Kaspersky araştırmacıları, YoWhatsApp isimli tanınan WhatsApp iletileşme modunun yeni bir makus maksatlı sürümünü keşfetti. Resmi uygulamanın sunmadığı özelliklere sahip olduğu için tanınan olan bu mod, öteki Truva atlarını indirebilen, fiyatlı abonelikler başlatabilen, hatta WhatsApp hesaplarını çalabilen Triada taşınabilir Truva Atının aygıtlara bulaşmasına niye oluyor. Dünyanın dört bir yanındaki kullanıcılar son iki ayda bu tehditten etkilendi ve bunların 27’si META (Orta Doğu, Türkiye, Afrika) bölgesinde gerçekleşti. Etkilenen kullanıcıların 9’u Türkiye’dendi.
Söz konusu makus maksatlı mod, tanınan Snaptube uygulamasıyla duyuruluyor ve Vidmate aracılığıyla dağıtılıyor. Bu, modun kullanıcılar tarafınca daha az kuşkulu görünmesini sağlıyor ve mümkün kurbanların sayısını artırıyor.
WhatsApp, dünya çapında milyonlarca kullanıcı tarafınca kullanılan en tanınan iletileşme programlarından biri. Lakin kullanıcıların tamamı ana uygulamanın sunduğu özelliklerden mutlu değil. Bu niçinle kimi kullanıcılar sohbetlerinde özel art planlar ve yazı tipleri kullanmak, toplu iletileşme yahut muhakkak konuşmaları şifreyle muhafaza altına almak üzere daha fazla seçenek sunan WhatsApp modlarını indirmeyi tercih ediyor.
Ancak bu çeşit modlar maalesef her vakit inançlı değil. Daha evvel Kaspersky, WhatsApp’ın tehlikeli Triada Taşınabilir Truva Atını yayan bir başka modunu keşfetmişti. Araştırmacılar artık saldırganların YoWhatsApp’ın kimi sürümlerinde yeni berbat niyetli değişiklikler gerçekleştirerek dünya genelinde tanınan iletileşme yazılımımın gördüğü ilgiden yararlanmaya devam ettiğine şahit oluyorlar.
Siber hatalılar olabildiğince hayli kullanıcıyı etkilemek için yeni bir dağıtım planı uyguluyor, YouTube, Facebook ve Instagram’dan görüntü indirmek için kullanılan tanınan Android uygulaması Snaptube’de makus niyetli YoWhatsApp modunun reklamını yapıyorlar. YoWhatsApp, dünya çapında yüz binlerce kullanıcı tarafınca kullanılan Snaptube uygulaması aracılığıyla tanıtıldığından, birden fazla kişi bu modun tehlikeli olabileceğinin farkında değil. Büyük olasılıkla Snaptube’un geliştiricileri bile saldırganların kendi uygulamalarındaki yasal reklam düzeneğinden yararlandıklarının farkına varamamışlardı.
YoWhatsApp ayrıyeten Vidmate uygulaması aracılığıyla da dağıtılıyor. Bu uygulama, YouTube görüntülerini indirmek için kullanılmasına ek olarak, resmi olmayan bir Android uygulama mağazası da içeriyor. Burada saldırganlar YoWhatsApp’ın “Whatsapp Plus” isimli makûs maksatlı sürümünü yayınlıyor. Vidmate resmi bir uygulama mağazası olmadığı için, makus gayeli uygulamaların yer alma mümkünlüğü epeyce daha yüksek. Kullanıcıları Triada Truva Atıyla buluşturan Whatsapp Plus da buna hoş bir örnek.
Söz konusu WhatsApp modunu kullanmak için kullanıcıların evvel kendi uygulama hesaplarına giriş yapmaları gerekiyor. Lakin vaat edilen yeni özelliklerle bir arada kullanıcılar Triada Truva Atını da aygıtlarına davet ediyor. Saldırganlar kurbana virüs bulaştırdıktan daha sonra aygıtlarına makûs maksatlı yükleri indirip çalıştırıyor ve resmi WhatsApp uygulamasında hesap anahtarlarını ele geçiriyor. Bu da onlara hesapları ele geçirme ve kurbanları farkında bile olmadan fiyatlı servislere abone yapma fırsatı sunuyor.
Kaspersky Güvenlik Araştırmacısı Anton Kivva, şunları söylüyor: “Meşru uygulamalarda reklam yayınlamak, hatalıların berbat niyetli uygulamaları yayması için kurnazca bir yaklaşım. Zira biroldukça kullanıcı, kullandıkları uygulama güvenliyse üzerinde yayınlanan reklamın da rastgele bir risk taşımadığına inanıyor. Fakat son örnekte de görüldüğü üzere durum her vakit bu biçimde olmuyor. Bu niçinle kullanıcıların sırf resmi uygulama mağazalarından uygulama indirmelerini öneriyoruz. Bunlar fazlaca sayıda özel özelliğe sahip olmayabilir. Lakin hesabınızı kaptırma yahut paranızı çaldırma mümkünlüğünü azaltarak mutlaka epey daha inançlı bir kullanım sunacaktır.”
Kaspersky tahlilleri, makus maksatlı implantı Trojan.AndroidOS.Triada.eq ve Trojan-Dropper.AndroidOS.Triada.bd ismiyle algılıyor.
Securelist raporunda Triada Truva Atı hakkında daha fazla bilgi edinebilirsiniz.
Güvende kalmak isteyen kullanıcılara Kaspersky şunları öneriyor:
Söz konusu makus maksatlı mod, tanınan Snaptube uygulamasıyla duyuruluyor ve Vidmate aracılığıyla dağıtılıyor. Bu, modun kullanıcılar tarafınca daha az kuşkulu görünmesini sağlıyor ve mümkün kurbanların sayısını artırıyor.
WhatsApp, dünya çapında milyonlarca kullanıcı tarafınca kullanılan en tanınan iletileşme programlarından biri. Lakin kullanıcıların tamamı ana uygulamanın sunduğu özelliklerden mutlu değil. Bu niçinle kimi kullanıcılar sohbetlerinde özel art planlar ve yazı tipleri kullanmak, toplu iletileşme yahut muhakkak konuşmaları şifreyle muhafaza altına almak üzere daha fazla seçenek sunan WhatsApp modlarını indirmeyi tercih ediyor.
Ancak bu çeşit modlar maalesef her vakit inançlı değil. Daha evvel Kaspersky, WhatsApp’ın tehlikeli Triada Taşınabilir Truva Atını yayan bir başka modunu keşfetmişti. Araştırmacılar artık saldırganların YoWhatsApp’ın kimi sürümlerinde yeni berbat niyetli değişiklikler gerçekleştirerek dünya genelinde tanınan iletileşme yazılımımın gördüğü ilgiden yararlanmaya devam ettiğine şahit oluyorlar.
Siber hatalılar olabildiğince hayli kullanıcıyı etkilemek için yeni bir dağıtım planı uyguluyor, YouTube, Facebook ve Instagram’dan görüntü indirmek için kullanılan tanınan Android uygulaması Snaptube’de makus niyetli YoWhatsApp modunun reklamını yapıyorlar. YoWhatsApp, dünya çapında yüz binlerce kullanıcı tarafınca kullanılan Snaptube uygulaması aracılığıyla tanıtıldığından, birden fazla kişi bu modun tehlikeli olabileceğinin farkında değil. Büyük olasılıkla Snaptube’un geliştiricileri bile saldırganların kendi uygulamalarındaki yasal reklam düzeneğinden yararlandıklarının farkına varamamışlardı.
YoWhatsApp ayrıyeten Vidmate uygulaması aracılığıyla da dağıtılıyor. Bu uygulama, YouTube görüntülerini indirmek için kullanılmasına ek olarak, resmi olmayan bir Android uygulama mağazası da içeriyor. Burada saldırganlar YoWhatsApp’ın “Whatsapp Plus” isimli makûs maksatlı sürümünü yayınlıyor. Vidmate resmi bir uygulama mağazası olmadığı için, makus gayeli uygulamaların yer alma mümkünlüğü epeyce daha yüksek. Kullanıcıları Triada Truva Atıyla buluşturan Whatsapp Plus da buna hoş bir örnek.
Söz konusu WhatsApp modunu kullanmak için kullanıcıların evvel kendi uygulama hesaplarına giriş yapmaları gerekiyor. Lakin vaat edilen yeni özelliklerle bir arada kullanıcılar Triada Truva Atını da aygıtlarına davet ediyor. Saldırganlar kurbana virüs bulaştırdıktan daha sonra aygıtlarına makûs maksatlı yükleri indirip çalıştırıyor ve resmi WhatsApp uygulamasında hesap anahtarlarını ele geçiriyor. Bu da onlara hesapları ele geçirme ve kurbanları farkında bile olmadan fiyatlı servislere abone yapma fırsatı sunuyor.
Kaspersky Güvenlik Araştırmacısı Anton Kivva, şunları söylüyor: “Meşru uygulamalarda reklam yayınlamak, hatalıların berbat niyetli uygulamaları yayması için kurnazca bir yaklaşım. Zira biroldukça kullanıcı, kullandıkları uygulama güvenliyse üzerinde yayınlanan reklamın da rastgele bir risk taşımadığına inanıyor. Fakat son örnekte de görüldüğü üzere durum her vakit bu biçimde olmuyor. Bu niçinle kullanıcıların sırf resmi uygulama mağazalarından uygulama indirmelerini öneriyoruz. Bunlar fazlaca sayıda özel özelliğe sahip olmayabilir. Lakin hesabınızı kaptırma yahut paranızı çaldırma mümkünlüğünü azaltarak mutlaka epey daha inançlı bir kullanım sunacaktır.”
Kaspersky tahlilleri, makus maksatlı implantı Trojan.AndroidOS.Triada.eq ve Trojan-Dropper.AndroidOS.Triada.bd ismiyle algılıyor.
Securelist raporunda Triada Truva Atı hakkında daha fazla bilgi edinebilirsiniz.
Güvende kalmak isteyen kullanıcılara Kaspersky şunları öneriyor:
- Yalnızca resmi mağazalardan ve emniyetli kaynaklardan uygulama yükleyin.
- Yüklü uygulamalara hangi müsaadeleri verdiğinizi denetim etmeyi unutmayın – bu müsaadelerin kimileri fazlaca tehlikeli olabilir.
- Akıllı telefonunuza Kaspersky Internet Security for Android üzere emniyetli bir taşınabilir antivirüs tahlili yükleyin. Bu muhtemel tehditleri tespit edecek ve önleyecektir.