105 Milyon Android Kullanıcısı Abonelik Dolandırıcılığının Hedefi Oldu

Mustafa Coşkun 28/01/2022

0 2 dakika okuma süresi

Android için bir premium hizmet aboneliği dolandırıcılığı yaklaşık iki yıldır kullanıcıları mağdur etmeye devam ediyor. ‘Dark Herring’ olarak adlandırılan saldırılarda, 470 Google Play Store uygulaması kullanıldı ve dünya çapında 105 milyon kullanıcıyı etkileyerek potansiyel olarak yüz milyonlarca ABD doları tutarında bir kayba neden oldu.

‘Dark Herring’, Android’in resmi ve en güvenilir uygulama kaynağı olan Google Play Store’da 470 uygulama vasıtasıyla saldırılar düzenledi. Saldır ilk olarak Mart 2020 tarihinde ortaya çıkmaya başladı.

Sahte uygulamalar, 70 ülkede toplamda 105 milyon kullanıcı tarafından yüklendi ve bu kullanıcılar Doğrudan Operatör Faturalandırması (DCB) aracılığıyla ayda 15 ABD doları ücret alan premium hizmetlere abone edildi.

DCB, insanların Play Store’dan dijital içerik satın almalarını ve bunu ön ödeme bakiyeli veya faturalı telefon hatları aracıyla ödemelerini sağlayan bir servistir.

‘Dark Herring’ saldırganları abonelik ücretlerini kullanmaya devam ederken, kimi kullanıcılar istemedikleri bir hizmete abone olduklarını saldırıdan aylar sonra farketti.

“Dark Herring”, bir Google ortağı ve amacı Play Store’daki kötü amaçlı yazılım sorununu çözmek olan Google App Defense Alliance üyesi olan Zimperium zLabs tarafından keşfedildi.

Kötü amaçlı yazılım nasıl çalışıyor?

Dark Herring’in uzun vadeli başarısı, AV algılama önleme yeteneklerine, çok sayıda uygulama aracılığıyla yayılmasına, kod gizleme yeteneğine ve birinci aşama URL’leri olarak proxy’lerin kullanılmasına dayanmakta.

Yukarıdakilerin hiçbiri yeni veya çığır açıcı bir özellik olmasa da, bunların tek bir yazılım parçası halinde birleştirilmesini görmek Android platformundaki siber saldırılar oldukça nadir görülmekte.

Yüklenen uygulama herhangi bir kötü amaçlı kod içermiyor, ancak Amazon’un CloudFront’unda barındırılan birinci aşama URL’ye işaret eden sabit kodlanmış şifreli bir dize içeriyor.

Sunucudan gelen yanıt, AWS örneklerinde barındırılan ve virüslü cihaza indirilen ek JavaScript dosyalarına giden bağlantılar içerir.

Bu komut dosyaları, uygulamanın kurbanla ilgili çeşitli bilgiler edinmesine, benzersiz tanımlayıcıları oluşturmasına, dil ve ülke ayrıntılarını edinmesine ve her durumda hangi DCB platformunun uygulanabilir olduğunu tespit etmesine yarıyor.

Uygulama son olarak, sözde uygulamada hesabı etkinleştirmek için geçici bir OTP (tek seferlik şifre) kodu alması için kurbanın telefon numarasını girmesini isteyen, özelleştirilmiş bir WebView sayfası sunar.

*Özelleştirilmiş bir sayfa aracılığıyla kurbanın telefon numarasını isteme*

Uygulamalar ve hedefler

Kötü amaçlı yazılımı dağıtmak için kullanılan 470 uygulama ile hedeflenen kitle oldukça geniş çapta oldu. Bu uygulamaların çoğu, daha geniş ve daha popüler olan “Eğlence” kategorisine girdi.

Diğer yaygın Dark Herring uygulamaları ise, fotoğrafçılık araçları, gündelik oyunlar, yardımcı programlar ve üretkenlik uygulamalarıydı.

Dark Herring operasyonunun sonuçlarındaki kilit faktörlerden biri ise DCB tüketici koruma yasalarının olmamasıdır, bu nedenle bazı ülkeler diğerlerine oranla daha yoğun bir şekilde hedef alındı.

Nispeten daha büyük risk altında olan ülkeler ise Hindistan, Pakistan, Suudi Arabistan, Mısır, Yunanistan, Finlandiya, İsveç, Norveç, Bulgaristan, Irak ve Tunus oldu.

Sıkı DCB koruma kurallarının geçerli olduğu ülkelerde bile, mağdurlar dolandırıcılığı fark etmekte gecikirse, işlemlerin geri alınması imkansız olabiliyor.

Her biri birkaç milyon indirme sayısına sahip en popüler Dark Herring uygulamaları ise şunlardır: