Ağustos 2025’in sonlarında, Cleafy’nin tehdit istihbarat ekibi, saldırganlara tehlikeye atılan cihazların tam kontrolünü sağlayan ve büyük ölçekli mali dolandırıcılığı kolaylaştıran yeni, son derece sofistike bir Android bankacılık Truva ve Uzaktan Erişim Trojan (sıçan) olan Klopatra’yı ortaya çıkardı.
İspanya ve İtalya’daki aktif kampanyalar zaten 3.000’den fazla cihazı bulaşmış, büyük finansal kurumların kullanıcılarını hedefleyen ve kurbanlar uyurken hesapları boşalttı.
Klopatra, mobil kötü amaçlı yazılımlarda nadiren görülen ticari sınıf bir kod koruma aracı olan Virbox’ın entegrasyonuyla öne çıkıyor. Çekirdek mantığın Java’dan yerel C/C ++ kütüphanelerine stratejik bir kayması ile birleştiğinde, bu mimari statik analizörlere ve çalışma zamanı dedektörlerine görünürlüğü önemli ölçüde azaltır.
Virbox, kötü niyetli yükü birden fazla gizleme, anti-tahrip kontrolleri, emülatör tespiti ve bütünlük doğrulaması katmanlarına sarar, araştırmacıları işlevlerini tersine çevirmeye önemli zaman ve kaynaklar harcamaya zorlar.
Bu tasarım seçenekleri, suç operatörleri kötü amaçlı yazılım ömrünü ve karlılığı en üst düzeye çıkarmak için ileri korumalara yatırım yaptıkça mobil tehditlerin profesyonelleşmesini yansıtır.
Kod içindeki dilbilimsel ipuçları-Türk-dil işlev adları gibi-ve komuta ve kontrol (C2) arayüzünden meta veriler, Türkçe konuşan bir gruba gelişim, dağıtım ve para kazanmayı kararlı bir şekilde işaret eder.
Enfeksiyon zinciri: damladan fareye
Klopatra’nın enfeksiyonu, “Mobdro Pro IP TV + VPN” olarak maskelenen meşru görünümlü bir damlalıkla başlar. Bu korsan akış uygulaması, kullanıcıları “Bilinmeyen Uygulamalar Yükle” izinlerini etkinleştirmek için canlandırır. Özel bir “Json Packer” kullanarak, damlalık ana yükü gizler ve verilen bir kez sessizce yükler.
Kurulum üzerine Truva atı hemen erişilebilirlik hizmetleri izni ister. Başlangıçta engelli kullanıcılara yardımcı olmak için tasarlanan bu güçlü çerçeve, Klopatra’nın şunları yapmasını sağlar:
- Ekranı izleyerek ekrandaki metin (şifreler ve bakiyeler dahil) yakalayın.
- Kapsamlı bir keylogger olarak işlev gören girişleri kaydedin.
- Bankacılık uygulamaları yoluyla özerk navigasyon sağlayarak musluk ve jestleri simüle edin.
Gizli VNC: Nihai Sıçan yeteneği
Klopatra’nın kalbinde, iki mod sunan yerleşik bir VNC sunucusu bulunur:
- Standart VNC: Aygıt ekranını operatöre görüntüler ve kullanıcı etkinliğini yansıtır.
- Gizli VNC: Kurbanın ekranında siyah bir kaplama etkinleştirir, bu da saldırgan tam gizlilikte eylemler yaparken cihazın güçlendirilmesini sağlar.
Bu “siyah ekran” hilesi, action_blackscreen komut, daha sonra operatörler çalıntı pimler veya desenler kullanarak cihazın kilidini açabilir, bankacılık uygulamalarını başlatabilir ve kullanıcıyı uyarmadan hileli transferler yürütebilir.
Kaplama saldırıları ve veri açığa çıkması
Doğrudan kontrolün tamamlanması sağlam bir kaplama modülüdür. Kullanıcılar hedeflenen bankacılık veya kripto para uygulamalarını açtıklarında, Klopatra C2 sunucusundan özel HTML’yi getirir ve giriş ekranının mükemmel bir kopyasını enjekte eder.
İstenmeyen kurbanlar tarafından girilen kimlik bilgileri derhal birleştirilir. Eşzamanlı olarak, Trojan cihaz meta verilerini (model, pil seviyesi, yüklü uygulamalar) toplar ve tüm verileri C2’ye iletim için Base64 kodlu JSON nesnelerine paketler.
Cleafy’nin analizi iki temel botnet tanımladı:
- ADSServices.uk: İspanya’ya odaklanmış yaklaşık 2.433 enfeksiyon.
- ADSService2.org: İtalya’yı hedefleyen yaklaşık 495 enfeksiyon.
- Daha küçük bir üçüncü sunucu (141.98.11.227) İspanyol kurbanlarına da hizmet vermektedir.
Dördüncü bir alan olan Guncel-TV-Player-lnat.com, yeni özellikleri test etmek için bir evreleme ortamı olarak işlev görüyor ve çeşitli ülkelerde sadece dokuz bot kaydediliyor.
Türk kökenli, Arkauckomutisleyicisi (“Backend Command Handler”) ve etiket, favori_durumu ve bot_notu gibi C2 alan adları gibi işlev adları ile doğrulanır. Operatör notları-İşlem girişimlerini ve pin kodlarını belgeleyen kolokal Türkiye ifadeleri-her aşamayı, kalkınmadan sahtekarlık yürütmeye kadar dikey olarak entegre bir Türkçe konuşan grubun doğrudan kanıtını sunar.
C2 sunucuları tarafından gönderilen JSON yanıtlarının analizi, birçok alan adının Türkçe kelimeler olduğunu ortaya koydu.
Çıkarımlar ve öneriler
Klopatra, mobil kötü amaçlı yazılımlarda bir dönüm noktası yayınladı ve Android’e masaüstü sınıfı korumaları getirdi.
Finansal kurumlar ve kavrayışla mücadele ekipleri, cihaz düzeyinde davranışsal izlemeye ve işlem anomalilerinin gerçek zamanlı korelasyonuna odaklanarak imzaya dayalı tespitin ötesinde çözümler benimsemelidir.
Virbox korumalı Android örnekleri için sürekli tehdit istihbarat paylaşımı ve proaktif avlanma, ortaya çıkan bu tehdidi azaltmak için çok önemli olacaktır.
Ceza grupları ticari gizleme araçlarını ve yerel kod çerçevelerini benimsediğinden, güvenlik topluluğu bu sofistike mobil farelerin önünde kalmak için gelişmiş analiz teknikleri, kum havuzu geliştirmeleri ve endüstriler arası işbirliği ile yanıt vermelidir.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.