Android kullanıcıları için yeni bir siber tehdit dalgası ortaya çıktı. Mobil güvenlik şirketi Zimperium'un zLabs araştırma ekibi, 10 ay boyunca aktif olan ve 'Premium Deception' adı verilen bir kötü amaçlı yazılım kampanyasını gün yüzüne çıkardı. Bu kampanya kapsamında, yaklaşık 250 sahte Android uygulaması kullanılarak, kullanıcıların bilgisi dışında premium mobil aboneliklere kaydedildi. Saldırı, Mart 2025'ten Ocak 2026'ya kadar sürdü ve hedef ülkeler arasında Malezya, Tayland, Romanya ve Hırvatistan yer alıyor. Araştırmanın yayınlandığı tarihte altyapının bazı kısımları hala çevrimiçi durumda.
Sahte uygulamalar, Facebook Messenger, Instagram Threads, TikTok, Minecraft ve Grand Theft Auto gibi popüler markaları taklit ediyor. Kullanıcılar bu uygulamaları üçüncü taraf mağazalardan veya doğrudan APK dosyaları olarak indirdiklerinde, cihazlarına bulaşan kötü amaçlı yazılım, farklı karmaşıklık seviyelerine sahip üç varyanttan birini çalıştırıyor. En gelişmiş varyant, Malezyalı DiGi abonelerini hedef alarak abonelik sürecini tamamen otomatikleştiriyor.
Kötü amaçlı yazılım, cihazın SIM operatör kodunu okuyarak önceden belirlenmiş bir listeyle karşılaştırıyor. Eşleşme sağlandığında, Wi-Fi bağlantısını devre dışı bırakıp tüm trafiği mobil ağa yönlendiriyor. Ardından, DiGi'nin resmi faturalama portalını gizli bir WebView'da açıyor ve JavaScript kullanarak 'TAC İste' butonuna tıklıyor. Google'ın SMS Retriever API'sini kötüye kullanarak kullanıcıya gönderilen tek kullanımlık şifreyi (OTP) ele geçiriyor ve aboneliği onaylıyor. Bu API, aslında meşru bir Android özelliği olup, kullanıcı müdahalesi olmadan otomatik olarak doğrulama kodlarını okumak için tasarlanmıştır.
İkinci varyant, Taylandlı kullanıcıları hedef alan çok aşamalı bir saldırı gerçekleştiriyor. Komuta ve kontrol (C2) sunucusundan dinamik abonelik hedefleri alarak, 60 ve 90 saniyelik gecikmelerle SMS gönderiyor. Bu, otomatik dolandırıcılık tespit sistemlerini atlatmak için tasarlanmış bir yöntem. Ayrıca, gizli operatör faturalama sayfalarından oturum çerezlerini topluyor. Üçüncü varyant ise gerçek zamanlı Telegram bildirimleri ekleyerek, her yeni enfeksiyon, izin verilmesi veya premium SMS gönderilmesi durumunda saldırganlara bilgi gönderiyor.
Kampanya altyapısı, iyi organize edilmiş ticari bir operasyonun işaretlerini taşıyor. Her kötü amaçlı örnek, HTTP referrer başlığına {SahteUygulamaAdı}-{Ülke}-{Platform}-{OperatörKodu} formatında bir etiket yerleştiriyor. Bu sayede saldırganlar, hangi sahte kişiliklerin ve dağıtım kanallarının (TikTok, Facebook, Google) en başarılı enfeksiyonları sağladığını ölçebiliyor. Hedef listede olmayan bir SIM operatörü tespit edildiğinde, kötü amaçlı yazılım şüphe çekmemek için apkafa.com adresini gösteren masum bir webview açıyor ve cihazda kalıcılığını sürdürüyor.
Önemli Gelişmeler
zLabs, dört hedef ülkede en az 12 premium SMS kısa kodunun kötüye kullanıldığını tespit etti. C2 altyapısı ise modobomz[.]com ve mwmze[.]com alan adları üzerinden yönetiliyordu. Bu tür tehditlerden korunmak için kullanıcıların Android uygulamalarını yalnızca Google Play Store gibi resmi mağazalardan indirmeleri, cihazlarında yüklü uygulamaları güvenilir marka adlarıyla karşılaştırmaları ve mobil faturalarını açıklanamayan abonelik ücretlerine karşı düzenli olarak kontrol etmeleri öneriliyor.
Kaynak: infosecurity-magazine.com