Kaspersky araştırmacıları, YoWhatsApp isimli tanınan WhatsApp iletileşme modunun yeni bir berbat hedefli sürümünü keşfetti. Resmi uygulamanın sunmadığı özelliklere sahip olduğu için tanınan olan bu mod, öbür Truva atlarını indirebilen, fiyatlı abonelikler başlatabilen, hatta WhatsApp hesaplarını çalabilen Triada taşınabilir Truva Atının aygıtlara bulaşmasına neden oluyor. Dünyanın dört bir yanındaki kullanıcılar son iki ayda bu tehditten etkilendi ve bunların 27’si META (Orta Doğu, Türkiye, Afrika) bölgesinde gerçekleşti. Etkilenen kullanıcıların 9’u Türkiye’dendi.
Söz konusu berbat hedefli mod, tanınan Snaptube uygulamasıyla duyuruluyor ve Vidmate aracılığıyla dağıtılıyor. Bu, modun kullanıcılar tarafından daha az kuşkulu görünmesini sağlıyor ve mümkün kurbanların sayısını artırıyor.
WhatsApp, dünya çapında milyonlarca kullanıcı tarafından kullanılan en tanınan iletileşme programlarından biri. Lakin kullanıcıların tamamı ana uygulamanın sunduğu özelliklerden şad değil. Bu nedenle birtakım kullanıcılar sohbetlerinde özel art planlar ve yazı tipleri kullanmak, toplu iletileşme yahut belli konuşmaları şifreyle müdafaa altına almak üzere daha fazla seçenek sunan WhatsApp modlarını indirmeyi tercih ediyor.
Ancak bu tıp modlar maalesef her vakit inançlı değil. Daha evvel Kaspersky, WhatsApp’ın tehlikeli Triada Taşınabilir Truva Atını yayan bir öteki modunu keşfetmişti. Araştırmacılar artık saldırganların YoWhatsApp’ın kimi sürümlerinde yeni makûs niyetli değişiklikler gerçekleştirerek dünya genelinde tanınan iletileşme yazılımımın gördüğü ilgiden yararlanmaya devam ettiğine şahit oluyorlar.
Siber hatalılar olabildiğince çok kullanıcıyı etkilemek için yeni bir dağıtım planı uyguluyor, YouTube, Facebook ve Instagram’dan görüntü indirmek için kullanılan tanınan Android uygulaması Snaptube’de makûs niyetli YoWhatsApp modunun reklamını yapıyorlar. YoWhatsApp, dünya çapında yüz binlerce kullanıcı tarafından kullanılan Snaptube uygulaması aracılığıyla tanıtıldığından, birden fazla kişi bu modun tehlikeli olabileceğinin farkında değil. Büyük olasılıkla Snaptube’un geliştiricileri bile saldırganların kendi uygulamalarındaki yasal reklam sisteminden yararlandıklarının farkına varamamışlardı.
YoWhatsApp ayrıyeten Vidmate uygulaması aracılığıyla da dağıtılıyor. Bu uygulama, YouTube görüntülerini indirmek için kullanılmasına ek olarak, resmi olmayan bir Android uygulama mağazası da içeriyor. Burada saldırganlar YoWhatsApp’ın “Whatsapp Plus” isimli makus hedefli sürümünü yayınlıyor. Vidmate resmi bir uygulama mağazası olmadığı için, makûs hedefli uygulamaların yer alma mümkünlüğü çok daha yüksek. Kullanıcıları Triada Truva Atıyla buluşturan Whatsapp Plus da buna hoş bir örnek.
Söz konusu WhatsApp modunu kullanmak için kullanıcıların evvel kendi uygulama hesaplarına giriş yapmaları gerekiyor. Lakin vaat edilen yeni özelliklerle birlikte kullanıcılar Triada Truva Atını da aygıtlarına davet ediyor. Saldırganlar kurbana virüs bulaştırdıktan sonra aygıtlarına makûs gayeli yükleri indirip çalıştırıyor ve resmi WhatsApp uygulamasında hesap anahtarlarını ele geçiriyor. Bu da onlara hesapları ele geçirme ve kurbanları farkında bile olmadan fiyatlı servislere abone yapma fırsatı sunuyor.
Kaspersky Güvenlik Araştırmacısı Anton Kivva, şunları söylüyor: “Meşru uygulamalarda reklam yayınlamak, hatalıların makûs niyetli uygulamaları yayması için kurnazca bir yaklaşım. Zira birçok kullanıcı, kullandıkları uygulama güvenliyse üzerinde yayınlanan reklamın da rastgele bir risk taşımadığına inanıyor. Lakin son örnekte de görüldüğü üzere durum her vakit bu türlü olmuyor. Bu nedenle kullanıcıların sırf resmi uygulama mağazalarından uygulama indirmelerini öneriyoruz. Bunlar çok sayıda özel özelliğe sahip olmayabilir. Lakin hesabınızı kaptırma yahut paranızı çaldırma mümkünlüğünü azaltarak katiyen çok daha inançlı bir kullanım sunacaktır.”
Kaspersky tahlilleri, makus gayeli implantı Trojan.AndroidOS.Triada.eq ve Trojan-Dropper.AndroidOS.Triada.bd ismiyle algılıyor.
Securelist raporunda Triada Truva Atı hakkında daha fazla bilgi edinebilirsiniz.
Güvende kalmak isteyen kullanıcılara Kaspersky şunları öneriyor:
- Yalnızca resmi mağazalardan ve muteber kaynaklardan uygulama yükleyin.
- Yüklü uygulamalara hangi müsaadeleri verdiğinizi denetim etmeyi unutmayın – bu müsaadelerin kimileri çok tehlikeli olabilir.
- Akıllı telefonunuza Kaspersky Internet Security for Android üzere emniyetli bir taşınabilir antivirüs tahlili yükleyin. Bu mümkün tehditleri tespit edecek ve önleyecektir.
Kaynak: (BYZHA) – Beyaz Haber Ajansı
