Güvenlik araştırmacıları, kurbanları premium hizmetlere abone olarak telefon faturasına istenmeyen maliyetler ekleyen SMSFactory adlı bir Android kötü amaçlı yazılım uyarınca uyarıyor.
Kurbanlarının sayısı belirsizdir, ancak en az sekiz ülkede Avast güvenlik ürünleri tarafından korunan on binlerce Android kullanıcısı için Android cihazları enfekte etme girişimleri kaydedilmiştir.
SMSFactory, kötü niyetli, itme bildirimleri, sitelerde promosyon açılır pop-up'ları, oyun hackleri vaat eden videolar veya yetişkin içerik erişimini içeren birden fazla dağıtım kanalına sahiptir.
Avast'a göre, SMSFactory, çoğu Rusya, Brezilya, Arjantin, Türkiye ve Ukrayna'da bulunan Mayıs 2021'den Mayıs 2022'ye kadar Android müşterilerinin 165.000'den fazlasını hedef aldı.
SMSFactory’nin ana hedefi premium metin göndermek ve premium telefon numaralarına çağrı yapmak olsa da, AVAST araştırmacıları, tehdit için başka bir dağıtım yöntemi olarak kullanılması muhtemel, tehlikeye atılmış cihazlarda iletişim listesini de çalabilecek bir kötü amaçlı yazılım varyantı fark ettiler.
Avast'tan Jakub Vávra, SmsFactory'nin resmi olmayan uygulama mağazalarında barındırıldığını belirtiyor. ESET araştırmacıları, listelenen ürünler için veterinerlik ve uygun güvenlik politikalarından yoksun iki Android uygulama depoları olan APKMods ve PAYAPKFREE'de kötü niyetli APK paketini buldular.
IOCS: Kötü amaçlı uygulama mağazaları: PAYAPKFREE [.] Com Apkmods [.] Dünya APK karma: e26bf914a8c267eeaad7e73536c8fc272167a96a Tespit Adı: Android/Spy.Agent.cbt @Lukasstefanko #esetresearch 2/2 pic.twitter.com/ouwxyu3c3v
SMSFactory APK farklı isimler altında olabilir ve cihaza yüklemeye çalışırken, Play Protect'ten bir uyarı başlar - Android'in yerleşik güvenlik sistemi ve kullanıcıları dosyadan potansiyel güvenlik riski hakkında uyarır.
Kurulumdan sonra istenen izinler arasında konum verilerine erişme, SMS, telefon görüşmesi yapma ve SMS gönderme, uyandırma kilidi ve titreşme, kaplama yönetme, ekranı kullanma, bildirimleri izleme ve arka plandan başlatma etkinlikleri bulunur.
Bunların hepsi kötü amaçlı etkinliklerin göstergesidir, ancak vaat edilen içeriğe erişmeyi dört gözle bekleyen dikkatsiz kullanıcıların incelemeden izin vermesi muhtemeldir.
Yüklendikten sonra, uygulama kurbana çalışmayan veya çoğunlukla kullanılamayan bir hizmete sahte bir içerik ekranı gösterir.
Uygulamanın kendisi atanmış bir adı veya simgesi yoktur ve çıktıktan sonra kaldırılmasını daha zorlaştırmak için ikincisini ekrandan kaldırabilir. Sonuç olarak, çoğu kurban kurulumla ilgili bir şeyler yanlış gittiğini ve uygulama hakkında başka bir şey vermediğini varsayar.
Bununla birlikte, SMSFactory, komut ve kontrol (C2) sunucusuna bir bağlantı kurarak ve enfekte olmuş cihazın bir kimlik profili göndererek arka planda çalışmaya devam eder.
Kampanya operatörleri cihazı kullanılabilir görürse, talimatları geri gönderir ve kurbanı premium hizmetlere abone ederler.
SMSFactory kötü amaçlı yazılımlarının en son varyantlarından biri, cihaza, muhtemelen kişi listesini kullanarak SMS dağıtımı için gerekli olan yönetici hesapları ekleyebilir.
Daha büyük faturalardan kaçınmak için kullanıcıların uygulamaları yalnızca Google Play gibi güvenilir kaynaklardan indirmeleri önerilir. Herhangi bir şey yüklemeden önce kullandıkları uygulama sayısını en azından kullanmalı ve diğer kullanıcılardan incelemeleri okumalıdırlar.
Ayrıca, işletim sisteminizi cihazınız için en son kullanılabilir sürüme güncel tutun ve Play Protect aracılığıyla düzenli taramalar çalıştırın.
Premium hizmetlere abone olan kötü amaçlı yazılımlar için, bazı taşıyıcılar bu eylemi devre dışı bırakma veya sınırlama seçeneği sunar.
İlk 10 Android Bankacılık Trojans 1 milyar indirme ile hedef uygulamalar
Flubot Android kötü amaçlı yazılım, yeni SMS kampanyalarında Finlandiya'yı hedefliyor
Flubot Android Kötü Yazılım Operasyonu Kolluk Kuvvetleri tarafından Kapanma
Kötü amaçlı yazılım dağıtım seviyesi düştükçe mobil Truva Tespiti Artar
Yeni ERMAC 2.0 Android Kötü Yazılım Hesaplar, Cüzdanlar 467 Uygulamadan Çıkarıyor
Kaynak: Bleeping Computer