Android.Phantom truva atları, modlanmış oyunlar ve popüler uygulamalarla geliyor
Araştırmacılara göre, "clickjacking" olarak adlandırılan bu kötü amaçlı yazılım, belirli uygulamalar ya da oyunlar içindeki reklamlarla etkileşim kurmak için makine öğrenimi modellerini çalıştırmak üzere Google'ın açık kaynak TensorFlow.js kütüphanesini kullanıyor. Reklamlar, ücretsiz oynanabilen gündelik Android oyunlarında oldukça yaygın. Bazı geliştiriciler de tıklama oranlarını yapay olarak şişirmek, böylelikle bu reklamlardan elde ettikleri geliri artırmak için Truva atı yazılımı kullanabiliyor.
Kötü amaçlı yazılım, reklam göründüğünde sayfa içeriğini analiz etmek ve herhangi bir kullanıcı eylemi olmadan etkileşim kurmak için makine öğrenimi modellerini kullanıyor. Makine öğrenimi, özellikle uygulamalara veya oyunlara yerleştirilmiş dinamik, çeşitli reklamların yarattığı zorlukların üstesinden gelmek için kullanışlı. Ayrıca, reklamlarla otomatik olarak etkileşim kurmak için gizli bir tarayıcı penceresi yüklemek üzere phantom modunda da çalışabiliyor.
Makine öğrenimi modelleri başarısız olduğunda, geliştiriciler veya diğer kötü niyetli kişiler, kullanıcının ekranını ele geçirebiliyor ve "signaling" adı verilen bir teknik kullanarak kaydırma veya dokunma gibi eylemler gerçekleştirebiliyor.
Bu oyunlar yüklüyse silin
Dr. Web, bu Truva atı yazılımıyla bulaşmış oyunların birçoğunun Xiaomi'nin GetApps alternatif uygulama mağazası kullanılarak dolaşıma sokulduğunu tespit etti. Uygulamaların tümü de Shenzhen Ruiren Network Co. Ltd. adlı tek bir geliştiriciye ait. Ekip, analizine dayanarak, kötü amaçlı yazılımın izlerini taşıyan aşağıdaki oyunları tespit etti:
- Creation Magic World - 32.000 indirme
- Cute Pet House - 34.000 indirme
- Amazing Unicorn Party - 13.000 indirme
- Sakura Dream Academy - 4.000 indirme
- Theft Auto Mafia - 61.000 indirme
- Open World Gangsters - 11.000 indirme
APK indirirken dikkat!
Bu oyunlar, Xiaomi’nin uygulama mağazasına ek olarak, Apkmody ve Moddroid gibi sahte APK dağıtım platformları ve Spotify ve Netflix gibi uygulamaların değiştirilmiş sürümlerini sunduğunu iddia eden Telegram kanalları aracılığıyla da yayılıyor.
Araştırmacılar, clickjacking veya reklam dolandırıcılığının kullanıcılara anında zarar vermediğini ancak kötü amaçlı yazılımın kullanıcının cihazını uzaktan ele geçirme yeteneğiyle, veri hırsızlığı ve hatta diğer kullanıcılara bulaşmış APK'lar veya daha gelişmiş yöntemlerle saldırmak için kullanılabileceğini ekliyor.