Google, Kimlik Bilgilerini Çalan 25 Adet Android Uygulamasını Kaldırıyor

Yakın zamanda gerçekleşen bir siber güvenlik olayında Google, kullanıcıların kimlik bilgilerini çaldığı iddia edildiği için Google Play Store’dan 25 uygulamayı temizledi. Google’a göre, bu uygulamalar oyun mağazası bunları kapatmaya karar vermeden önce yaklaşık 2.35 milyon indirildi. Tüm bu 25 uygulama aynı geliştirici tarafından oluşturuldu. Ancak farklı çalışıyor ve farklı özellikler sunuyor gibi görünse de, hepsi aynı yolun yolcusu idi.

Fransa merkezli bir siber güvenlik kuruluşu Evina, bu uygulamalar kendilerini bir video düzenleyici, fotoğraf editörü, duvar kağıdı uygulamaları, dosya yönetimi uygulamaları, mobil oyun uygulamaları ve el feneri uygulamaları olarak gösterdi. Firma olayı öğrendiğinde Google’a rapor verdi ve son kullanıcıları korumak için derhal ihtiyati önlemler alındı. Kötü amaçlı yazılım da tersine mühendislikle yapılmıştır, böylece hiçbir hasar meydana gelmez. 25 uygulamanın içinde gömülü kötü amaçlı yazılım vardı; bu, kullanıcı FB uygulamasını her başlattığında FB oturum açma bilgilerini çaldı.

Uygulamalar yasal olarak çalışmasına rağmen, kötü niyetli kodları gizlediler. Kod, kullanıcının cihazında yakın zamanda başlatılan uygulama hakkında bilgi verebilir. FB olsaydı, bu uygulamalar kullanıcının giriş kimlik bilgilerini çalmak için orijinalle aynı görünen sahte bir giriş sayfası oluşturur. Kullanıcı oturum açma kimlik bilgilerini girerse, uygulama verileri yakalar ve uzak sunucu alan adına aktarır. Google, Mayıs ayında Evina’nın iddialarından sonra sorunu öğrendiğinde, bu uygulamaları kaldırmadan önce sorunu doğruladı. Play Store, bu uygulamanın bir kısmını bu ayın başlarında kaldırdı.

“Telefonunuzda bir uygulama başlatıldığında, kötü amaçlı yazılım uygulama adını sorgular. Bir Facebook uygulamasıysa, kötü amaçlı yazılım Facebook’u aynı anda yükleyen bir tarayıcı başlatır. Tarayıcı ön planda görüntülenir, bu da sizi düşünmenizi sağlar. Kimlik bilgilerinizi bu tarayıcıya girdiğinizde, kötü amaçlı yazılım onları almak için javascript yürütür. Kötü amaçlı yazılım daha sonra hesap bilgilerinizi bir sunucuya gönderir “dedi.

Kaynak