İnternet ve mobil cihaz kullanıcıları devamlı karşılarına çıkan reklamlardan epeyce sıkılmış durumda. Her ne kadar profilleme çalışmaları sonucunda karşılarına ihtiyaçları olabilecek veya ilgilerini çekecek ürünlerin reklamları gelse bile, yine de gösterilen toplam reklamların miktarı çok fazla. Kullanıcılar da buna karşı ister istemez reklam engelleyici yazılımlar kullanmaya başvuruyorlar. Ama bu yazılımlarda da saklı bazı siber tehlikeler mecvut.
Siber güvenlik firması ESET’in yeni bir araştırması, kendini reklam engelleyici yazılım gibi gösteren ‘Android/FakeAdBlocker’ üzerine. Bu yazılım ilk kez Eylül 2019’da saptanmış. 1 Ocak ile 1 Temmuz 2021 tarihleri arasında bu tehdidin 150 bin’den fazla örneğinin Android cihazlara indirildiği aktarılıyor. Tehditten en fazla etkilenen ülkeler arasında Ukrayna, Kazakistan, Rusya, Vietnam, Hindistan, Meksika ve Amerika Birleşik Devletleri var.
Bu yazılım, piyasada popüler bazı reklam engelleme çözümlerine benzer şekilde sunulmakta. Genelde kullanıcılar reklamları durdurmak için uygulamalar aradıklarında karşılarına ‘adBLOCK’ veya benzeri isimli sahte yazılımlar çıkmakta. Yayılma senaryolarından birinde yazılım sahte web sitelerinde bulunurken, diğerlerinde resmi Google Play Store uygulama mağazası dışındaki üçüncü parti uygulama mağazalarından indirilebilmekte.
Android/FakeAdBlocker’ın cihaza indirildiğinde önce başlatıcı simgesini gizlediği saptanmış. Ardından reklam engellemek bir yana, kullanıcıya istenmeyen sahte uygulamaların ya da yetişkin içeriklerin reklamlarını göstermeye başlıyor. Bu reklamlar genelde ücretli SMS mesajları göndererek, gereksiz hizmetlere abone olarak ya da Android bankacılık truva atları, SMS truva atları ve kötü amaçlı uygulamalar indirerek kurbanların para kaybetmesine neden olmakta.
Yazılımın bir diğer becerisi, mobil cihaz takvimlerinde ICS dosyaları aracılığı ile istenmeyen e-posta etkinlikleri oluşturmak var. Bu etkinlikler aktive olunca kurbanın telefonuna virüs bulaştığı, kurbanın verilerinin sızdırıldığı ve kurulu virüs koruma uygulamasının kullanım süresinin sona erdiği izlenimini veren mesajlar gösterilmekte. Etkinliklerin açıklamalarında bunlara karşı kullanıcıyı koruma uygulamaları indirmeye yönlendiren kısa URL bağlantıları da oluyor. Kullanıcılar bunlara tıklarsa da sahte başka zararlı yazılımlar indirtmek üzere sahte web sitelerine gönderme yapılıyor.
ESET araştırması sonucunda, Android/FakeAdBlocker’ın saldırgan reklamlar göstermek dışında cihaza başka kötü niyetli yazılımlar indirip çalıştırdığı vakalar da olduğu anlaşılmış. Bunlara Chrome, Android Güncellemesi, Adobe Flash Player ya da Android’i Güncelle gibi görünen; aralarında Türkiye, Polonya, İspanya, Yunanistan ve İtalya’nın olduğu çeşitli ülkelerdeki kullanıcılara saldıran Cerberus truva atı da dahil. Ayrıca Yunanistan ve Orta Doğu ülkelerinde Ginp truva atının indirildiğini de raporlanmakta.