Zimperium araştırmacıları, 10 ay süren bir Android malware kampanyasını gün yüzüne çıkardı. Premium Deception adı verilen bu operasyonda, 250'ye yakın sahte uygulama kullanılarak kullanıcılar farkında olmadan premium hizmetlere kaydediliyor. Kampanya, Mart 2025'ten Ocak 2026'ya kadar sürdü ve Malezya, Tayland, Romanya ile Hırvatistan'daki kullanıcıları hedef aldı. Sahte uygulamalar, Facebook Messenger, Instagram Threads, TikTok, Minecraft ve GTA gibi popüler markaları taklit ediyor.
Üç farklı malware varyantı tespit edildi. En gelişmiş varyant, Malezya'daki DiGi abonelerini hedef alarak tüm abonelik sürecini otomatikleştiriyor. Kötü amaçlı yazılım, SIM operatör kodunu okuyor, Wi-Fi'yi kapatarak trafiği mobil ağa yönlendiriyor ve DiGi'nin faturalandırma portalını gizli bir WebView'da açıyor. Ardından JavaScript ile 'TAC İste' butonuna tıklıyor ve ele geçirdiği tek kullanımlık şifreyi (OTP) girerek aboneliği onaylıyor. OTP, Google'ın SMS Retriever API'si aracılığıyla çalınıyor.
İkinci varyant, Taylandlı kullanıcıları hedef alan çok aşamalı bir saldırı gerçekleştiriyor. Komuta ve kontrol (C2) sunucusundan dinamik abonelik hedefleri alınıyor, 60 ve 90 saniye aralıklarla gecikmeli SMS'ler planlanarak otomatik dolandırıcılık tespiti atlatılıyor ve gizli operatör faturalandırma sayfalarından oturum çerezleri toplanıyor. Üçüncü varyant ise Telegram üzerinden gerçek zamanlı raporlama ekliyor: bir cihaz enfekte olduğunda, izinler verildiğinde veya premium SMS gönderildiğinde bot saldırganlara bildirim gönderiyor.
Önemli Gelişmeler
Kampanya altyapısı, iyi organize edilmiş ticari bir operasyonu işaret ediyor. Her kötü amaçlı örnek, HTTP referrer başlığında 'SahteUygulamaAdı-Ülke-Platform-OperatörKodu' formatında bilgi içeriyor. Bu sayede saldırganlar, hangi sahte uygulamaların ve dağıtım kanallarının (TikTok, Facebook, Google) daha başarılı olduğunu ölçebiliyor. Hedeflenen ülkelerde en az 12 premium SMS kısa kodu ve modobomz.com ile mwmze.com alan adlarında C2 altyapısı tespit edildi.
Kullanıcılar kendilerini korumak için Android uygulamalarını yalnızca resmi kaynaklardan indirmeli, yüklü uygulamaları tanınmış markalarla karşılaştırmalı ve faturalarında açıklanamayan premium abonelik ücretlerini kontrol etmelidir. Zimperium, bu kampanyanın sürekli geliştiğini ve yeni varyantların ortaya çıkabileceğini belirtiyor.
Kaynak: infosecurity-magazine.com