Darknet'ten satışa sunulan Google Play üzerindeki zararlı uygulama tekliflerini analiz eden Kaspersky uzmanları, zararlı mobil uygulamaların ve mağaza geliştirici hesaplarının 20 bin ABD dolarına kadar varan fiyatlarla alıcı bulduğunu keşfetti. Kaspersky Dijital Ayak İzi İstihbaratını (Kaspersky Digital Footprint Intelligence) kullanan araştırmacılar, kötü niyetli yazılımlara dair ürün ve hizmetlerin alım satımının yapıldığı dokuz farklı Darknet forumundan örnekler topladı. Rapor, Darknet'te satılan tehditlerin Google Play'de nasıl göründüğüne ışık tutmanın yanı sıra mevcut teklifleri, fiyat aralığını ve siber suçlular arasındaki iletişim ve anlaşmaların detaylarını ortaya koyuyor.

Resmi uygulama mağazaları sıkı bir şekilde denetlense de moderatörler kötü niyetli uygulamaları platforma yüklenmeden önce her zaman fark edemeyebiliyor. Her yıl çok sayıda kötü niyetli uygulama Google Play'e sızmayı başararak, ancak kurbanlar enfekte olduktan sonra farkına varılıp siliniyor. Siber suçlular kendine özgü kuralları, fiyatları ve itibar hiyerarşisine sahip bütün bir dijital yeraltı dünyası olan Darknet'te bir araya gelerek Google Play'deki kötü amaçlı uygulamaları alıp satıyor. Dahası, hazırladıkları uygulamaları daha da ileri götürmek ve hatta reklamını yapmak için ek işlevler sunuyor.

Tıpkı ürün satmak için kullanılan yasal forumlarda olduğu gibi, Darknet platformunda da farklı ihtiyaçlara ve bütçelere sahip müşteriler için çeşitli Darknet teklifleri mevcut. Kötü amaçlı bir uygulamayı Google Play ortamında yayınlamak için siber suçluların bir Google Play hesabına ve kötü amaçlı indirme koduna (Google Play Loader) ihtiyacı var. Platformda geliştirici hesapları nispeten ucuz. 200 ABD dolarına, hatta bazen 60 ABD doları gibi düşük bir fiyata bile geliştirici hesabı satın alınabiliyor. Kötü amaçlı yükleyicilerin fiyatları ise yazılımın karmaşıklığına, kodun ne kadar modern ve işlevsel olduğuna, halihazırdaki yaygınlığına ve sahip olduğu ek işlevlere bağlı olarak 2 bin ila 20 bin ABD doları arasında değişiyor.

Çoğu durumda dağıtılan kötü amaçlı yazılımlar kripto para izleyicilerin, finansal uygulamaların, QR kodu okuyucularının ve hatta flört uygulamalarının altına gizleniyor. Siber suçlular ayrıca söz konusu uygulamanın yasal sürümünün kaç kez indirildiğini de gösteriyor. Bu da söz konusu uygulamanın güncellenmesi ve kötü amaçlı kod eklenmesi yoluyla kaç tane potansiyel kurbana virüs bulaşabileceğini ortaya koyuyor. Öneriler çoğunlukla 5 bin veya daha fazla indirme sayısına sahip uygulamalardan oluşuyor.

Bir siber suçlu, kripto para takipçisi şeklinde gizlenmiş bir Google Play tehdidini satıyor

Siber suçlular ek bir ücret karşılığında uygulama kodunu gizleyerek siber güvenlik çözümleri tarafından tespit edilmesini zorlaştırabiliyor. Kötü amaçlı uygulamanın indirilme sayısını artırmak için birçok saldırgan yükleme satın almayı da teklifleri arasına ekliyor. Google reklamları aracılığıyla uygulamaya trafik yönlendiriyor ve böylece uygulamayı indirmek için daha fazla kullanıcıyı çekiyor. Yüklemelerin maliyeti her ülke için değişiyor. Ortalama fiyat 0,50 ABD doları olup, teklifler 0,10 ABD Doları ile birkaç dolar arasında değişiyor. 

Dolandırıcılar bu yöntemde üç farklı iş modeli teklif ediyor: Nihai kârdan pay, kiralama veya bir hesap ya da tehdidin tamamının satın alınması. Bazı satıcılar mallarını satmak için açık artırma dahi düzenliyor, zira birçok satıcı satılan lot sayısını sınırlıyor. Kaspersky tarafından incelenen bir teklifte başlangıç fiyatı 1.500 ABD dolarıydı, açık artırma 700 dolarlık adımlarla ilerliyordu ve hemen al fiyatı 7 bin dolar olarak belirlenmişti.

Darknet satıcıları ayrıca kötü amaçlı uygulamayı alıcı için yayınlamayı da teklif edebiliyor. Böylece alıcı Google Play ile doğrudan etkileşime girmese de, kurbanların tüm verilerini uzaktan alabiliyor. Böyle bir durumda ilk anda geliştiricinin alıcıyı kolayca kandırma ihtimali akla gelse de, Darknet kullanıcıları arasında itibarlarını korumak ve sürdürmek, garantili iş vaat etmek ve ödemeyi anlaşmanın şartları yerine getirildikten sonra kabul etmek gibi davranışlar oldukça yaygın. Anlaşma yaparken riskleri azaltmak için siber suçlular genellikle "emanetçi" olarak bilinen, konuyla ilgisiz aracıların hizmetlerine başvuruyorlar. Emanetçi özel bir hizmet tarafından gölge platform olarak sağlanabiliyor veya yapılan işlemin sonuçlarıyla ilgilenmeyen bir üçüncü taraf olarak konumlandırılabiliyor.

Kaspersky Güvenlik Uzmanı Alisa Kulishenko, şunları söylüyor: "Kötü niyetli mobil uygulamalar, kullanıcıları hedef alan en önemli siber tehditler arasında yer almaya devam ediyor. 2022 yılında bu yolla 1,6 milyondan fazla mobil saldırı tespit edildi. Neyse ki zamanla kullanıcıları bu saldırılardan koruyan siber güvenlik çözümlerinin kalitesi de artıyor. Darknet üzerinde siber suçluların zararlı uygulamaları resmi mağazalara artık çok daha zor yükleyebildiklerinden yakınan mesajlarına rastladık. Ancak bu aynı zamanda yöntemlerin de daha sofistike hale gelebileceği anlamı taşıyor. Bu nedenle kullanıcılar tetikte olmalı ve hangi uygulamaları indirdiklerini dikkatlice kontrol etmeli." 

Darknet üzerinden Google Play'de satılan tehditlere ilişkin daha fazla örneği Securelist'teki raporun tamamında bulabilirsiniz.

Kaspersky, mobil tehditlere karşı güvende kalmak için şunları öneriyor:

Kullandığınız uygulamaların istediği izinleri kontrol edin ve özellikle Erişilebilirlik Hizmetlerini kullanma izni gibi yüksek riskli izinler söz konusu olduğunda, uygulamaya izin vermeden önce iyi düşünün. Örneğin bir el feneri uygulamasının ihtiyaç duyduğu tek izin feneri yakmaktır. Bunun için kamera erişimine bile ihtiyaç duymaması gerekir.
Güvenilir bir güvenlik çözümü, kötü amaçlı uygulamaları ve reklam yazılımlarını aygıtınızda kötü niyetli faaliyetleri gerçekleştirmeye başlamadan önce tespit etmenize yardımcı olabilir. 
iPhone kullanıcıları Apple tarafından sağlanan bazı gizlilik denetimlerine sahiptir. Kullanıcılar istenen izinlerin gereksiz olduğunu düşünürlerse, uygulamaların fotoğraflara, kişilere ve GPS bağlantısına erişim izinlerini kaldırabilir ve engelleyebilirler. 
İşletim sisteminizi ve önemli uygulamalarınızı güncellemeler yayınladıkça güncelleyin. Birçok güvenlik sorunu, yazılımların güncellenmiş sürümleri yüklenerek çözülebilir.
Kuruluşunuza yönelik tehdit izleme hizmetleri hakkında bilgi almak için dfi@kaspersky.com adresinden Kaspersky ile iletişime geçebilirsiniz.