Android ekosistemini hedef alan geniş ölçekli bir reklam dolandırıcılığı kampanyası, kötü amaçlı uygulamalar ve gizli reklam akışları üzerinden günlük 659 milyon teklif isteğine kadar çıktı. Son analizler, bu operasyonun 455 zararlı Android uygulaması ve saldırgan kontrolündeki 183 alan adıyla yürütüldüğünü; özellikle sahte yardımcı uygulamalar üzerinden kullanıcıların fark etmeden çok aşamalı bir dolandırıcılık zincirine çekildiğini gösteriyor.
Kampanya, ilk bakışta zararsız görünen PDF görüntüleyici, cihaz temizleyici ya da benzeri araçlar gibi uygulamalarla başlıyor. Kullanıcı uygulamayı yükledikten sonra, arka planda ek uygulama indirmeye zorlayan reklam yönlendirmeleri tetikleniyor. İkinci aşamadaki uygulamalar ise görünmez WebView bileşenleri açıyor, saldırganların kontrol ettiği HTML5 tabanlı alan adlarını yüklüyor ve reklam isteği üretiyor.
Saldırı Zinciri Nasıl İşliyor?
Bu kampanyanın dikkat çeken yönü, klasik zararlı yazılım dağıtımı ile reklam dolandırıcılığının aynı zincirde birleştirilmesi. İlk uygulama çoğu zaman organik bir mağaza yüklemesi gibi görünüyor; ancak asıl kötüye kullanım, kullanıcıyı ikinci aşama uygulamaya yönlendiren sahte bildirimler ve reklam kampanyalarıyla başlıyor. İkinci aşama çalıştığında, otomatik dokunma dolandırıcılığı, gizli reklam gösterimi ve sahte trafik üretimi devreye giriyor.
Teknik açıdan bakıldığında bu yapı, ATT&CK çerçevesindeki Drive-by Compromise, Malicious File, Command and Scripting Interpreter ve Proxy: Web Service benzeri davranışlarla ilişkilendirilebilecek çok katmanlı bir kötüye kullanım modeli sunuyor. Ayrıca bazı örneklerde meşru yazılım geliştirme kitlerini taklit eden bileşenler kullanılarak güvenlik araçlarının tespiti zorlaştırılıyor.
HTML5 Cashout Siteleri ve Gizli WebView Kullanımı
Operasyonun en önemli parçalarından biri, HTML5 tabanlı para kazanma siteleri. Bu yaklaşım daha önce farklı tehdit kümelerinde de görülmüştü ve saldırganlara, reklam trafiğini normal kullanıcı etkileşimi gibi gösterme avantajı sağlıyor. Gizli WebView’ler sayesinde uygulama arayüzünde görünmeyen sayfalar açılıyor, böylece hem kullanıcı farkındalığı düşüyor hem de mobil güvenlik çözümlerinin davranış analizi zorlaşıyor.
Bu model, kurumsal mobil cihaz yönetimi (MDM/MAM) kullanan ortamlarda da risk yaratabilir. Özellikle cihazda yan yükleme (sideloading) serbestse, uygulama mağazası dışından gelen paketler ile reklam dolandırıcılığına zemin hazırlanabilir. EDR ve mobil tehdit savunma çözümleri, bu tür uygulamaların arka plan ağ trafiğini, WebView çağrılarını ve beklenmeyen alan adı çözümlemelerini izlemelidir.
Hangi Kullanıcılar Etkileniyor?
Analizlere göre kampanyadan etkilenen trafik ağırlıklı olarak ABD kaynaklı görünse de, Android ekosisteminin küresel yapısı nedeniyle risk yalnızca belirli bir bölgeyle sınırlı değil. Özellikle ücretsiz yardımcı araçlara güvenen son kullanıcılar, küçük işletmelerin çalışan cihazları ve kurumsal mobil filolar bu tür kampanyalarda daha savunmasız olabiliyor.
Uygulamalar toplamda 24 milyondan fazla kez indirilmiş durumda. Bu da saldırının yalnızca teknik olarak değil, dağıtım ölçeği açısından da ciddi bir hacme ulaştığını gösteriyor. Reklam dolandırıcılığı zincirleri çoğu zaman doğrudan veri hırsızlığı yapmasa da, kurumsal ağlarda istenmeyen trafik, sahte reklam harcaması, marka güven kaybı ve olay müdahale yükü yaratabiliyor.
Seçici Etkinleştirme ve Tespit Atlama Yöntemleri
Bu kampanyada dikkat çeken bir diğer unsur, kötü amaçlı davranışın herkese aynı şekilde uygulanmaması. Saldırganlar, yükleme atıf araçlarını kötüye kullanarak yalnızca kendi reklam kampanyaları üzerinden gelen kullanıcıları hedefliyor; mağazadan organik olarak indirilen sürümlerde ise davranışı bastırıyor. Bu, araştırmacıların ve otomatik analiz sistemlerinin örnekleri daha temiz görmesine neden olabiliyor.
Bu tür seçici etkinleştirme, sandbox ortamlarında pasif davranış sergileyen zararlı yazılımlarda sık görülen bir yöntemdir. Anti-analysis teknikleri, obfuscation katmanları, sahte SDK taklitleri ve koşullu tetikleme mekanizmaları, hem statik analiz hem de dinamik inceleme süreçlerini zorlaştırır. SOC ekipleri için bu durum, yalnızca imza tabanlı tespitin yeterli olmadığını; ağ telemetrisi, uygulama davranışı ve cihaz bütünlüğü sinyallerinin birlikte değerlendirilmesi gerektiğini gösterir.
Siber Güvenlik Ekipleri İçin Pratik Kontrol Listesi
Mobil tehditlere karşı çalışan ekipler için bu tür kampanyalarda aşağıdaki kontroller özellikle faydalı olabilir:
– Kurumsal Android cihazlarda Play Protect durumunu ve yan yükleme izinlerini düzenli olarak denetleyin.
– MDM politikalarında bilinmeyen kaynaklardan kurulum seçeneğini kapatın.
– DNS logları ve proxy kayıtlarında yeni açılan şüpheli HTML5 alan adlarını izleyin.
– Mobil EDR çözümlerinde gizli WebView, arka plan reklam çağrısı ve anormal ağ trafiği için davranış kuralları tanımlayın.
– Uygulama atıf verilerini kötüye kullanan kampanyaları ayırt etmek için install referrer ve kampanya parametrelerini SIEM üzerinde korele edin.
– Şüpheli uygulamaları uygulama mağazası dışı kaynaklardan yükleyen cihazları ağ segmentasyonu ile ayrı bir VLAN’a alın.
– Olay müdahale süreçlerine mobil uygulama kaldırma, cihaz karantinası ve kullanıcı bilgilendirme adımlarını ekleyin.
– Kurumsal e-posta güvenliği ve mobil kimlik doğrulama akışlarını, sahte güncelleme bildirimleriyle başlayan sosyal mühendislik senaryolarına karşı gözden geçirin.
Kurumsal Ortamlar İçin Olası Senaryo
Bir SaaS sağlayıcısında çalışan satış ekibini düşünelim. Çalışanlardan biri, cihaz temizleme aracı gibi görünen bir uygulamayı kişisel telefona yüklüyor ve aynı cihazı kurumsal e-posta ile eşleştiriyor. Uygulama, arka planda reklam yönlendirmeleri üretmeye başladığında cihazda anormal DNS sorguları, beklenmeyen WebView çağrıları ve yoğun reklam trafiği oluşuyor. Bu trafik doğrudan veri sızıntısı yaratmasa bile, kurumsal ağ geçidi ve mobil güvenlik platformlarında alarm üreterek operasyonel yük oluşturuyor.
Benzer bir senaryoda, finans veya kamu kurumlarında BYOD politikası gevşekse, çalışan cihazları üzerinden gelen bu tür uygulamalar kimlik avı, sahte güncelleme ve ek kötü amaçlı yük indirme girişimlerine kapı aralayabilir. Bu nedenle mobil güvenlik, yalnızca uygulama mağazası denetimi değil; IAM, koşullu erişim, cihaz uyumluluğu ve Zero Trust yaklaşımıyla birlikte ele alınmalı.
Ne Yapıldı, Ne Yapılmalı?
İlgili platform tarafında, tespit edilen zararlı uygulamaların mağazadan kaldırıldığı ve operasyonun büyük ölçüde etkisiz hale getirildiği bildirildi. Ancak bu, benzer kampanyaların tekrar etmeyeceği anlamına gelmiyor. Reklam dolandırıcılığı ekosistemi, yeni uygulama paketleri, farklı alan adları ve güncellenmiş obfuscation teknikleriyle hızla uyum sağlayabiliyor.
Kuruluşlar için en doğru yaklaşım; mobil uygulama envanterini düzenli gözden geçirmek, şüpheli ağ kalıplarını SIEM üzerinde korele etmek, cihaz bütünlüğü kontrollerini zorunlu kılmak ve kullanıcıları sahte yardımcı uygulamalar konusunda eğitmek. Özellikle e-posta güvenliği, bulut güvenliği ve ağ segmentasyonu kontrolleri birlikte çalıştığında, bu tür çok aşamalı dolandırıcılık zincirlerinin etkisi önemli ölçüde azaltılabilir.
Bu olay, günlük uygulama kurulumlarının bile nasıl kendi kendini finanse eden bir reklam dolandırıcılığı hattına dönüşebildiğini gösteriyor. Mobil tehditler artık yalnızca zararlı yazılım yüklemekle sınırlı değil; reklam ekosistemi, atıf araçları ve görünmez web bileşenleri üzerinden de kurumsal güvenlik ekiplerini meşgul eden karmaşık operasyonlara dönüşmüş durumda.