Android Kötü Amaçlı Yazılım Kampanyası: 250 Sahte Uygulama ile Kullanıcılar Faturalandırıldı Yazılım

Android Kötü Amaçlı Yazılım Kampanyası: 250 Sahte Uygulama ile Kullanıcılar Faturalandırıldı

10 aylık Android kötü amaçlı yazılım kampanyası, 250 sahte uygulamayla kullanıcıları premium hizmetlere kaydettirdi. Hedef ülkeler: Malezya, Tayland,

Zimperium'un zLabs araştırma ekibi tarafından yapılan yeni analize göre, 'Premium Deception' adı verilen bir Android kötü amaçlı yazılım kampanyası, Mart 2025'ten Ocak 2026 ortasına kadar sürdü. Kampanyada, Facebook Messenger, Instagram Threads, TikTok, Minecraft ve Grand Theft Auto gibi tanınmış markaları taklit eden yaklaşık 250 sahte uygulama kullanıldı. Kötü amaçlı yazılım, kullanıcıları farkında olmadan premium hizmetlere abone ederek cep telefonu faturalarına yansıttı. Hedef ülkeler arasında Malezya, Tayland, Romanya ve Hırvatistan yer alıyor.

zLabs, giderek karmaşıklaşan üç farklı kötü amaçlı yazılım varyantı tespit etti. En gelişmiş varyant, Malezya'daki DiGi abonelerini hedef alarak abonelik sürecini otomatikleştirdi. Kötü amaçlı yazılım, cihazın SIM operatör kodunu okuduktan sonra Wi-Fi'yi devre dışı bırakarak trafiği hücresel ağa yönlendirdi. Ardından DiGi'nin resmi faturalama portalını gizli bir WebView'da yükleyerek JavaScript ile 'TAC İste' butonuna tıkladı, ele geçirilen tek kullanımlık şifreyi (OTP) doldurdu ve aboneliği onayladı. OTP, Google'ın SMS Alıcı API'si kullanılarak kullanıcıya bildirim gösterilmeden ele geçirildi.

İkinci varyant ise Taylandlı kullanıcıları hedef aldı. Çok aşamalı saldırıda, dinamik abonelik hedefleri komuta ve kontrol (C2) sunucusundan alındı. Kötü amaçlı yazılım, otomatik dolandırıcılık tespitini atlatmak için 60 ve 90 saniye aralıklarla gecikmeli SMS gönderdi ve gizli operatör faturalama sayfalarından oturum çerezlerini topladı. Üçüncü varyant ise Telegram üzerinden gerçek zamanlı raporlama ekledi; bir cihaz enfekte olduğunda, izinler verildiğinde veya premium SMS gönderildiğinde saldırganlara bildirim gönderildi.

Kampanya altyapısı, iyi organize edilmiş ticari bir operasyonu işaret ediyor. Her kötü amaçlı örnek, {SahteUygulamaAdı}-{Ülke}-{Platform}-{OperatörKodu} formatında bir HTTP referrer başlığı içeriyor. Bu sayede saldırganlar, hangi sahte kimliklerin ve dağıtım kanallarının (TikTok, Facebook, Google) daha başarılı enfeksiyonlara yol açtığını ölçebiliyor. Hedef listede olmayan bir SIM operatörüne sahip cihazlarda, kötü amaçlı yazılım şüphe çekmemek için zararsız bir web sayfası gösteriyor. Zimperium, bu kaçınma tekniğini MITRE ATT&CK T1628.001 olarak sınıflandırıyor. Kullanıcıların üçüncü taraf uygulama mağazalarından uygulama yüklemekten kaçınmaları, yüklü uygulamaları güvenilir marka adlarıyla karşılaştırmaları ve mobil faturalarını açıklanamayan abonelik ücretlerine karşı düzenli olarak kontrol etmeleri öneriliyor.

Paylaş: