Ağustos 2025’te Avustralyalı yetkililer, kullanıcılar “aktif kıdemli gezileri” tanıtan şüpheli Facebook gruplarını bildirdikten sonra birden fazla aldatmaca uyarısı yayınladı.
Başlangıçta zararsız topluluk toplantıları olarak ortaya çıkan şey, sofistike bir mobil kötü amaçlı yazılım operasyonunu gizledi.
TehditFabrik araştırmacılar, bu grupların “Datzbro” olarak adlandırdıkları kötü niyetli bir Android Truva atı indirmeleri için çeken dolandırıcılar tarafından yönetildiğini ortaya çıkardılar.
Bu rapor, kampanyanın nasıl çalıştığını, Datzbro’nun yeteneklerini ve küresel kullanılabilirliğinin neden önemli bir tehdit oluşturduğunu detaylandırıyor.
Kampanya, sosyal faaliyetler, geziler ve yüz yüze etkinlikler arayan yaşlıları hedef aldı. Dolandırıcılar, dans etkinliklerini, günlük gezileri ve diğer toplantıları duyuran AI tarafından üretilen yayınlarla dolu çok sayıda Facebook grubu oluşturdu.
İçerik gerçek görünse de, yaşlılara hitap etmek için tasarlandı ve ilgili kullanıcıları özel mesajlaşma kanallarına katılmaya itti.
Raporlar, Avustralya’daki izleyicilere yönelik grupların Singapur, Malezya, Kanada, Güney Afrika ve İngiltere’de de neredeyse aynı mesajlaşma tarzı ve görsellerine sahip olduğunu gösteriyor.
Kurbanlar ilgi duyduklarında, dolandırıcılar Facebook Messenger veya WhatsApp aracılığıyla onlarla temasa geçti. Mağdurlar, etkinlik kaydına, üye bağlantılarına ve program izlemesine izin verdiği iddia edilen “topluluk uygulaması” olarak adlandırılan bağlantılar aldı.
Bazı durumlarda, kimlik avı siteleri aracılığıyla ödeme kartı hırsızlığına yol açan nominal kayıt ücreti talep edildi. İOS bağlantıları etkin olmayan yer tutuculara yol açarken, Google Play düğmesini tıklayan Android kurbanlarına kötü niyetli bir APK servis edildi.
Datzbro’nun gelişi
TehditFabric’in mobil tehdit istihbarat ekibi tarafından yapılan analiz, indirilen APK’nın koduna gömülü bir ipin ardından “Datzbro” adlı yeni bir cihaz devralma Truva atı olduğunu ortaya koydu.
Kötü amaçlı yazılım, geleneksel casus yazılım özelliklerini (Daçalık Kayıt, Kamera Çekimi, Dosya ve Fotoğraf Erişimi) Gelişmiş Uzaktan Kontrol Yetenekleri ile birleştirir.
Bu yetenekler, “siyah bindirme” saldırıları ve keyloglama yoluyla finansal sahtekarlığı mümkün kılar, casus yazılım ve bankacılık Truva atı arasındaki çizgiyi etkili bir şekilde bulanıklaştırır.
DatZbro, ev ve geri düğme simülasyonları dahil otomatik jestleri ve küresel eylemleri yürütmek için Android’in erişilebilirlik hizmetlerinden yararlanır. Komut ve kontrol arayüzü aracılığıyla, operatörler şunları yapabilir:
- Uzak ekran paylaşımını ve kontrolünü başlatın veya durdurun.
- Kötü niyetli eylemleri gizlemek için yarı saydam bir kaplamayı etkinleştirin veya devre dışı bırakın.
- Cihazı kilitleyin veya kilidini açın.
- Kötü video akışı kalitesi altında bile hassas etkileşim için erişilebilirlik olay verilerine göre ekran öğelerini yeniden yapılandıran “şematik” uzaktan kumanda etkinleştirin.
Şematik modda, kötü amaçlı yazılım, ekran öğelerinin (pozisyonlar, etiketler ve içerik) yapılandırılmış bir gösterimini iletir.
Bankacılık ve kripto hedefleme
Klasik bankacılık Truva atlarının tam kaplama araç setinden yoksun olsa da, DatZbro bankacılık ve kripto uygulamaları için sabit kodlanmış filtreler içerir.
Kötü amaçlı yazılım, “banka”, “maaş”, “Alipay”, “cüzdan” ve “finans” gibi anahtar kelimeler içeren paket adları için erişilebilirlik olaylarının yanı sıra “şifre”, “pin” veya dile özgü doğrulama terimlerini içeren olay metnini izler.
Tetiklendiğinde, DatZbro kurbanlardan bankacılık pimleri ve şifreleri isteyen sahte kimlik girişi ekranları görüntüler. Ayrıca, tüm hassas kimlik doğrulama verilerini yakalayarak cihaz pimini, desenini veya şifre girişlerini keser.
Daha fazla araştırma, şimdi kamu virüsü paylaşım platformlarında serbestçe mevcut olan DatZbro için sızdırılmış bir komut ve kontrol masaüstü uygulaması ve inşaatçı ortaya çıkardı.
Mobil tehdit istihbaratı, geliştiricilerin kökenini gösteren “最强远控 .APK” (“En Güçlü Uzaktan Kumanda”) ve Çince dil hata ayıklama dizeleri adlı örnekleri tanımladı.
Masaüstü C2 arayüzü, ortak web tabanlı panellerin aksine, benzersiz bir operasyonel model önerir ve Çince konuşan siber suçlu topluluklarındaki kötü amaçlı yazılımların köklerini doğrular.
Hafifletme
Tehdit aktörleri, AI tarafından oluşturulan içeriği, sosyal platform manipülasyonunu ve siyah kaplamalar ve şematik kontrol gibi en son kötü amaçlı yazılım özelliklerini birleştirerek savunmasız yaşlılara karşı güçlü bir finansal tehdit yaratmışlardır.
Dost bir Facebook davetiyle başlayan bir kampanya, tam cihaz devralma, kimlik bilgisi hırsızlığı ve tel sahtekarlığı ile sonuçlanabilir.
Datzbro küresel olarak yayıldıkça, yaşlılar ve topluluk organizasyonları arasında farkındalığı artırmak kritik öneme sahiptir. Finansal kurumlar ve siber güvenlik paydaşları, kullanıcıları sosyal medya aracılığıyla tanıtılan doğrulanmamış uygulamaları indirme konusunda uyarmalıdır.
Erişilebilirlik hizmeti izinlerinin geliştirilmiş incelemesi ve şüpheli çevrimiçi grupların uyanık raporlaması, zinciri sosyal aldatmacadan mobil kötü amaçlı yazılım enfeksiyonuna kırmaya yardımcı olabilir.
Uzlaşma göstergeleri
İşte bilgiler net bir tablo biçiminde:
| Sha-256 | Paket adı | Uygulama Adı |
|---|---|---|
| A57D70B2873D9A3672EDA7673C5B2FB96DCA502958064FAB742CFC074BFF0FEEB | twzlibwr.rlrkvsdw.bcfwgogozi | Kıdemli grup |
| 45B0A62E414E9B40185C63842546FC96E1AB3F7D3230B0298DDD8834C5555 | orgliyetears.browses646 | Canlı yıllar |
| ED2313BFEBE03F29A7C802DDDD471583C8DA76BFF5CB9F4118AE7D9D6A0B9FB | com.forest481. | Aktif |
| Fac119c569ba7dd19df9154f2f928cf3f0b0165bbe7d6b11a77215bdfc2a11a | inedpnok.kfxuvnie.mggfqzhl | Dans dalgası |
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.