Android Kötü Amaçlı Yazılım Kampanyası, Kullanıcıları Sessizce Ücretlendirmek İçin Yüzlerce Sahte Uygulama Kullandı Siber Güvenlik

Android Kötü Amaçlı Yazılım Kampanyası, Kullanıcıları Sessizce Ücretlendirmek İçin Yüzlerce Sahte Uygulama Kullandı

10 ay süren bir Android kötü amaçlı yazılım kampanyası, mağdurları cep telefonu faturalarında premium hizmetlere kayıt ettirmek için yaklaşık 250 saht...

10 ay süren bir Android kötü amaçlı yazılım kampanyası, mağdurları cep telefonu faturalarında premium hizmetlere kayıt ettirmek için yaklaşık 250 sahte uygulama kullandı; sabit kodlu operatörler Malezya, Tayland, Romanya ve Hırvatistan'daki kullanıcıları hedefliyor.

Zimperium'un zLabs araştırma ekibinin yeni analizine göre, mobil güvenlik şirketi tarafından Premium Aldatma adı verilen operasyon, Mart 2025'ten Ocak 2026 ortasına kadar yürütüldü. Altyapının bazı bölümleri, yayınlandığı sırada çevrimiçi durumda.

Sahte uygulamalar, Facebook Messenger, Instagram Threads, TikTok, Minecraft ve Grand Theft Auto gibi yaygın olarak tanınan markaların kimliğine bürünüyor.

Nasıl Önlem Alınmalı?

Üç Değişken, Tek Hedef

Önemli Gelişmeler

zLabs, giderek artan karmaşıklığa sahip üç kötü amaçlı yazılım çeşidi belirledi. Malezyalı DiGi abonelerine karşı uygulanan en gelişmiş sistem, tüm abonelik iş akışını uçtan uca otomatikleştirdi.

Gelecekte Ne Bekleniyor?

Kötü amaçlı yazılım, cihazın SIM operatör kodunu okuduktan ve sabit kodlanmış bir listeyle eşleştirdikten sonra trafiği hücresel ağa yönlendirmek için Wi-Fi'yi devre dışı bırakıyor, DiGi'nin resmi faturalandırma portalını gizli bir Web Görünümüne yüklüyor ve "TAC İste" düğmesine tıklamak için JavaScript çalıştırıyor, ele geçirilen tek seferlik şifreyi (OTP) dolduruyor ve aboneliği onaylıyor.

OTP daha sonra, onay kodlarını kullanıcıya sormadan otomatik olarak okumak üzere tasarlanmış meşru bir Android özelliği olan Google'ın SMS Retriever API'sinin kötüye kullanılması yoluyla toplanır.

Uzmanların Görüşleri

Android kötü amaçlı yazılım kampanyaları hakkında daha fazlasını okuyun: Kötü Amaçlı Yazılım Kampanyası, Veri Çalmak İçin Flört Uygulamaları Kılığına Giriyor

İkinci bir varyant, bir komuta ve kontrol (C2) sunucusundan dinamik abonelik hedeflerini getiren, otomatik dolandırıcılık tespitini yenmek için 60 ve 90 saniyelik aralıklarla planlanmış gecikmeli SMS ve gizli operatör faturalandırma sayfalarından toplanan oturum çerezlerini toplayan çok aşamalı bir saldırı ile Taylandlı kullanıcıları hedef aldı.

Üçüncü bir varyant, bir cihaza virüs bulaştığında, izinler verildiğinde veya özel bir SMS gönderildiğinde botların saldırganlara ping atmasıyla gerçek zamanlı Telegram raporlaması eklendi.

Detaylar ve Etkileri

Optimizasyon İçin Tasarlandı

Sonuç ve Değerlendirme

Kampanya altyapısı iyi organize edilmiş bir ticari operasyona işaret ediyor. Her kötü amaçlı örnek, {FakeAppName}-{Country}-{Platform}-{OperatorCode} biçiminde bir HTTP yönlendirme başlığı yerleştirir ve saldırganların hangi sahte kişilerin ve dağıtım kanallarının (TikTok, Facebook, Google) en başarılı enfeksiyonlara yol açtığını ölçmesine olanak tanır.

SIM operatörü hedef listesinin dışında kalan bir cihaza konuşlandırıldığında kötü amaçlı yazılım, şüpheyi önlemek ve kalıcılığı sürdürmek için sessizce apkafa.com'un iyi huylu bir web görünümünü görüntüler; Zimperium'un MITRE ATT&CK tekniği T1628.001 ile eşleştirdiği bir kaçırma modeli.

Teknik Analiz

zLabs, modobomz[.]com ve mwmze[.]com alanlarını kapsayan C2 altyapısının yanı sıra hedeflenen dört ülkede en az 12 premium SMS kısa kodunun kötüye kullanıldığını tespit etti.

Bu ve benzeri tehditlere karşı korunmak için kullanıcılar, Android uygulamalarını üçüncü taraf mağazalardan yüklemekten kaçınmalı, yüklü uygulamaları güvenilir marka adlarıyla karşılaştırmalı ve açıklanamayan abonelik ücretleri için son mobil faturalarını incelemelidir.

Paylaş: