimal ediyor. Android cihazlara truva atlari dagitiyor.
Android/FakeAdBlocker genelde ilk kez baslatildiktan sonra baslatici simgesini gizliyor. Istenmeyen sahte uygulama ya da yetiskin içerik reklamlari sunuyor. iOS ve Android takvimlerinde gelecek aylarda istenmeyen e-posta etkinlikleri olusturuyor. Bu reklamlar genelde ücretli SMS mesajlari göndererek, gereksiz hizmetlere abone olarak ya da Android bankacilik truva atlari, SMS truva atlari ve kötü amaçli uygulamalar indirerek kurbanlarin para kaybetmesine neden oluyor. Kötü amaçli yazilim, bunlara ek olarak, reklam baglantilari olusturmak için URL kisaltici hizmetleri kullaniyor. Olusturulan URL baglantilara tiklandiginda kullanicilar para kaybina ugruyor.
ESET telemetrisine dayali olarak, Android/FakeAdBlocker ilk kez Eylül 2019’da saptandi. 1 Ocak ile 1 Temmuz 2021 tarihleri arasinda, bu tehdidin 150.000’den fazla örnegi Android cihazlara indirildi. En çok etkilenen ülkeler arasinda Ukrayna, Kazakistan, Rusya, Vietnam, Hindistan, Meksika ve Amerika Birlesik Devletleri bulunuyor. Kötü amaçli yazilim birçok örnekte saldirgan reklamlar görüntülese de, ESET farkli kötü amaçli yazilimlarin indirilip yürütüldügü yüzlerce vaka da saptadi; bunlara Chrome, Android Güncellemesi, Adobe Flash Player ya da Android’i Güncelle gibi görünen ve Türkiye, Polonya, Ispanya, Yunanistan ve Italya'daki cihazlara indirilen Cerberus truva ati da dahil. ESET, Ginp truva atinin Yunanistan ve Orta Dogu’da indirildigini de belirledi.
Uygulama indirdiginiz yerlere dikkat edin
Android/FakeAdBlocker’i analiz eden ESET Arastirmacisi Lukáš Štefanko su açiklamayi yapti: “Telemetremize dayali olarak, birçok kullanici Android uygulamalari Google Play disindaki kaynaklardan indirme egilimi gösteriyor. Bu da, kötü amaçli yazilimlarin yazarlarinin gelir olusturmak için kullanilan saldirgan reklam uygulamalariyla yayilmasina yol açabiliyor.” Kisaltilmis URL baglantilarindan para kazanilmasi hakkinda yorum yapan Lukáš Štefanko sözlerine su sekilde devam etti: “Birisi böyle bir baglantiyi tiklattiginda, kisaltilmis URL’yi olusturan kisinin gelir elde etmesini saglayan bir reklam görüntüleniyor. Sorun su ki, bu baglanti kisaltici hizmetlerden bazilari, kullanicilari cihazlarinin tehlikeli ve kötü amaçli yazilimlar tarafindan etkilendigini söyleyen sahte yazilimlar gibi saldirgan reklam teknikleri kullaniyorlar.”
ESET Arastirma Ekibi, etkinlikleri iOS takvimlerine gönderen ve Android cihazlarda baslatilabilen, kötü amaçli yazilim Android/FakeAdBlocker’i aktiflestiren baglanti kisaltici hizmetler tarafindan olusturulan etkinlikler saptadi. iOS cihazlarda kullaniciyi istenmeyen reklamlarla bogmanin yani sira, bu baglantilar otomatik olarak bir ICS takvim dosyasi indirerek kurbanlarin takvimlerinde etkinlikler yaratabiliyor.
Kullanicilar aldatiliyor
Štefanko sözlerine su sekilde devam etti: “Her gün gerçeklesen ve her biri 10 dakika süren 18 etkinlik yaratiyor. Adlari ve açiklamalari kurbanin telefonuna virüs bulastigi, kurbanin verilerinin çevrimiçi açiga çiktigini ve virüse karsi koruma uygulamasinin kullanim süresinin sona erdigi izlenimini yaratiyor. Etkinliklerin açiklamalarinda, kurbani sahte reklam yazilimi web sitesini ziyaret etmeye yönlendiren bir baglanti yer aliyor. O web sitesi yine cihaza virüs bulastigini iddia ediyor ve kullaniciya Google Play’den sözde daha temiz uygulamalar indirme seçenegi sunuyor.”
Android cihazlari kullanan kurbanlar için durum daha da tehlikeli; çünkü bu dolandiricilik amaçli web siteleri Google Play magazasi disindan kötü amaçli uygulama indirilmesine yol açabiliyor. Bir senaryoda, web sitesi yasal uygulamayla en ufak bir ilgisi olmayan ve reklamlari engellemenin tam tersini yapan “adBLOCK” adi verilen bir uygulamanin indirilmesini istiyor. Bir baska senaryoda, kurbanlar istenen dosyayi indirmek için ilerlediklerinde, “Your File Is Ready To Download (Dosyaniz Indirilmeye Hazir)” adli kötü amaçli uygulamayi indirme ve kurma adimlarinin yer aldigi bir web sayfasi görüntüleniyor. Her iki senaryoda da, URL kisaltma hizmeti araciligiyla sahte reklam yazilimi ya da Android/FakeAdBlocker truva ati gönderiliyor.
