Android Tıklayıcısı

Infosec araştırmacıları, Google Play mağazasında tıklayıcı kötü amaçlı yazılımları yayan virüslü uygulamalar keşfetti. Mağazada bulunan 16 bozuk uygulamanın yaklaşık 20 milyon kez indirildiği tahmin ediliyor. Hileli programlar, Android/Clicker olarak izlenen yeni bir mobil tehdit taşıyordu. Kötü amaçlı yazılım hakkında rapor yayınlayan araştırmacılar, Google'a bildirimde bulundu ve bunun sonucunda yükü taşıyan tüm uygulamalar Play Store'dan kaldırıldı.

Çok sayıda, tehdit edici uygulama, kullanıcılara, el fenerleri, kameralar, görev yöneticileri, QR Okuyucular ve birim/ölçü dönüştürücüler gibi gerçekten yararlı işlevler sağlayan görünüşte meşru yazılım ürünleri olarak sunuldu. Ancak, uygulama indirilip açıldığında, uzak yapılandırmasını getirmek için bir HTTP isteği yürütür. Daha sonra, bir Firebase Bulut Mesajlaşma (FCM) dinleyicisi kaydederek saldırganlardan push mesajları almasına izin verir.

Tehdit Edici Yetenekler

Tamamen kurulduğunda, Android/Clicker, ihlal edilen cihazın arka planında rastgele web siteleri açabilir. Kötü amaçlı yazılım yalnızca cihaz boştayken ve kullanımda değilken kendini etkinleştireceğinden, çoğu kullanıcı bu tür etkinliklerin cihazda gerçekleştiğini bile fark etmez. Ayrıca, kurulumdan sonra hileli faaliyetleri çalıştırmadan önce en az bir saat bekleyecektir. Tehdidin iki ana bileşeni analiz edildi - otomatik tıklamalardan 'com.click.cas' adlı bir kitaplık sorumlu olurken, 'com.liveposting' adlı farklı bir kitaplık, gizli reklam yazılımı etkinliklerini çalıştırmaya odaklanır.

Genel olarak, Android/Clicker operatörleri, bağlı web sitelerindeki hileli tıklamalar yoluyla gelir elde edebilir. Tehditten etkilenen cihazlar, azalan performans ve azalan pil ömründen zarar görebilir. Kötü amaçlı yazılım, kurbanın İnternet planına bağlı olarak ek mobil veri ücretlerine de neden olabilir.