Siber güvenlik araştırmacıları, daha önce belgesiz bir Android Bankacılık Truva atını işaretledi. Dzkro Bu, cihaz devralma (DTO) saldırıları yapabilir ve yaşlıları avlayarak hileli işlemler yapabilir.
Hollandalı mobil güvenlik şirketi TehditFabric, Avustralya’daki kullanıcıların “aktif kıdemli gezileri” tanıtan facebook gruplarını yöneten dolandırıcıların bildirmesinin ardından Ağustos 2025’te kampanyayı keşfettiğini söyledi. Tehdit aktörlerinin hedeflediği diğer bölgelerden bazıları arasında Singapur, Malezya, Kanada, Güney Afrika ve İngiltere
Kampanyalar, özellikle sosyal aktiviteler, geziler, yüz yüze toplantılar ve benzer etkinlikler arayan yaşlı insanlara odaklandığını da sözlerine ekledi. Bu Facebook gruplarının, yaşlılar için çeşitli faaliyetler düzenlediğini iddia eden yapay zeka (AI) tarafından üretilen içeriği paylaştığı bulunmuştur.
Potansiyel hedefler bu etkinliklere katılma isteğini ifade ederse, daha sonra bir APK dosyasını hileli bir bağlantıdan indirmeleri istenen Facebook Messenger veya WhatsApp aracılığıyla yaklaşılır (örn.[.]com “).
Tehdit Fabric, Hacker News ile paylaşılan bir raporda, “Sahte web siteleri, ziyaretçileri, etkinliklere kaydolmalarına, üyelerle bağlantı kurmalarına ve planlanan etkinlikleri izlemelerine izin vereceğini iddia ederek, sözde bir topluluk uygulaması kurmaya teşvik etti.” Dedi.
İlginç bir şekilde, web sitelerinin bir iOS uygulaması indirmek için yer tutucu bağlantıları içerdiği bulunmuştur, bu da saldırganların hem mobil işletim sistemlerini hedeflemek istediklerini, iOS için test akış uygulamalarını dağıtmak ve kurbanları indirmek için dağıtır.
Mağdur, Android uygulamasını indirmek için düğmeye tıklarsa, ya cihazlarında kötü amaçlı yazılımların doğrudan konuşlandırılmasına yol açar ya da Android 13 ve daha sonraki bir güvenlik kısıtlamalarını atlamak için Zombinder olarak adlandırılan bir APK bağlama hizmeti kullanılarak oluşturulan bir damlalıktan kaynaklanır.
Datzbro dağıtımı bulunan Android uygulamalarından bazıları aşağıda listelenmiştir –
- Kıdemli Grup (twzlibwr.rlrkvsdw.bcfwgozi)
- Canlı yıllar (orgliyetears.browses646)
- ActiveSenior (com.forest481.security)
- Dancewave (inedpnok.kfxuvnie.mggfqzhl)
- Ödev Yardımı (io.mobile.itool)
- Madou Media (fsxhibqhbh.hlyzqkd.aois
- Madou Media (mobi.audio.aassist)
- Google Chrome (tvmhnrvsp.zltixkpp.mdok)
- MT Manager (varuhphk.vadneozj.tltldo)
- MT Manager (SPVOJPR.BKKHXOBJ.TWFWF)
- 大麦 (mamridrefa.eldyllo.disho.zish)
- MT Manager (io.red.studio.tracker)
Kötü amaçlı yazılım, diğer Android Bankacılık Truva atları gibi, ses kaydetmek, fotoğrafları çekmek, dosyalara ve fotoğrafları erişmek ve uzaktan kumanda, kaplama saldırıları ve keyloglama yoluyla finansal sahtekarlık yapmak için çok çeşitli özelliklere sahiptir. Ayrıca, kurbanın adına uzaktan işlemler yapmak için Android’in erişilebilirlik hizmetlerine de dayanır.
DatZbro’nun dikkate değer bir özelliği, kötü amaçlı yazılımın ekranda görüntülenen tüm öğeler, konumları ve içerikleri hakkında bilgi göndermesini sağlayan şematik uzaktan kumanda modudur.
Bankacılık Truva atı, bir kurbandan kötü niyetli etkinliği gizlemek ve Alipay ve WeChat ile ilişkili cihaz kilit ekranı pinini ve şifreleri çalmak için özel metinli yarı saydam bir siyah bindirme olarak da hizmet edebilir. Ayrıca, bankalar veya kripto para cüzdanları ile ilgili paket adları ve şifreler, pimler veya diğer kodlar içeren metinler için erişilebilirlik olay günlüklerini tarar.
Tehdit Fabric, “Böyle bir filtre, sadece casus yazılım özelliklerini kullanmakla kalmayıp aynı zamanda finansal tehdide dönüştürmek için Datzbro’nun arkasındaki geliştiricilerin odağını açıkça gösteriyor.” Dedi. “Keylogging yeteneklerinin yardımıyla DatZbro, şüphesiz kurbanların girdiği mobil bankacılık uygulamaları için giriş bilgilerini başarıyla yakalayabilir.”
Çin’in hata ayıklama ve kötü amaçlı yazılım kodunda kayıt dizilerinin varlığı göz önüne alındığında, Datzbro’nun Çince konuşan bir tehdit grubunun çalışması olduğuna inanılıyor. Kötü amaçlı uygulamaların, Çin tabanlı bir masaüstü uygulaması olan bir komut ve kontrol (C2) arka ucuna bağlı olduğu ve web tabanlı C2 panellerine dayanan diğer kötü amaçlı yazılım ailelerinden uzak durmasını sağladığı bulunmuştur.
TehditFabric, C2 uygulamasının derlenmiş bir versiyonunun genel bir virüs payına sızdığını ve kötü amaçlı yazılımın sızdırılmış olabileceğini ve siber suçlular arasında serbestçe dağıtıldığını düşündürdüğünü söyledi.
Şirket, “Datzbro’nun keşfi, sosyal mühendislik kampanyaları aracılığıyla şüphesiz kullanıcıları hedefleyen mobil tehditlerin evrimini vurgulamaktadır.” Dedi. “Dolandırıcılar, yaşlılara odaklanarak, kurbanları kötü amaçlı yazılım kurmaya teşvik etmek için güven ve toplum odaklı faaliyetlerden yararlanır. Facebook’ta görünüşte zararsız bir etkinlik tanıtımı olarak başlayan şey, cihaz devralma, kimlik bilgisi hırsızlığı ve finansal sahtekarlığa dönüşebilir.”
Açıklama, IBM X-Force’un, android 13’ün, ABD, Kanada, BAE ve Hindistan’ın büyük finansal kurumların kullanıcılarını hedefleyen, Android 13’ün kontrollerini önleyebilen sahte Google Chrome damlalık uygulamalarını kullanarak, büyük finansal kurumların kullanıcılarını hedefleyen Phantomcall kod adını detaylandırdığı için gelir.
Haziran 2025’te ProDaft tarafından yayınlanan bir analize göre, AntiDot, Larva-398 adlı finansal olarak motive olmuş bir tehdit oyuncusuna atfedilir ve yeraltı forumlarında bir Hizmet Olarak Kötü Yazılım (MAAS) modeli altında başkaları tarafından kullanılabilir.
En son kampanya, gelen çağrıları izlemek ve telefonun paylaşılan tercihlerinde depolanan dinamik olarak oluşturulan telefon numaralarının listesine dayanarak bunları seçici olarak engellemek için CallScreeningservice API’sından yararlanmak üzere tasarlanmıştır, bu da saldırganların yetkisiz erişimi uzatmasına, tam hileli işlemleri veya gecikme algılamasını etkin bir şekilde uzatmasına izin verir.
Güvenlik Araştırmacı Ruby Cohen, “Phantomcall ayrıca saldırganların çağrıları yeniden yönlendirmek için USSD kodlarını sessizce göndererek, meşru gelen çağrıları engellemek, kurbanları etkili bir şekilde izole etmek ve taklit etmeyi mümkün kılmak için sessizce USSD kodları göndererek hileli faaliyet başlatmalarını sağlıyor.” Dedi.
Diyerek şöyle devam etti: “Bu yetenekler, gerçek iletişim kanallarından kurbanları keserek ve saldırganların şüphe yaratmadan kendi adına hareket etmelerini sağlayarak yüksek etkili finansal sahtekarlığın düzenlenmesinde kritik bir rol oynamaktadır.”