Güvenlik araştırmacıları, Google Play'de 75 uygulama, Apple’ın App Store'da reklam sahtekarında yer alan on kişi daha keşfettiler. Toplu olarak, 13 milyon kurulum ekliyorlar.
Mobil kullanıcıları hem görünür hem de gizli olan reklamlarla birlikte taşmanın yanı sıra, hileli uygulamalar meşru uygulamaları ve izlenimleri taklit ederek gelir elde etti.
Bu tür uygulamalar ciddi bir tehdit olarak görülmese de, operatörleri bunları daha tehlikeli bir etkinlik için kullanabilirler.
İnsanın Satori tehdit istihbarat ekibinden araştırmacılar, 'Scylla' adını verdikleri yeni bir reklam sahtekarlığı kampanyasının parçası olan bir mobil uygulama koleksiyonu tespit etti.
Analistler, Scylla'nın Ağustos 2019'da buldukları ve 'Poseidon' olarak adlandırdıkları bir operasyonun üçüncü dalgası olduğuna inanıyorlar. Görünüşe göre aynı tehdit aktöründen gelen ikinci dalga 'Charybdis' olarak adlandırıldı ve 2020'nin sonuna doğru sonuçlandı.
Satori ekibi Google ve Apple'a bulguları hakkında bilgi verdi ve uygulamalar resmi Android ve iOS mağazalarından kaldırıldı.
Android cihazlarda, Play Protect Security seçeneğiniz devre dışı bırakılmadıkça, uygulamalar otomatik olarak algılanmalıdır.
İOS için Apple, cihaza zaten yüklü olan reklam yazılımı uygulamalarının nasıl kaldırılacağı konusunda net değildir. İnsan, kullanıcıların cihazlarında mevcutsa hileli uygulamaları kaldırmasını tavsiye ediyor. En çok indirilen kısa bir liste aşağıda mevcuttur:
iOS Uygulama Listesi:
Android Uygulama Listesi (1+ Milyon İndirme)
Skylla reklam-fraud dalgasının uygulamalarının tam listesi insan raporunda mevcuttur.
Scylla uygulamaları genellikle reklam tıklamaları/gösterimleri daha karlı bir yazılım kategorisinden geliyormuş gibi reklamverenlere görünmesini sağlamak için yayın adlarıyla eşleşmeyen bir paket kimliği kullandı.
İnsanın araştırmacıları, 29 Scylla uygulamasının 6.000 CTV tabanlı uygulama taklit ettiğini ve sahtekarlık tespitinden kaçınmak için düzenli olarak kimlikler boyunca bisiklet sürdüğünü buldu.
Android'de, reklamlar gizli webview pencerelerine yüklenir, bu nedenle kurban asla arka planda olduğu için şüpheli bir şey fark etmez.
Ayrıca, reklam yazılımı, kurbanlar cihazlarını aktif olarak kullanmadıklarında, örneğin ekran kapalı olduğunda reklam izlenim olaylarını tetiklemek için bir “JobsCheduler” sistemi kullanır.
Sahtekarlık belirtileri günlüklere kaydedilir ve ağ paketi yakalamalarında görülebilir, ancak normal kullanıcılar genellikle bunları incelemez.
Bu operasyon için ilk kampanya olan 'Poseidon' ile karşılaştırıldığında, Scylla uygulamaları Allatori Java Obfuscator'ı kullanarak ek kod obsuscation katmanlarına güveniyor. Bu, algılama ve ters mühendisliği araştırmacılar için zorlaştırır.
Kullanıcılar, genellikle hızlı pil drenajı ve artan internet veri kullanımı veya yüklediğinizi hatırlamadığınız uygulamalar gibi bir sorunu gösteren bazı işaretler arayarak uygulamalarını kötü amaçlı veya istenmeyen uygulamalar için izlemelidir.
Ayrıca yüklü uygulamaların listesini kontrol etmeniz ve yüklediğinizi veya tanıdık olmayan bir satıcıdan geldiğini hatırlamadığınızı kaldırmanız önerilir.
Google Play'de bulunan 2 milyon yüklemeli Android kötü amaçlı yazılım uygulamaları
Facebook reklamları, google Play'de 7 milyon yükleme ile Android reklam yazılımı itiyor
VMware, Microsoft yaygın Chromeloader kötü amaçlı yazılım saldırılarını uyardı
Sahte Chrome Uzantısı 'İnternet İndir Manager' 200.000 kurulum var
Yeni NullMixer Droper, PC'nizi bir düzine kötü amaçlı yazılım ailesiyle bulaşır
Kaynak: Bleeping Computer