Android Kötü Amaçlı Yazılım Kampanyasında 250 Sahte Uygulama Kullanıldı Yazılım

Android Kötü Amaçlı Yazılım Kampanyasında 250 Sahte Uygulama Kullanıldı

Zimperium, 10 ay süren Android kötü amaçlı yazılım kampanyasında 250 sahte uygulamayla kullanıcıların faturalarına gizlice premium abonelikler eklendi

Zimperium'un zLabs araştırma ekibi tarafından yapılan analize göre, Premium Deception adı verilen 10 aylık bir Android kötü amaçlı yazılım kampanyası, kullanıcıları faturalarına premium hizmet abonelikleri eklemek için yaklaşık 250 sahte uygulama kullandı. Kampanya Mart 2025'ten Ocak 2026 ortasına kadar sürdü ve Malezya, Tayland, Romanya ve Hırvatistan'daki kullanıcıları hedef aldı. Altyapının bir kısmı yayın anında hâlâ çevrimiçiydi.

Sahte uygulamalar, Facebook Messenger, Instagram Threads, TikTok, Minecraft ve Grand Theft Auto gibi tanınmış markaları taklit ediyordu. zLabs, giderek karmaşıklaşan üç kötü amaçlı yazılım varyantı tespit etti. En gelişmiş varyant, Malezyalı DiGi abonelerini hedef alarak abonelik sürecini tamamen otomatikleştiriyordu. Kötü amaçlı yazılım, SIM operatör kodunu okuyup sabit bir listeyle eşleştirdikten sonra Wi-Fi'yi devre dışı bırakıyor, trafiği hücresel ağa yönlendiriyor, DiGi'nin resmi faturalama portalını gizli bir WebView'de yüklüyor ve JavaScript ile 'TAC İste' düğmesine tıklayarak ele geçirilen tek kullanımlık şifreyi (OTP) doldurup aboneliği onaylıyordu.

İkinci varyant, Taylandlı kullanıcıları hedef alan çok aşamalı bir saldırı kullanıyordu. Dinamik abonelik hedeflerini komuta ve kontrol (C2) sunucusundan alıyor, 60 ve 90 saniyelik aralıklarla gecikmeli SMS göndererek otomatik dolandırıcılık tespitini atlatıyor ve gizli operatör faturalama sayfalarından oturum çerezlerini topluyordu. Üçüncü varyant ise Telegram üzerinden gerçek zamanlı raporlama eklemişti; bot, cihaz enfekte olduğunda, izinler verildiğinde veya premium SMS gönderildiğinde saldırganları uyarıyordu.

Kampanya altyapısı, iyi organize edilmiş ticari bir operasyona işaret ediyor. Her kötü amaçlı örnek, {SahteUygulamaAdı}-{Ülke}-{Platform}-{OperatörKodu} formatında bir HTTP referrer başlığı içeriyor; bu sayede saldırganlar hangi sahte kimliklerin ve dağıtım kanallarının (TikTok, Facebook, Google) en başarılı enfeksiyonları sağladığını ölçebiliyor. Hedef listede olmayan bir SIM operatörü tespit edildiğinde, kötü amaçlı yazılım şüphe çekmemek için apkafa.com'un zararsız bir WebView'ini gösteriyor. Kullanıcılar, üçüncü taraf mağazalardan Android uygulaması yüklemekten kaçınarak, yüklü uygulamaları güvenilir markalarla denetleyerek ve mobil faturalarını açıklanamayan abonelik ücretlerine karşı inceleyerek bu tehditlere karşı korunabilir.

Paylaş: