Siber güvenlik araştırmacıları, son haftalarda Meta’nın Facebook platformunda Android kullanıcılarını ücretsiz TradingView Premium uygulaması vaatleriyle hedefleyen sofistike bir kötü niyetli kampanyası ortaya çıkardılar.
Bu aldatıcı reklamlar, resmi TradingView markalaşmasını ve görsellerini taklit ederek, şüphesiz kurbanları meşru bir APK gibi görünen şeyleri indirmeleri için cezbediyor.
Bununla birlikte, uygulama yüklendikten sonra, uygulama kimlik bilgilerini toplamak, iki faktörlü kimlik doğrulamayı atlamak ve cihaz işlevselliğinin kontrolünü ele geçirmek için erişilebilirlik istismarlarını ve yer paylaşım tekniklerini kullanan son derece gelişmiş bir kripto yönlendirici Truva atını ortaya çıkarır.
Bu kampanya, tehdit aktörlerinin geleneksel masaüstü odaklı stratejileri giderek daha kazançlı Android ekosistemlerine nasıl uyarladığını gösteren mobil odaklı kötü niyetli önemli bir evrime işaret ediyor.
22 Temmuz 2025’teki ilk keşiften sonra, kötü niyetli reklam dalgası Avrupa ve ötesinde hızla çekiş kazandı.
Reklamlar, kullanıcıları yeni TW-View’da klonlanmış bir web sayfasına yönlendirir[.]Online, Tradiwiw’den bir APK indirdikleri yer[.]Çevrimiçi/Tw-update.apk.
Kurulum üzerine, damlalık derhal güçlü izinler talep eder, meşru güncelleme, kullanıcıları erişilebilirlik hizmetlerini etkinleştirmeye ve cihaz yönetim hakları vermeye yönlendirir.
Bitdefender analistleri, çoğu durumda, damlalıkların ilk saplamasını kaldırarak kendisinden sonra temizlendiğini ve algılamayı önlemek için yükü yerinde bıraktığını belirtti.
22 Ağustos’ta Bitdefender araştırmacıları, Temmuz ayı sonlarından beri en az 75 benzersiz reklamın konuşlandırıldığını ve sadece AB’de on binlerce kullanıcıya ulaştığını belirledi.
Saldırganlar, erişim ve güvenilirliği en üst düzeye çıkarmak için Vietnam, Portekiz, İspanyolca, Türk ve Arapça da dahil olmak üzere bir düzineden fazla dilde yerleşmişler.
.webp)
Mobil kullanıcıları hedeflemek daha geniş bir eğilimi yansıtır: akıllı telefonlar finansal işlemlerin merkezinde yer aldıkça, kripto cüzdanları, mobil bankacılık ve kimlik doğrulama uygulamaları – başarılı bir uzlaşma için risk dramatik bir şekilde yükselir.
Enfeksiyon mekanizmasına teknik genel bakış
Enfeksiyon zincirine girilmesi, gizli ve kalıcılık için tasarlanmış çok aşamalı bir süreci ortaya çıkarır. Yürütme üzerine, damlalık APK, MD5 sağlama toplamını hesaplar 788cb1965585f5d7b11a0ca35d3346cc ve sağlama toplamı ile gömülü bir yükü açar 58d6ff96c4ca734cd7dfacc235e105bd.
Yük, uygulama içinde şifreli bir DEX kaynağı olarak saklanır. Yerel bir kütüphane, şifre çözme anahtarlarını dinamik olarak alır ve standart imza kontrollerini atlayarak gizli sınıfları yansıma yoluyla yükler.
// Reflection-based payload loading
String dexPath = context.getFilesDir() + "/payload.dex";
FileOutputStream fos = new FileOutputStream(dexPath);
fos.write(decryptedBytes);
fos.close();
DexClassLoader loader = new DexClassLoader(dexPath, context.getCacheDir().getAbsolutePath(), null, context.getClassLoader());
Class> clazz = loader.loadClass("com.tradingview.updater.Updater");
Method init = clazz.getMethod("initialize", Context.class);
init.invoke(null, context);.webp)
Etkin olduktan sonra, kötü amaçlı yazılım bir erişilebilirlik hizmeti olarak kaydeder, tuş vuruşlarını izleme, Google Authenticator’dan 2FA jetonlarını kesme ve bankacılık ve kripto uygulamaları üzerinde sahte giriş ekranları görüntüleme olanağı verir.
Yukarıdaki kod snippet’i, kötü amaçlı güncelleyici sınıfının dinamik olarak nasıl yüklendiğini örnekler, bu da statik analiz araçlarının varlığını kaçırabileceğini sağlar.
Kalıcılık, erişilebilirlik hizmetlerini yeniden başlatma ve simgesini uygulama çekmecelerinden gizleyerek elde edilir. PackageManager.setComponentEnabledSettingkullanıcının tehdidi bulma ve kaldırma girişimlerinin önlenmesi.
Bu saldırı, Android cihazlarda yüksek değerli varlıkların hedeflenmesinde manuel sınıf hassasiyetle birlikte yüksek derecede otomasyon göstermektedir.
Facebook’un reklam altyapısını silahlandırarak ve Android izin modelinin derinlemesine bilgi edinerek, tehdit aktörleri küresel erişim ve önemli finansal etkiler yeteneğine sahip güçlü bir kampanya yarattı.
Kuruluşlar ve bireyler hem uyanık kalmalı, uygulama kaynaklarını incelemeli, URL’leri doğrulamak ve yan yüklemeyi güvenilir depolarla sınırlamalıdır.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.