Siber güvenlik araştırmacıları, popüler VPN ve korsan yayın uygulaması görünümlü bir sahte uygulamanın içinde yer alan gelişmiş bir kötü amaçlı yazılımın (Klopatra) Android cihazlara bulaştığını ve bazı vakalarda banka hesaplarının boşaltıldığını bildirdi.
Dolandırıcılık tespiti firması Cleafy’ın raporuna göre “Mobdro Pro IP TV + VPN” adıyla dağıtılan sahte uygulama, kullanıcıları ücretsiz içerik ve VPN hizmeti vaat ederek cihazlara yükleniyor. Uygulama içinde bulunan Klopatra adlı kötü amaçlı yazılım, cihazın tam uzaktan kontrolünü ele geçirmeyi hedefliyor.
Uygulama yüklendikten sonra kullanıcılar, Android’in Erişilebilirlik Servisleri üzerinden bazı izinler vermeye yönlendiriliyor. Cleafy, bu izinlerin kötü amaçlı yazılım tarafından ekran içeriğini okumak ve kullanıcı adına işlem yapmak için kullanıldığını belirtiyor. Firma, saldırının Avrupa’da 3 binden fazla Android cihazı etkilediğini raporladı.
Cleafy raporunda, kötü amaçlı yazılımın modern bankacılık dolandırıcılığına uygun bir yöntem kullandığı ve saldırganların cihazı gerçek kullanıcı düzeyinde kontrol edebildiği ifade edildi. Raporda, kod ve altyapıda bulunan bazı ipuçlarının saldırının Türkiye kaynaklı olabileceğine işaret ettiği belirtildi. Örnek olarak, zararlı yazılımın kodunda uzaktan komutları yöneten bir fonksiyonun adı olarak “ArkaUcKomutIsleyicisi” gibi Türkçe değişken ve fonksiyon adlarına rastlandığı, ayrıca komut ve kontrol (C2) sunucularından dönen JSON alan isimlerinin de Türkçe olduğu kaydedildi.
Cleafy, Türkçe izlerin Türkçe konuşan bir grubun hem yazılım geliştirmesini hem de mağdurlardan para elde etme sürecini yönettiğine dair bulgular verdiğini ancak grubun kimliğinin bilinmediğini aktardı.
Konuya ilişkin saldırganların yöntemleri, etkilenen cihaz sayısı ve sahte uygulamanın dağıtım kanalları hakkında Cleafy tarafından daha ayrıntılı teknik bulgular paylaşıldı. Yetkili merciler veya ilgili kurumların konuya ilişkin resmi bir açıklaması metinde yer almıyor.
Türkçe isim alanlarından bazıları şöyle sıralandı:
Etiket: farklı saldırı kampanyalarını veya yazılım sürümlerini ayırmak için kullanılmış.
Eavori_durumu: “favorite status”; önemli veya değerli kurbanları işaretlemek için kullanılmış.
Bot_notu: “bot note”; saldırganların kurbanla ilgili notlarını yazdığı serbest metin alanı.
İnsan eliyle yazılanlar
Araştırmacılar, saldırganların kontrol panelinden elde edilen “bot_notu” alanlarını da inceledi. Bu notlar, saldırıyı gerçekleştiren kişilerin kurbanlarla ilgili tuttukları gerçek notlardı. Yani insan eliyle yazılmış izlerdi.
Örneğin bir notta şu ifadeler yer alıyordu: "7k atılan p*ç şifre z”
Buradaki "7k atılan” ifadesi muhtemelen 7 bin euro tutarında bir para transferi denemesi anlamına geliyor; "p*ç" ise Türkçe'de hakaret niteliğindeki kelime. “Şifre” açıkça parola anlamında; “z” ise muhtemelen cihazın Z şekilli ekran kilidini ifade ediyor.
Kaç kişi dolandırıldı?
Şirketin tahminine göre yaklaşık 1000 kişi bu sahte uygulamanın kurbanı oldu. Uzmanlar, saldırının “başarılı” bulunması nedeniyle diğer siber suç gruplarının da benzer sahte uygulamalar geliştirmeye başlayabileceği uyarısında bulundu.
Cleafy raporunda, “Diğer suç gruplarının da bu yöntemi benimsemesi muhtemel. Bu da tespit ve analiz süreçlerini giderek zorlaştıracak,” ifadelerine yer verdi.
Uzmanlara göre, tehdit istihbaratı topluluklarının bu grubu ve altyapısını yakından izlemeye devam etmesi, kullanıcıların yeni saldırılardan korunması açısından kritik önem taşıyor.
Uzmanlar ayrıca cihazına Mobdro Pro IP TV + VPN veya benzeri korsan içerik sunan uygulamalar indirmiş kişilerin, hemen silmesini ve bankacılık işlemlerinde olağandışı hareketleri kontrol etmesini öneriyor.
