Yeni bir Android casus yazılımı olan ClayRat, yeteneklerini büyük ölçüde geliştirerek onu beklenenden çok daha büyük bir tehdit haline getirdi. Mobil güvenlik firması Zimperium, bu casus yazılımla ilgili önemli bir güncelleme yayınladı; bu yeni sürümün tespit edilmesinin daha zor olmakla kalmayıp, tüm cihazı ele geçirecek şekilde yükseltildiğini de ortaya koydu.
İlk Keşif ve Yeni Özellikler
Daha önce Hackread.com’da ele alındığı gibi Zimperium’un zLabs’ı, ClayRat’ı Ekim 2025’te çoğunlukla Rusya’daki kullanıcıları hedef alan, hızla yayılan bir Android casus yazılımı olarak keşfetti. Kendisini WhatsApp, Google Fotoğraflar, TikTok ve YouTube gibi popüler uygulamalar olarak gizledi. O zaman bile, arama kayıtları, SMS mesajları dahil olmak üzere özel verileri çalabilir ve hatta telefonun kamerasıyla kurbanın fotoğraflarını çekebilir.
Bu yeni sürüm hâlâ Rus taksi ve park uygulamaları gibi uygulamaları ve yerel hizmetleri taklit ediyor. Ancak zLabs araştırmacıları Vishnu Pratapagiri ve Fernando Ortega, Hackread.com ile özel olarak paylaştıkları son blog yazılarında, eklenen özelliklerin onu “önceki sürümüyle karşılaştırıldığında daha tehlikeli bir casus yazılım” haline getirdiğini belirtti.
Bildirildiğine göre güncellenen ClayRat, Erişilebilirlik Hizmetleri adı verilen güçlü bir Android özelliğini kötüye kullanıyor. Öncelikle kullanıcıdan kendisine Varsayılan SMS ayrıcalıklarını vermesini ister, ardından Erişilebilirlik Hizmetini açması için kullanıcıya rehberlik eder.
Bu yeni özellik, casus yazılımın telefonunuzu ele geçirebileceği anlamına gelir; kilit ekranı ayrıntılarınızı kaydedebilir, PIN’lerinizi, parolalarınızı ve hatta desenlerinizi yakalayarak cihazınızın kilidini otomatik olarak açabilir. Tüm ekran etkinliğinizi kaydederek saldırganların tam olarak neye baktığınızı ve yazdığınızı görmesine olanak tanır.
Kötü amaçlı yazılım, kontrolünü güvence altına almak için ekranınızın üstüne sahte bir “Sistem Güncellemesi” bildirimi gibi sahte ekranlar yerleştirerek sizi engelleyebilir; daha sonra Google Play Korumayı devre dışı bırakmak için otomatik ekran dokunuşlarını kullanarak kötü amaçlı uygulamayı kaldırmanızı veya telefonu kapatmanızı engeller. Son olarak, yanıt olarak yazdığınız şifre gibi kişisel bilgileri ele geçirerek, gerçek uyarılar gibi açılan sahte özel mesajlar oluşturabilir.
İşletmeler Neden Endişelenmeli?
ClayRat, şirketler için ciddi bir risk oluşturuyor çünkü çalışanlar iş için sıklıkla kendi cep telefonlarını kullanıyor. Bir iş cihazının güvenliği ihlal edilirse saldırganlar şirket e-postalarına, mesajlaşma uygulamalarına ve diğer iş verilerine kolaylıkla erişebilir.
Casus yazılım hala agresif bir şekilde yayılıyor; araştırmacılar, Araba Tarayıcı ELM gibi yardımcı araçlar da dahil olmak üzere çeşitli uygulamaları taklit eden 25’ten fazla sahte kimlik avı alanı çalıştırdığını gözlemledi. Ayrıca kötü amaçlı dosyalarını dağıtmak için yaygın olarak güvenilen bulut hizmeti Dropbox’ı kullanıyor. Zimperium’un halihazırda yazılımın 700’den fazla benzersiz versiyonunu bulması, bu operasyonun ne kadar hızlı genişlediğini gösteriyor.
Bildiğimiz gibi bir cihazı, kontrolü tamamen ele geçirebilecek bir tehditten korumak çok güçlü bir güvenlik gerektirir. Korunmanın en basit ve en etkili yolu, uygulamaları yalnızca resmi Google Play Store’dan yüklemek ve izinleri, özellikle de Erişilebilirlik Hizmetini vermeden önce dikkatlice kontrol etmektir.