Siber güvenlik firması Check Point Research’ün (CPR) keşfettiği kötü amaçlı yazılım, kurbanları kendi adlarına gelen WhatsApp mesajlarına otomatik olarak yanıt verebilecek şekilde tasarlandı. Yanıtın içeriği ise uzaktaki bir sunucu tarafından sağlandı. CPR, kötü amaçlı yazılımı Play Store’daki FlixOnline adlı sahte bir “Netflix” uygulamasında buldu.
Kötü amaçlı yazılım başarılı olduğu takdirde, tehdit aktörlerinin aşağıdakiler gibi kötü amaçlı etkinlik gerçekleştirmesini sağlıyor:
- Kötü amaçlı bağlantılar aracılığıyla yazılımı daha fazla yayma
- Kullanıcıların WhatsApp hesaplarından kimlik bilgilerini ve verileri çalma
- Kullanıcıların WhatsApp kişilerine ve gruplarına sahte veya kötü amaçlı mesajlar yayınlama
Yeni kötü amaçlı yazılım nasıl çalışıyor?
Kötü amaçlı yazılım, kurbanlarına gelen WhatsApp mesajlarına otomatik bir yanıt gönderiyor ve ücretsiz bir Netflix hizmeti teklifiyle dikkat çekmeye çalışıyor.
1. Kurban, kötü amaçlı yazılımı Google Play Store’dan yükler
2. Kötü amaçlı yazılım, WhatsApp’taki yeni bildirimleri “dinlemeye” başlar
3. Kötü amaçlı yazılım, kurbanın aldığı her WhatsApp mesajına, tehdit aktörleri tarafından hazırlanmış bir yanıtla cevap verir.
4. Verilen yanıt, kimlik bilgileri ve kredi kartı bilgileri için kimlik avı yapan sahte bir Netflix sitesinin linkidir.
Sahte “Netflix” uygulamasında gizlenmiş
CPR, Google Play’deki “FlixOnline” adlı bir uygulamanın içinde gizli olan kötü amaçlı yazılımı keşfetti. Uygulamanın, kullanıcıların dünyanın her yerinden Netflix içeriğini cep telefonlarında görüntülemelerine izin verdiğini iddia eden sahte bir hizmet olduğu ortaya çıktı. Ancak virüs, mobil kullanıcının Netflix içeriğini görüntülemesine izin vermek yerine, kullanıcının WhatsApp bildirimlerini izlemek ve uzak bir sunucudan aldığı içeriği kullanarak gelen mesajlara otomatik yanıtlar göndermek için tasarlandı.
CPR, bulgularını Google’a açıkladı. Kötü amaçlı uygulama daha sonra Google tarafından kaldırıldı. İki ay boyunca, “FlixOnline” uygulaması yaklaşık 500 kez indirildi. CPR, araştırma bulgularını WhatsApp ile paylaşsa da WhatsApp tarafında herhangi bir güvenlik açığı bulunmuyor.
Check Point’ten Aviran Hazum, kötü amaçlı yazılımın tekniğinin oldukça yeni ve inovatif olduğunu söylüyor: “Buradaki teknik, bildirimleri yakalayarak ve Bildirim Yöneticisi aracılığıyla ‘kapat’ veya ‘yanıtla’ gibi önceden tanımlanmış eylemleri gerçekleştirme becerisiyle WhatsApp bağlantısını kesmek. Kötü amaçlı yazılımın bu kadar kolay gizlenebilmesi ve nihayetinde Play Store’un duvarlarından atlayabilmesi, bazı ciddi uyarı işaretlerini ortaya çıkarıyor. Kampanyayı durdurduk ancak kötü amaçlı yazılım farklı bir uygulamada gizli olarak geri dönebilir. Telefon kullanıcılarının bir mobil güvenlik çözümüne ihtiyacı var. Neyse ki, kötü amaçlı yazılımı erken tespit ettik ve hızlı bir şekilde Google ile paylaştık. Kullanıcılar, güvenilir kişilerden veya mesajlaşma gruplarından geliyormuş gibi görünseler bile, WhatsApp veya diğer mesajlaşma uygulamaları aracılığıyla aldıkları indirme bağlantılarına veya eklere karşı dikkatli olmalıdır. Mağdur olduğunuzu düşünüyorsanız, uygulamayı hemen cihazdan kaldırın ve tüm şifrelerinizi değiştirin.”
Android kullanıcıları için güvenlik ipuçları
1. Cihazınıza bir güvenlik çözümü kurun
2. Uygulamaları yalnızca resmi yerlerden indirin
3. Cihazınızı ve uygulamalarınızı güncel tutun