Yapay zeka uygulamalarının yaygınlaşması, siber suçluların aldatıcı mobil uygulamalar yoluyla kullanıcı güvenini suiistimal etmeleri için benzeri görülmemiş fırsatlar yarattı.
Günümüzde mobil uygulama mağazaları, ChatGPT, DALL·E ve diğer yapay zeka hizmetlerini sunduğunu iddia eden yüzlerce benzer uygulamayla dolup taşıyor.
Güvenlik araştırmacıları gösterişli logoların ve gelişmiş işlevsellik vaatlerinin altında tehlikeli bir gerçeğin yattığını keşfettiler: Tüm klonlar iyi huylu değildir.
Bazıları zararsız API sarmalayıcı olarak hizmet ederken, diğerleri reklam yazılımından para kazanma planları olarak işlev görür ve en tehlikeli varyantlar, kapsamlı cihaz gözetimi ve kimlik bilgileri hırsızlığı yapabilen karmaşık casus yazılımları gizler.
Son güvenlik analizleri, marka kimliğine bürünmenin hem tüketicileri hem de mobil yapay zeka uygulamalarına dayanan kuruluşları hedef alan en yeni saldırı vektörü haline geldiğini ortaya koyuyor.
SensorTower’ın 2025 Mobil Durumu Raporu’na göre, yapay zeka ile ilgili mobil uygulamalar 2024 yılında toplu olarak 17 milyar indirme gerçekleştirdi; bu, tüm küresel uygulama indirmelerinin yaklaşık yüzde 13’ünü temsil ediyor.
Bu patlayıcı büyüme, hiçbir şeyden haberi olmayan kullanıcıları kandırmak için arayüzleri ve meşru yapay zeka araçlarının markalarını kopyalayan fırsatçı geliştiricilerin ilgisini çekti.
Tehdit ortamı, basit taklidin ötesine geçerek, istilacı veri toplamadan, cihazları ele geçirebilen ve kimlik doğrulama bilgilerini çalabilen tam özellikli kötü amaçlı yazılım çerçevelerine kadar uzanan bir dizi kötü amaçlı etkinliği kapsar.
Mobil Uygulama Tehditlerinin Üç Aşaması
Güvenlik araştırmacıları, her biri kullanıcılara ve kuruluşlara farklı düzeylerde risk sunan farklı klonlanmış yapay zeka uygulamaları kategorileri belirlediler.
İlk katman, orijinal API’lere aldatma olmadan şeffaf bir şekilde bağlanan resmi olmayan sarmalayıcılardan oluşur. Bu uygulamalar minimum düzeyde güvenlik riski taşısa da son kullanıcılar arasında gizlilik ve marka kafa karışıklığı konusunda endişelere neden olmaya devam ediyor.
Örnekler arasında, OpenAI hizmetlerine meşru erişim sağlarken resmi olmayan durumlarını açıkça kabul eden ChatGPT sarmalayıcı uygulamaları yer almaktadır.
İkinci katman, reklam geliri elde etmek için tanınabilir logolardan ve arayüzlerden yararlanan marka taklitçilerini kapsar.
Ayrıntılı bir teknik analiz, üçüncü taraf uygulama mağazalarında barındırılan ve yanlışlıkla “DALL·E 3 AI Image Generator” olarak markalanan bir uygulamayı inceledi.
Uygulama, yapay zeka destekli görüntü oluşturma yetenekleri iddialarıyla kendisini bir OpenAI ürünü olarak sunmasına rağmen, hiçbir meşru işlevsellik içermiyordu.
Bunun yerine, kötü amaçlı uygulama;Adjust, AppsFlyer, Unity Ads ve Bigo Ads gibi reklam ve analiz hizmetlerine özel ağ bağlantıları kurdu.
Teknik inceleme, paket adının kasıtlı olarak OpenAI markasını taklit ettiğini, gömülü Gmail adresleri ve API anahtarları içerdiğini ve şablon kodundan aceleyle derlendiğini ortaya çıkardı.
Uygulama aslında ticari bir parazit işlevi görüyordu ve ayrıntılı bir aldatmaca yoluyla kullanıcı verilerinden ve reklam gösterimlerinden para kazanıyordu.
WhatsApp Plus ve Truva Atı Çerçeveleri
Üçüncü ve en tehlikeli katman, kapsamlı gözetim ve kimlik bilgileri hırsızlığı için tasarlanmış, tamamen silahlandırılmış kötü amaçlı yazılım çerçevelerini temsil ediyor.
Yetkisiz bir mesajlaşma çeşidi olan “WhatsApp Plus” olarak gizlenen bir uygulamanın güvenlik analizi, karmaşık gizleme teknikleri kullanan kritik düzeyde bir tehdidi ortaya çıkardı.
Kötü amaçlı yazılım, meşru Meta imzalama anahtarları yerine sahte sertifikalar kullandı ve kötü amaçlı yazılım yazarları tarafından kötü amaçlı kodları şifrelemek için yaygın olarak kullanılan bir araç olan Ijiami paketleyicisini kullandı.
Kurulumun ardından, “ikincil program-dex-jars” adlı bir klasör içindeki gizli yürütülebilir dosyalar, şifresi çözülene ve yüklenene kadar hareketsiz kalır; bu, truva atı yükleyici işlevselliğinin karakteristik bir özelliğidir.
WhatsApp Plus kötü amaçlı yazılımı etkinleştirildikten sonra sessizce kişilere, SMS mesajlarına, arama kayıtlarına ve hesap bilgilerine erişim sağlayan kapsamlı cihaz izinleri ister.
Bu ayrıcalıklar, saldırganların tek kullanımlık şifreleri ele geçirmesine, adres defterlerini ele geçirmesine ve mesajlaşma uygulamalarında kurbanların kimliğine bürünmesine olanak tanıyor.
Gömülü yerel kitaplıklar, uygulama kapatıldıktan uzun süre sonra bile arka planda kalıcı yürütmeyi sürdürür.
Ağ analizi, kötü amaçlı yazılımın, meşru Amazon Web Hizmetleri ve Google Cloud uç noktalarının arkasındaki kötü amaçlı trafiği maskeleyen etki alanı yönlendirme tekniklerini kullandığını doğruladı; bu, daha önce Triout ve AndroRAT gibi casus yazılım ailelerinde gözlemlenen karmaşık bir kaçınma yöntemidir.
Yanıltıcı yapay zeka uygulamalarının çoğalması, kurumsal güvenlik duruşu, mevzuat uyumluluğu ve marka bütünlüğü açısından önemli riskler oluşturuyor.
Kuruluşlar, küresel uygulama mağazalarında klonlanmış uygulamaları tespit edebilen, otomatik güvenlik açığı değerlendirmeleri yürütebilen ve gerçek zamanlı güvenlik görünürlüğü sağlayabilen sürekli izleme çözümleri uygulamalıdır.
Güvenlik ekipleri, bağlamsal iyileştirme rehberliği sağlayan birleşik platformlara ve tehditlere hızlı yanıt verilmesini sağlayan entegre bildirim sistemlerine ihtiyaç duyar.
Mobil yapay zekanın benimsenmesi hızlandıkça, kuruluşlar yalnızca geleneksel uygulama inceleme mekanizmalarına güvenmeyi göze alamazlar; proaktif, sürekli izleme, lansman sonrası gelişen tehditlere karşı tek etkili savunmayı temsil eder.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.