Siber güvenlik araştırmacıları, facebook’ta hileli seyahat ve sosyal aktivite promosyonları yoluyla yaşlıları hedefleyen sofistike bir Android kötü amaçlı yazılım kampanyası ortaya çıkardılar.
Yeni tanımlanan DatZbro kötü amaçlı yazılımları, mobil tehditlerde tehlikeli bir evrimi temsil ederek gelişmiş casus yazılım özelliklerini finansal sahtekarlığı kolaylaştırmak için tasarlanmış uzaktan erişim araçlarıyla birleştirir.
İlk olarak Ağustos 2025’te tespit edilen bu kampanya, Avustralya’nın ötesinde Singapur, Malezya, Kanada, Güney Afrika ve Birleşik Krallık’taki kullanıcıları hedeflemek için genişledi ve bu kötü amaçlı operasyonların küresel erişimini gösterdi.
Saldırı, “aktif kıdemli gezileri”, dans etkinliklerini teşvik eden çok sayıda Facebook grubu oluşturan tehdit aktörleriyle başlıyor ve özellikle topluluk faaliyetleri arayan yaşlı yetişkinlere hitap etmek için tasarlanmış sosyal toplantılar.
Bu gruplar, yapay zeka kullanılarak üretilen sofistike içeriğe sahiptir ve potansiyel kurbanların gerçek ilgisini başarıyla çeken ikna edici promosyon malzemeleri yaratırlar.
Farklı coğrafi bölgeleri hedefleyen gruplar arasında tutarlı görünüm ve mesajlaşma, tek bir tehdit aktörü veya ölçekte faaliyet gösteren organize grup tarafından koordinasyonu önermektedir.
Bu grupları işleten dolandırıcılar, Facebook Messenger ve WhatsApp dahil olmak üzere özel mesajlaşma platformları aracılığıyla ilgilenen mağdurlarla iletişim kurarlar ve burada etkinlik kaydı için gerekli olan özel uygulamaları indirmek için bağlantıları paylaşırlar.
TehditFabrik analistler, etkilenen bölgelerde bildirilen birden fazla dolandırıcılık uyarısını araştırdıktan sonra bu kötü amaçlı yazılım dağıtım mekanizmasını belirledi.
Araştırmacılar, mağdurlardan genellikle aynı kötü amaçlı web siteleri aracılığıyla kayıt ücreti ödemeleri istendiğini ve kötü amaçlı yazılım kurulumunun ötesinde kimlik hırsızlığı ve finansal sahtekarlık için ek fırsatlar yarattıklarını keşfettiler.
.webp)
Bu kampanyalarda istihdam edilen sahte web siteleri, ziyaretçileri, etkinlik kaydını, üye bağlantılarını ve etkinlik izlemesini sağladığını iddia ederek meşru bir topluluk uygulaması gibi görünen şeyleri yüklemeye yönlendirir.
İOS uygulama düğmeleri şu anda işlevsel olmayan yer tutucular olarak işlev görürken, araştırmacılar bunların daha sonra kimlik bilgilerini ve ödeme bilgilerini çalmak için tasarlanmış WebClip veya TestFlight uygulamalarını dağıtmak için güncellenebileceği konusunda uyarıyorlar.
.webp)
Ancak, Google Play düğmesini tıklamak, doğrudan Datzbro veya özellikle Android 13+ güvenlik kısıtlamalarını atlamak için tasarlanmış Zombinder damlası içeren kötü amaçlı APK dosyalarının indirilmesini hemen tetikler.
Gelişmiş uzaktan erişim ve finansal hedefleme özellikleri
DatZbro, onu geleneksel mobil kötü amaçlı yazılım ailelerinden ayıran sofistike uzaktan erişim teknolojileri kullanır.
Kötü amaçlı yazılım, ekran paylaşımı, arayüz etkileşimi ve dosya yönetimi de dahil olmak üzere kapsamlı cihaz kontrolünü destekleyerek operatörler adına uzaktan işlemleri yürütmek için Android erişilebilirlik hizmetlerinden yararlanır.
Her operatör komutu belirli jestlere veya sistem işlevlerine karşılık gelir, bu da tehdit aktörlerinin düğme tıklamalarını simüle etmesini, uygulamalarda gezinmesini ve karmaşık etkileşimleri gerçekleştirmesini sağlarken kurbanlar tarafından tespit edilmez.
Kötü amaçlı yazılımların “şematik” uzaktan kumanda modu, cihaz manipülasyonuna özellikle yenilikçi bir yaklaşımı temsil eder.
Bu özellik, erişilebilirlik olayı verilerini kullanarak temel ekran düzeni gösterimleri oluşturur, görüntülenen öğeler, konumları ve içerik hakkında bilgi aktarma ve kontrol sunucuları hakkında bilgi aktarır.
Operatörler, cihaz arayüzünü sistemlerinde yeniden oluşturabilir ve video akışı kalitesi düşük olsa bile veya siyah bindirme saldırıları aktif olduğunda bile etkili kontrol sağlar.
Bu çift kontrol mekanizması, ağ koşullarından veya savunma karşı önlemlerinden bağımsız olarak tutarlı erişim sağlar.
Datzbro, kurbanlardan gelen hileli faaliyetleri gizleyen özelleştirilebilir siyah kaplama saldırıları da dahil olmak üzere gelişmiş kaçırma tekniklerini içeriyor.
Operatörler, bindirme şeffaflık seviyelerini ayarlayabilir ve özel metin mesajlarını görüntüleyebilir ve cihazların boşta olduğu veya normal sistem güncellemeleri yaşadığı izlenimini oluşturabilir.
Mağdurlar, etkileşim gözlemini önleyen opak kaplamalar görürken, operatörler sürekli cihaz kontrolünün sürekli olarak yarı saygın görüşlerini sürdürüyorlar.
Bu sofistike görsel aldatma, finansal işlemlerin ve kimlik bilgisi hasatının mağdur farkındalığı olmadan gerçekleşmesini sağlar ve saldırı başarı oranlarını önemli ölçüde artırır.
Kötü amaçlı yazılım, özellikle “banka”, “ödeme”, “cüzdan” ve “finans” gibi finansal anahtar kelimeler için erişilebilirlik olaylarını izleyen sert kodlanmış filtreleme sistemleri aracılığıyla bankacılık ve kripto para birimi uygulamalarını hedeflemektedir.
“密码验证” (şifre doğrulaması) ve “验证码” (doğrulama kodu) hedefleyen Çin dil varyantları, kötü amaçlı yazılımların çok dilli yeteneklerini ve küresel hedefleme kapsamını göstermektedir.
Finansal uygulama izlemeye yönelik bu odaklanmış yaklaşım, anahtarlık yetenekleri ve kimlik bilgisi hırsızlığı faaliyetleriyle birleştiğinde, DatZbro’yu dünya çapında şüphesiz kurbanlara karşı kapsamlı finansal sahtekarlık operasyonları yapabilen önemli bir bankacılık truva işlemi olarak konumlandırıyor.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
