Yeni Android Kötü Amaçlı Yazılım Dalgalanması Cihazları Vuruyor
Siber güvenlik araştırmacıları, 3.775’ten fazla cihazı tehlikeye atan AntiDot adlı Android kötü amaçlı yazılımın iç işleyişini ortaya çıkardı. Finansal olarak motive olan tehdit oyuncusu Larva-398 tarafından işletilen AntiDot, yeraltı forumlarında aktif olarak kötü amaçlı yazılım olarak satılıyor ve mobil kampanyalarla bağlantılı. Android’in erişilebilirlik hizmetlerini kötüye kullanarak SMS mesajlarını kesen ve hassas verileri çalan AntiDot, Android Botnet aracılığıyla faaliyet gösteriyor ve kimlik avı kampanyalarıyla teslim ediliyor.
Antidot, Google Play güncellemeleri olarak bilgi hırsızlığı hedeflerini gerçekleştirmek için dağıtıldıktan sonra Mayıs 2024’te kamuya açıklandı. Şüphelenilen faaliyetler arasında yüksek derecede uyarlanmış kimlik avı kampanyaları ve kötü niyetli reklam ağları yer alıyor. Antidot’un temel özelliklerinden biri, cihaz ekranını kaydeden bir çözüm olarak ilan edilmesi ve enfekte olmuş cihazlar arasında gerçek zamanlı, iki yönlü iletişimi kolaylaştıran bir WebSocket iletişimi oluşturmasıdır.
Zimperium, ANTIDOT dublajlı Applite Banker’ın güncellenmiş bir sürümünü dağıtan bir mobil kimlik avı kampanyasının ayrıntılarını açıkladı. Prodaft’ın bulgularına göre, en az 11 aktif komuta ve kontrol (C2) sunucusu aracılığıyla en az 3.775 enfekte cihazı denetleyen 273 farklı kampanya bulunmaktadır.
Antidot, Java tabanlı bir kötü amaçlı yazılım olduğundan, tespit ve analiz çabalarını azaltmak için ticari bir paketleyici kullanılarak ağır bir şekilde gizlenmiştir. Şirketin açıklamalarına göre, AndroidManifest dosyasının incelenmesi, orijinal APK’da birçok sınıf adının görünmediğini ortaya koyuyor. Bu eksik sınıflar, kurulum sırasında Packer tarafından dinamik olarak yüklenir ve şifreli bir dosyadan çıkarılan kötü amaçlı kodları içerir. Antidot, finansal kazanç için tasarlanmış ölçeklenebilir ve kaçınılmaz bir Maas platformunu temsil ediyor ve kullanıcı gizliliği ve cihaz güvenliği için ciddi bir tehdit oluşturuyor.
Vaftiz Babası Geri Dönüyor
Zimperium Zlabs tarafından yapılan bir araştırmaya göre, vaftiz babası Android Bankacılık Truva atının sofistike bir evrimi ortaya çıkarıldı. Kötü amaçlı yazılım, kurbanın cihazında tamamen izole edilmiş bir sanal ortam yaratma yeteneğine sahiptir. Kurban, uygulamayı başlatırsa, gerçek hedeflenen bankacılık uygulamasının bir kopyasını çalıştırmak için sanallaştırılmış bir ‘ana bilgisayar’ uygulaması yükler.
Supercard x Kötü Amaçlı Yazılım Rusya’ya Geliyor
F6 araştırmacısına göre, Supercard X adlı yeni bir Android kötü amaçlı yazılım, NFCGate adlı meşru bir aracın kötü amaçlı bir modifikasyonudur ve hileli işlemler için NFC röle saldırıları gerçekleştirebilir. Rus kullanıcıları hedefleyen kötü amaçlı yazılım, NFC trafiğini ele geçirerek banka kartı verilerini çalmayı amaçlıyor.
Uygulama Mağazalarında Tespit Edilen Kötü Amaçlı Uygulamalar
Resmi Google Play Store ve Apple’ın App Store’undaki kötü amaçlı uygulamalar kişisel bilgileri topluyor ve kripto para cüzdanlarıyla ilişkili anımsatıcı ifadeleri çalıyor. Rapiplata adlı kötü amaçlı yazılım, kullanıcıları gasp, şantaj ve veri hırsızlığına maruz bırakıyor. Check Point’e göre, Rapiplata, Kolombiyalı kullanıcıları hedefleyerek veri hırsızlığı yapıyor ve hassas kullanıcı verilerine geniş erişime sahip.
Bu kötü amaçlı yazılımların kullanıcıları finansal veya kredi ile ilgili başvuruları indirirken dikkatli olmaları önerilir. Source link: https://thehackernews.com/2025/06/new-android-malware-surge-hits-devices.html