En tehlikeli ziyanlı yazılım cinsleri ortasında yer alan art kapılar saldırganlara maksat aldıkları aygıt üzerinde neredeyse tam denetim sağlıyor. MobOk da bunlardan biri. Google Play’e yüklenen içerikler sıkı filtrelerden geçse de tehditlerin bu yolla kullanıcı aygıtlarına ulaşmasına daha evvel de rastlandı. Birçok olayda art kapılar yarı çalışan bir uygulamanın içine saklanıyor. Bu uygulamalar birinci bakışta başarısız ama saf birer yasal uygulama denemesi üzere görünüyor. İçinde sahiden de fotoğraf düzenleme özellikleri bulunan ve muteber Google Play mağazasından indirilen Pink Camera uygulamalarının kuşku çekmemesinin nedeni de bu.
Ancak kullanıcılar Pink Camera ile fotoğraflarını düzenlemeye başladığında, uygulama bildirimlere erişim müsaadesi istiyor. Art planda ziyanlı faaliyet de bu müsaadenin alınmasıyla başlıyor. Bu müsaade sayesinde kullanıcıyı fiyatlı taşınabilir abonelik servislerine üye yapmak mümkün oluyor. Bunlar ekseriyetle cep telefonu faturasına eklenen günlük ödemeler karşılığında bir hizmet verdiğini söyleyen web sayfaları oluyor. Müşterilerin kaliteli servislere üye olmasını kolaylaştırmak için taşınabilir operatörler tarafından geliştirilen bu ödeme prosedürü şimdilerde siber saldırganlar tarafından da kullanılıyor.
MobOk kurbanın aygıtına bulaştıktan sonra ilgili telefon numarası üzere aygıt bilgilerini toplayarak bunları taarruzun ilerleyen safhalarında kullanıyor. Saldırganlar fiyatlı abonelik servislerine sahip web sayfalarının bilgilerini aygıta gönderiyor, ziyanlı yazılım da kapalı bir web tarayıcısı misyonu üstlenerek bunları açıyor. Daha evvel alınan telefon numarasını kullanan yazılım, abonelik kısmına bu numarayı giriyor ve satın alma sürecini tamamlıyor. Aygıt üzerinde tam denetime sahip olan ve bildirimleri denetim edebilen yazılım, SMS onay kodu geldiğinde bunu kullanıcıyı uyarmadan girebiliyor. Kurban telefon faturasında ödemeleri fark edip her bir servisin aboneliğini iptal edene kadar para toplanmaya devam ediyor.
Kaspersky Güvenlik Araştırmacısı Igor Golovin, “Pink Camera uygulamalarının fotoğraf düzenleme özellikleri pek güzel olmasa da art planda yapabildikleri öbür şeyler sahiden inanılmaz. Bu uygulamalar kullanıcıları Rusça, İngilizce ve Tayca lisanlarındaki para tuzağı servislere üye yapabiliyor, SMS’leri takip edebiliyor ve çevrim içi servislere abone olurken robot olmadığınızı kanıtlamak için yazmanız gereken Captcha kodlarını talep edebiliyor. Böylelikle kurbanların banka hesaplarından para çalma potansiyeline de sahip oluyorlar. Saldırganların hem bu özgün olmayan abonelik servislerini hem de kullanıcıları çeken ziyanlı yazılımı birlikte geliştirdiğini ve dünya genelinde geniş kitlelere ulaşmayı hedeflediğini düşünüyoruz.” dedi.
Kaspersky, MobOk ziyanlı yazılımını HEUR:Trojan.AndroidOS.MobOk.a formunda tespit ediyor.