Android’de Tehlike: 60 Milyondan Fazla Cihaza Bulaşan Kötü Amaçlı Uygulamalar

Bitdefender Araştırmacıları Büyük Dolandırıcılık Kampanyasını Ortaya Çıkardı

Bitdefender’daki güvenlik araştırmacıları, Android 13’ün güvenlik önlemlerini atlatan ve Google Play‘de 60 milyondan fazla indirme sayısına ulaşan en az 331 kötü amaçlı uygulamayı içeren büyük bir reklam dolandırıcılığı kampanyasını ortaya çıkardı.

Zararsız yardımcı programlar gibi görünen bu uygulamalar, kullanıcıları rahatsız edici reklamlara boğmakla kalmıyor, aynı zamanda kimlik avı saldırıları yoluyla kimlik bilgilerini ve kredi kartı verilerini çalmaya da çalışıyor.

“Vapor” kod adlı operasyonun parçası olarak IAS Threat Lab tarafından ilk kez 2024 başlarında tespit edilen kampanya, o zamandan beri aktif durumda. Araştırmacılar başlangıçta 180 kötü amaçlı uygulama buldu, ancak Bitdefender’ın sonraki araştırması çok daha büyük bir operasyonu ortaya çıkardı.

Uygulamalar, Android 13’ün güvenliğindeki bir açığı kullanarak simgelerini gizlemeyi başardı ve böylece kullanıcıların bunları tespit etmesi ve kaldırması zorlaştı. Ayrıca, kullanıcı etkileşimi olmadan kendilerini başlatabiliyorlardı – bu davranış normalde yeni Android sürümlerinde kısıtlanması gereken bir özellik.

Gelişmiş Dolandırıcılık Şeması

IAS Threat Lab‘in raporunda detaylandırıldığı gibi Vapor operasyonu, sahte reklam gösterimleri yoluyla gelir elde etmek için tasarlanmıştı. Plan, tespit edilmemek için her biri yalnızca birkaç uygulama barındıran birden fazla geliştirici hesabını içeriyordu.

Saldırganlar, çeşitli reklam SDK’larını gömüp kendi satıcı hesaplarını kontrol ederek, uygulamaları zaman zaman Google Play’den kaldırılsa bile reklam ağlarından kâr sağlayabiliyorlardı.

Uygulamalar başlangıçta zararsız görünüyordu, ancak sonraki güncellemeler reklam enjeksiyonu ve kimlik avı arayüzleri gibi kötü amaçlı özellikler ekledi. Kullanıcı tarafından tespit edilmemek için başlatma simgelerini kaldırdılar ve hatta cihaz ayarlarında “Google Voice” gibi isimler altında kendilerini gizlediler.

Teknik açıdan, uygulamalar açık izinler olmadan tam ekran reklamlar göstermek için DisplayManager.createVirtualDisplay API’sini kullandı. Ayrıca, gerçek doğalarını gizlemek için şifrelenmiş iletişimler ve XOR tabanlı dize kodlama gibi karartma teknikleri kullandılar.

Kampanya dünya genelinde milyonlarca cihazı etkiledi ve günde 200 milyondan fazla sahte reklam gösterimi üretti.

Uygulamalar Gitti Ama Tehlike Devam Ediyor

IAS Threat Lab’in araştırmasının ardından Google, 2025 başlarında tespit edilen kötü amaçlı uygulamaları Play Store’dan kaldırarak ve kullanıcıları bu tehditler hakkında uyarmak için Play Protect’i geliştirerek harekete geçti. Ancak, saldırganların hızlı uyum sağlama yeteneği, yakında yeni varyantların ortaya çıkabileceği anlamına geliyor.

Kendinizi Nasıl Koruyabilirsiniz?

Bu tür tehditlere karşı kendinizi korumak için:

1. Bilinmeyen geliştiricilerden QR tarayıcılar, duvar kağıdı uygulamaları veya temel yardımcı programlar gibi belirsiz işlevlere sahip uygulamaları yüklemekten kaçının
2. Uygulama izinlerini kontrol edin ve gereksiz erişim talep edenlerden şüphelenin
3. Ayarlarda gizli veya yeniden adlandırılmış girişleri kontrol ederek yüklü uygulamaları manuel olarak doğrulayın
4. Potansiyel olarak zararlı uygulamalar hakkında uyarılar almak için Google Play Protect‘i etkinleştirin

Bu tür tehditlere karşı tetikte olmak ve telefonunuzu düzenli olarak kontrol etmek, dijital güvenliğinizi sağlamanın en önemli adımlarındandır.