Yeni bir Android kötü amaçlı yazılım trendi, Hindistan’da yayılıyor; Bölgesel Ulaştırma Ofisi (RTO) uygulamaları görünümünden yararlanarak finansal verileri çalmak, kripto para madenciliği yapmak ve SMS mesajlarını sızdırmak için kullanılıyor ve bu arada virüslü cihazları Telegram botları aracılığıyla gizlice kaydediyor. GhostBat RAT olarak bilinen bu yeni kötü amaçlı yazılım kampanyası yakın zamanda yeniden ortaya çıktı.
Temmuz 2024’te Cyble Araştırma ve İstihbarat Laboratuvarları (CRIL), mParivahan uygulaması gibi meşru RTO uygulamaları olarak gizlenen Android kötü amaçlı yazılımlarındaki artışı izlemeye başladı. Saldırganlar, kötü amaçlı APK dosyalarını WhatsApp, SMS ve hatta güvenliği ihlal edilmiş web siteleri aracılığıyla dağıtmak için sosyal mühendislik taktiklerini kullandı. Bu mesajlar genellikle şüphelenmeyen kullanıcıları GitHub tarafından barındırılan kötü amaçlı yazılım indirmelerine yönlendiren kısaltılmış URL’ler içerir.
Eylül 2025’ten bu yana, bu kampanyayla bağlantılı 40’tan fazla benzersiz kötü amaçlı yazılım örneği keşfedildi. Paketlenme veya gizlenme biçimleri arasındaki farklılıklara rağmen, her örnek sonuçta mParivahan’ın bilgi çalma araçları ve kripto para madenciliği modülü içeren sahte bir sürümünü yükledi.
GhostBat RAT: Tespit edilmekten kaçınmak için Telegram’a Bağlı ve Karartılmış
Bu kampanyayı diğerlerinden ayıran şey, virüs bulaşmış cihazları yönetmek için Telegram botlarının entegrasyonudur. Özellikle GhostBatRat_bot adlı bot, güvenliği ihlal edilmiş cihazları kaydetmek için kullanılıyor ve bu kampanyayı GhostBat RAT ismine bağlıyor.
Her örnek, yükleri katmanlar halinde yükleyen çok aşamalı damlama tekniklerini kullanır. Bu veriler arasında kimlik avı sayfaları, bankacılık kimlik bilgileri hırsızları ve kripto madencilerinin bir kombinasyonu yer alıyor. Kötü amaçlı yazılım, uzun ömür ve gizlilik sağlamak için çeşitli kaçınma taktikleri kullanır:
- APK ayrıştırmasını kırmak için ZIP başlığı manipülasyonu
- Sanal ortamlarda yürütmeyi sonlandıran anti-emülasyon teknikleri
- Sayısal kodlama kullanarak ağır dize gizleme
- Algılamayı önlemek için .so kitaplıkları aracılığıyla yerel kod yürütme
Teknik Arıza: Yerel Yürütmeyle Çok Aşamalı Damlalık
Temsili bir örnekte (SHA‑256: 98991cd9557116b7942925d9c96378b224ad12e2746ac383752b261c31e02a1f), kötü amaçlı yazılım üç aşamalı bir damlalık mimarisi göstermektedir:
- Birinci Aşama, öykünülmüş ortamları kontrol eder ve bir varlık dosyasındaki XOR’u kullanarak ikinci veri yükünün şifresini çözer.
- İkinci Aşama, başka bir varlığın şifresini DEX veya ZIP dosyasına çözmek için türetilmiş bir AES anahtarı kullanır.
- Üçüncü Aşama, son yükü, bir madencilik kitaplığını ve oturum tabanlı bir APK yükleyicisini içerir.
Daha gelişmiş varyantlarda, C/C++ ile yazılmış yerel bir paketleyici, aşağıdaki gibi JNI yöntemlerini kullanarak çalışma zamanında API çağrılarını çözümleyerek şifrelenmiş yükleri yürütür: Sınıfı Bul.
Bu düzeydeki karmaşıklık, tersine mühendislik girişimlerini ve antivirüs araçlarını engellemek için tasarlanmıştır.
Kimlik Avı, SMS Sızdırması ve Telegram Kaydı
Sahte mParivahan uygulaması yüklendikten sonra, özellikle SMS erişimi konusunda kapsamlı izinler talep ediyor. UPI ödeme isteklerini taklit eden bir kimlik avı akışı başlatarak kullanıcıları sahte arayüzlere UPI PIN’lerini girmeleri için kandırıyor. Bu kimlik bilgileri daha sonra saldırgan tarafından kontrol edilen bir Firebase uç noktasına gönderilir.
Bu arada uygulama, özellikle bankacılıkla ilgili anahtar kelimeler içeren mesajları hedefleyerek SMS içeriğinin arka plan gözetimini gerçekleştiriyor. Tespit edilen mesajlar saldırganın Komuta ve Kontrol (C2) sunucusuna iletilirken, gelen OTP’ler içeriğe göre toplanabilir veya yeniden yönlendirilebilir.
Buna paralel olarak uygulama, virüslü cihazı Telegram botu GhostBatRat_bot’a kaydederek saldırganın ele geçirilen sistemi yönetmesi için bir komut kanalı oluşturuyor.