Siber güvenlik şirketi ESET'in araştırma ekibi, bazı reklam engelleyiciler hakkında oldukça önemli bir uyarı yaptı. Android/FakeAdBlocker'ı analiz eden güvenlik araştırmacıları, Android işletim sistemli akıllı telefon sahiplerinin cihazına Truva atı yerleştirilebileceğini belirtti.
Reklam Engelleyiciler Güvenli mi Sorusuna Mercek Tutuldu
Araştırmacılara göre Android/FakeAdBlocker çoğunlukla ilk kez başlatılmasından sonra başlatıcı simgesi gizleniyor. Bu, istenmeyen sahte uygulama ya da yetişkinlere yönelik reklamlar görüntülenmesine neden oluyor. iOS ve Android takvimlerinde gelecek aylarda istenmeyen e-posta etkinlikleri oluşturuyor.
ESET araştırmacıları, sahte reklam engelleme uygulamasının neler yapabileceğini şu şekilde açıklıyor:
- Ücretli SMS mesajları gönderiyor.
- Gereksiz hizmetlere abone oluyor.
- Android bankacılık Truva atları, SMS Truva atları ve kötü amaçlı uygulamalar indirerek kurbanın bilmeden para harcamasına yol açıyor.
- Reklam bağlantıları oluşturmak için URL kısaltıcı hizmetleri kullanıyor. Bu kısaltılan bağlantılara tıklandığında kullanıcılar para kaybediyor.
- Uygulama başlatıldığında simgesi kayboluyor.
- Kurban, yetişkinlere yönelik reklamlara maruz kalıyor.
ESET'e göre Android/FakeAdBlocker'ın ilk kez 2019 yılında tespit edildiğini, 1 Ocak ile 1 Temmuz 2021 tarihleri arasında söz konusu tehdidin 150 binden fazla örneğinin Android cihazlara indirildiğini belirtti. Bu yazılımdan en çok etkilenen ülkeler ise şu şekilde sıralandı:
- Amerika Birleşik Devletleri
- Meksika
- Hindistan
- Vietnam
- Rusya
- Kazakistan
- Ukrayna
Kötü amaçlı yazılım daha çok saldırgan reklamlar gösterse de araştırmacılar, farklı kötü amaçlı yazılımların indirilip yürütüldüğü yüzlerce vaka keşfetti. Bunların içinde Chrome ve Android güncellemesi olarak görünen ve buna Türkiye, Polonya, İspanya, Yunanistan ve İtalya'daki cihazlara indirilen Cerberus truva atının da dahil olduğu ifade edildi. ESET, Ginp Truva atının ise Yunanistan ve Orta Doğu'da indirildiğini belirledi.
Android/FakeAdBlocker’ı analiz eden ESET Araştırmacısı Lukáš Štefanko, konu hakkında yaptığı açıklamada şu sözleri kullandı:
"Telemetremize dayalı olarak birçok kullanıcı Android uygulamalarını Google Play dışındaki kaynaklardan indirme eğilimi gösteriyor. Bu da, kötü amaçlı yazılımların yazarlarının gelir oluşturmak için kullanılan saldırgan reklam uygulamalarıyla yayılmasına yol açabiliyor.” Kısaltılmış URL bağlantılarından para kazanılması hakkında yorum yapan Lukáš Štefanko sözlerine şu şekilde devam etti: “Birisi böyle bir bağlantıyı tıklattığında, kısaltılmış URL’yi oluşturan kişinin gelir elde etmesini sağlayan bir reklam görüntüleniyor. Sorun şu ki bu bağlantı kısaltıcı hizmetlerden bazıları, kullanıcıları cihazlarının tehlikeli ve kötü amaçlı yazılımlar tarafından etkilendiğini söyleyen sahte yazılımlar gibi saldırgan reklam teknikleri kullanıyorlar."
Štefanko sözlerine şu şekilde devam etti:
"Her gün gerçekleşen ve her biri 10 dakika süren 18 etkinlik yaratıyor. Adları ve açıklamaları kurbanın telefonuna virüs bulaştığı, kurbanın verilerinin çevrimiçi açığa çıktığını ve virüse karşı koruma uygulamasının kullanım süresinin sona erdiği izlenimini yaratıyor. Etkinliklerin açıklamalarında, kurbanı sahte reklam yazılımı web sitesini ziyaret etmeye yönlendiren bir bağlantı yer alıyor. O web sitesi yine cihaza virüs bulaştığını iddia ediyor ve kullanıcıya Google Play’den sözde daha temiz uygulamalar indirme seçeneği sunuyor."
YORUMLAR