Wonderland adı verilen yeni ve gelişmiş Android kötü amaçlı yazılım ailesi, Özbekistan ve daha geniş anlamda Orta Asya bölgesindeki kullanıcılar için önemli bir tehdit olarak ortaya çıktı.
SMS mesajlarını çalmak ve tek kullanımlık şifreleri ele geçirmek konusunda uzmanlaşmış kötü amaçlı yazılım, finansal sistemleri hedef alan mobil tehditlerde büyük bir artışa işaret ediyor.
İlk olarak Ekim 2025’te keşfedilen bu gelişmiş hırsız, önceki bölgesel kötü amaçlı yazılım türlerinin çok ötesinde bir teknik gelişmişlik sergiliyor.
Wonderland kötü amaçlı yazılımı, görünüşte zararsız uygulamalarla başlayan çok aşamalı bir enfeksiyon zinciriyle çalışıyor.
Bu damlalıklar meşru yazılım veya medya dosyaları olarak gizlenir ve şüphelenmeyen kullanıcılar için güvenilir görünmelerini sağlar.
Damlalık bir kez kurulduktan sonra, ek kullanıcı etkileşimi gerektirmeden gerçek SMS çalma yükünü sessizce çıkarır ve dağıtır.
.webp)
Bu gizli dağıtım yöntemi, geleneksel güvenlik algılama mekanizmalarından kaçınırken enfeksiyon başarı oranlarını önemli ölçüde artırır.
Harikalar Diyarı’nı özellikle tehlikeli kılan şey, gelişmiş kaçınma tekniklerini kullanmasıdır. Kötü amaçlı yazılım, analize karşı yerleşik korumalar içerir; emülatörlerde, köklü cihazlarda veya korumalı alan ortamlarında çalıştığını tespit eder.
Bu tür koşullar tespit edildiğinde, kötü amaçlı yazılım anında sonlandırılır ve araştırmacıların bu davranışı incelemesi engellenir.
.webp)
Ek olarak kod, tekrarlayan karakterlerden oluşan uzun diziler de dahil olmak üzere yoğun bir gizleme kullanıyor ve bu da güvenlik analistleri için tersine mühendisliği son derece zorlaştırıyor.
Group-IB analistleri, kapsamlı araştırma ve tehdit istihbaratı toplama yoluyla kötü amaçlı yazılımın yeteneklerini belirledi ve belgeledi.
Araştırmacılar, Wonderland’in Özbekistan’da gerçek çift yönlü komuta ve kontrol iletişimini destekleyen ilk kitlesel yayılan Android SMS hırsızı olduğunu belirtti.
Tek yönlü iletim modelinde çalışan daha önceki kötü amaçlı yazılımların aksine Wonderland, saldırganların sunucularıyla sürekli iki yönlü iletişim için WebSocket protokolünü uyguluyor.
Çift Yönlü Komuta Kontrol Mekanizması
Wonderland’in arkasındaki gerçek yenilik, komuta ve kontrol mimarisinde yatmaktadır. Kötü amaçlı yazılım, saldırganlardan gerçek zamanlı komutlar alarak zararlı eylemlerin dinamik olarak yürütülmesini sağlar.
Rastgele USSD isteklerini destekleyerek saldırganların sabit kodlanmış değerlere güvenmek yerine operatöre özel kodları anında değiştirmesine olanak tanır.
Bu esneklik, saldırganların çağrı yönlendirmeyi etkinleştirmesine ve gelişmiş dolandırıcılık tekniklerini uygulamasına olanak tanır.
Kötü amaçlı yazılım aynı zamanda rastgele SMS mesajları gönderiyor ve anlık bildirimleri bastırarak aktif mali dolandırıcılık girişimleri sırasında güvenlik uyarılarını ve OTP’leri etkili bir şekilde gizliyor.
Teknik uygulama, Android’in dahili bileşenlerinin karmaşık bir anlayışını ortaya koyuyor. WebSocket bağlantısı, basit bir veri hırsızı yerine uzaktan erişim aracı oluşturarak kalıcı iletişimi sürdürür.
.webp)
Kötü amaçlı yazılım, gelen komutları algıladığında, bunları, tehlike altındaki cihazda istekleri yorumlayan ve ilgili işlemleri yürüten bir işleyici aracılığıyla işler.
Kod gizleme, analistlerin belirli komut işleyicilerini tanımlamasını son derece zorlaştırıyor.
Group-IB’nin araştırması, kötü amaçlı yazılım altyapısını işleten suç gruplarının yalnızca 2025 yılında 2 milyon dolardan fazla kazandığını gösteriyor ve bu da gerçek dünyadaki önemli etkinin altını çiziyor.
.webp)
Kötü amaçlı yazılım, kurbanları kandırmak için çalıntı kullanıcı oturumlarından ve sosyal mühendislik taktiklerinden yararlanarak öncelikle Telegram aracılığıyla dağıtılıyor.
Kuruluşlar ve kullanıcılar, gelişen bu tehdide karşı korunmak için kapsamlı güvenlik izleme uygulamalı ve güvenilmeyen kaynaklardan gelen uygulamaları yüklemekten kaçınmalıdır.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
