Zimperium'un zLabs araştırma ekibi, Premium Deception adını verdikleri bir Android kötü amaçlı yazılım kampanyasını ortaya çıkardı. Mart 2025'ten Ocak 2026'ya kadar süren bu operasyon, yaklaşık 250 sahte uygulama kullanarak kullanıcıları faturalarına yansıyan premium hizmetlere kaydetti. Hedef ülkeler arasında Malezya, Tayland, Romanya ve Hırvatistan bulunuyor. Araştırmacılar, kampanyanın altyapısının bir kısmının hâlâ çevrimiçi olduğunu belirtiyor.
Sahte uygulamalar, Facebook Messenger, Instagram Threads, TikTok, Minecraft ve Grand Theft Auto gibi tanınmış markaları taklit ediyor. Kullanıcılar bu uygulamaları üçüncü taraf mağazalardan veya doğrudan kaynaklardan yüklediklerinde, cihazlarına kötü amaçlı yazılım bulaşıyor ve arka planda premium SMS abonelikleri başlatılıyor. Bu abonelikler, kullanıcının faturasına yansıyor ve çoğu zaman fark edilmiyor.
zLabs, üç farklı kötü amaçlı yazılım varyantı tespit etti. En gelişmiş varyant, Malezya'daki DiGi abonelerini hedef alıyor ve abonelik sürecini tamamen otomatikleştiriyor. Kötü amaçlı yazılım, cihazın SIM operatör kodunu okuyor ve önceden belirlenmiş bir listeyle eşleştiriyor. Ardından Wi-Fi'yi kapatarak trafiği hücresel ağa yönlendiriyor, DiGi'nin resmi faturalama portalını gizli bir WebView'da yüklüyor ve JavaScript kullanarak 'TAC İste' düğmesine tıklıyor, ele geçirilen tek kullanımlık şifreyi (OTP) giriyor ve aboneliği onaylıyor.
OTP'nin ele geçirilmesi, Google'ın SMS Retriever API'sinin kötüye kullanılmasıyla gerçekleştiriliyor. Bu API, Android'in meşru bir özelliği olarak, kullanıcıya sormadan doğrulama kodlarını otomatik olarak okumak için tasarlanmış. Kötü amaçlı yazılım, bu API'yi kullanarak OTP'yi yakalıyor ve abonelik işlemini tamamlıyor. Bu yöntem, kullanıcının herhangi bir eylemde bulunmasını gerektirmediği için oldukça sinsi.
İkinci varyant, Tayland kullanıcılarını hedef alıyor ve çok aşamalı bir saldırı gerçekleştiriyor. Bu varyant, komuta ve kontrol (C2) sunucusundan dinamik abonelik hedefleri alıyor, otomatik dolandırıcılık tespitini atlatmak için 60 ve 90 saniyelik aralıklarla gecikmeli SMS gönderiyor ve gizli taşıyıcı faturalama sayfalarından oturum çerezlerini topluyor. Üçüncü varyant ise gerçek zamanlı Telegram bildirimi ekleyerek, bir cihaz enfekte olduğunda, izinler verildiğinde veya premium SMS gönderildiğinde saldırganlara ping atıyor.
Kampanyanın altyapısı, iyi organize edilmiş ticari bir operasyonu işaret ediyor. Her kötü amaçlı örnek, {SahteUygulamaAdı}-{Ülke}-{Platform}-{OperatörKodu} formatında bir HTTP referrer başlığı içeriyor. Bu sayede saldırganlar, hangi sahte kimliklerin ve dağıtım kanallarının (TikTok, Facebook, Google) en başarılı enfeksiyonlara yol açtığını ölçebiliyor. Cihazın SIM operatörü hedef listede değilse, kötü amaçlı yazılım şüphe uyandırmamak için sessizce apkafa.com adresini gösteriyor ve varlığını sürdürüyor.
zLabs, dört hedef ülkede en az 12 premium SMS kısa kodunun kötüye kullanıldığını ve C2 altyapısının modobomz[.]com ve mwmze[.]com alan adlarını kapsadığını tespit etti. Bu tür tehditlere karşı korunmak için kullanıcıların Android uygulamalarını yalnızca resmi mağazalardan indirmeleri, yüklü uygulamaları güvenilir markalarla karşılaştırmaları ve son mobil faturalarında açıklanamayan abonelik ücretlerini kontrol etmeleri öneriliyor.
Kaynak: infosecurity-magazine.com