Android kötü amaçlı yazılım uyarısı: Bankacılık truva atları, DNG casusluğu ve NFC dolandırıcılığı artıyor

Son güncelleme: 11/11/2025
Yazar: Alberto Navarro

  • Zscaler tarafından Google Play'de 239 kötü amaçlı uygulama ve 42 milyondan fazla indirme tespit edildi
  • Yeni kampanyalar: Katmanlı bankacılık truva atı, "Landfall" casus yazılımı ve NGate ile NFC dolandırıcılığı
  • Mobil kötü amaçlı yazılımlar yıllık bazda %67 oranında büyüyor; reklam yazılımları baskın (%69) ve Avrupa'da İtalya gibi ülkelerde zirveler görülüyor
  • Koruma kılavuzu: izinler, güncellemeler, Play Protect, uygulama doğrulama ve hesap izleme
Android'de kötü amaçlı yazılım

Android telefonlar ilgi odağı olmaya devam ediyor ve son araştırmalara göre; Görünüm pek de sakin değil.. Arasında Hesapları boşaltan bankacılık Truva atları, Sıfır gün güvenlik açıklarını ve temassız dolandırıcılığı istismar eden casus yazılımDijitalleşmenin Avrupa ve İspanya'da yaygınlaşmasıyla birlikte saldırı yüzeyi de büyüyor.

Son haftalarda Karmaşık bir tabloyu ortaya koyan kampanyalar ve veriler ortaya çıktı: Google Play'de 239 kötü amaçlı uygulama 42 milyondan fazla indirmeye ulaşan yeni bankacılık Truva atı cihazın kontrolünü ele geçirebilen kaplamalarla, adı verilen bir casus yazılım Karaya iniş sızan DNG görüntüleri ve bir plan NFC (NGate) aracılığıyla kart klonlama Avrupa'da ortaya çıkıp Latin Amerika'ya yayılıyor.

Android'de mobil kötü amaçlı yazılımların yükselişine dair bir anlık görüntü

Android veri hırsızlığında kötü amaçlı yazılım

Zscaler'ın son raporu, Haziran 2024 ile Mayıs 2025 arasında Google Play 239 kötü amaçlı uygulamaya ev sahipliği yaptı 42 milyon kurulumu aşan mobil kötü amaçlı yazılım etkinliği Yıllık bazda %67 oranında büyüdü., saldırganların kendilerini görünüşte meşru yardımcı programlar olarak gizlediği araçlar ve üretkenlik kategorisinde özel bir varlığa sahiptir.

Bu evrim taktiklerde net bir değişikliğe yol açıyor: Reklam yazılımları tespitlerin %69'unu oluşturuyorJoker ailesi ise %23'e düşüyor. Ülke bazında, istatistiklerde Hindistan (%26), ABD (%15) ve Kanada (%14) başı çekiyor, ancak Avrupa'da bir düşüş gözlemleniyor. İtalya'da kayda değer artışlarYıllık bazda çok keskin artışlar yaşanırken, riskin kıtanın geri kalanına da yayılabileceği uyarısı yapıldı.

Bu senaryo karşısında Google, geliştirici ekosistemi üzerindeki kontrolünü sıkılaştırdı. ek kimlik doğrulama önlemleri Android'de yayınlamak için. Amaç, giriş ve izlenebilirlik çıtasını yükselterek siber suçluların resmi mağazalar aracılığıyla kötü amaçlı yazılım dağıtma becerisini azaltmaktır.

Özel içerik - Buraya Tıklayın  Android için aPS3e emülatörü herhangi bir açıklama yapılmadan kayboluyor

Hacmin yanı sıra, karmaşıklık da bir endişe kaynağıdır: Zscaler, aralarında aşağıdakilerin de bulunduğu özellikle aktif aileleri vurgular: Anatsa (bankacılık Truva Atı), Android Void/Vo1d (eski AOSP'li cihazlarda arka kapı, 1,6 milyondan fazla cihaz etkilendi) ve XnoticeKimlik bilgilerini ve 2FA kodlarını çalmak için tasarlanmış bir RAT. Avrupa'da, finans kuruluşları ve mobil bankacılık kullanıcıları Bunlar açık bir risk oluşturuyor.

Uzmanlar klasik kredi kartı dolandırıcılığından, mobil ödemeler ve sosyal teknolojiler (phishing, smishing ve SIM değiştirme) gibi son kullanıcının dijital hijyeninin artırılması ve kurumların mobil kanallarının korunmasının güçlendirilmesini gerektiriyor.

Android/BankBot-YNRK: Katmanlar, Erişilebilirlik ve Banka Hırsızlığı

Android'de kötü amaçlı yazılım

Cyfirma araştırmacıları bir Android için bankacılık trojanı "Android/BankBot‑YNRK" olarak adlandırılan bu uygulama, meşru uygulamaları taklit etmek ve ardından Erişilebilirlik Hizmetlerini etkinleştirmek için tasarlanmıştır. tam kontrol elde etmek Cihazın özelliği, üst üste bindirilmiş saldırılardır: sahte giriş ekranları Gerçek bankacılık ve kripto uygulamalarının kimlik bilgilerini ele geçirmesi hakkında.

Dağıtım şunları birleştirir: Play Store (filtreleri aşan dalgalar halinde) popüler hizmetleri taklit eden paket adları ve başlıklar kullanan APK'lar sunan sahte sayfalarla. Tespit edilen teknik tanımlayıcılar arasında birkaç tane var SHA-256 karmaları ve operasyonun şu şekilde çalışacağı tahmin ediliyor: Hizmet Olarak Kötü Amaçlı Yazılımfarklı ülkelere yayılmasını kolaylaştıran, İspanya dahil.

İçeri girildiğinde erişilebilirlik izinlerini zorlar, kendisini cihaz yöneticisi olarak ekler ve ekranda görünenleri okur. sanal düğmelere basın ve formları doldurunAyrıca 2FA kodlarını da yakalayabilir, bildirimleri değiştirebilir ve transferleri otomatikleştirHiçbir şüphe uyandırmadan.

Analistler bu tehdidi, 2016'dan beri aktif olan ve birden fazla çeşidi bulunan BankBot/Anubis ailesine bağlıyor. Antivirüs yazılımlarından kaçınmak için evrimleşiyorlar ve mağaza kontrolleri. Kampanyalar genellikle yaygın olarak kullanılan finans uygulamalarını hedef alır ve zamanında tespit edilmezse potansiyel etki artar.

Özel içerik - Buraya Tıklayın  Bitdefender'ın Mac sürümünün en iyi özellikleri nelerdir?

AB'deki kullanıcılar ve işletmeler için öneri, güçlendirilmesidir izin kontrolleriErişilebilirlik ayarlarını inceleyin ve finans uygulamalarının davranışlarını izleyin. Şüpheniz varsa, uygulamayı kaldırıp cihazınızı taramanız ve kimlik bilgilerini değiştir kurumla koordinasyon halinde.

Karaya Çıkış: DNG görüntüleri ve sıfırıncı gün hataları kullanılarak sessiz casusluk

Android Tehditleri

Palo Alto Networks'ün 42. Birimi tarafından yürütülen başka bir soruşturma, Android için casus yazılım isminde Karaya iniş Görüntü işleme kütüphanesindeki (libimagecodec.quram.so) sıfır günlük bir güvenlik açığını kullanarak kodu çalıştıran DNG dosyalarının kodunu çöz. Yeterliydi Saldırının etkileşim olmadan gerçekleştirilebilmesi için görüntüyü mesajlaşma yoluyla alın.

İlk belirtiler Temmuz 2024'e dayanıyor ve karar şu şekilde kategorize edildi: CVE‑2025‑21042 (3 ay sonra ek bir düzeltmeyle CVE-2025-2104). Kampanya özellikle vurgulanarak hedeflendi. Samsung Galaxy cihazları ve Ortadoğu'da en büyük etkiyi yarattı, ancak uzmanlar bu operasyonların coğrafi olarak ne kadar kolay yayılabileceği konusunda uyarıyor.

Bir kez taahhüt edildiğinde, Karaya çıkışa izin verildi fotoğrafları buluta yüklemedenmesajlar, kişiler ve arama kayıtlarıek olarak mikrofonu gizlice etkinleştirCasus yazılımın modülerliği ve neredeyse bir yıl boyunca tespit edilmeden kalması, karmaşıklıkta sıçrama gelişmiş mobil tehditlerin verdiği.

Riski azaltmak için, anahtar Üretici güvenlik güncellemelerini uygulayın, doğrulanmamış kişilerden alınan dosyalara erişimi sınırlayın ve sistem koruma mekanizmalarını aktif tutun., hem kişisel kullanım terminallerinde hem de kurumsal filolarda.

NGate: Çek Cumhuriyeti'nden Brezilya'ya NFC kart kopyalama

NG kapısı

Siber güvenlik topluluğu da şu konuya odaklandı: NG kapısı, A NFC'yi kötüye kullanan finansal dolandırıcılık için tasarlanmış Android kötü amaçlı yazılımı için kart verilerini kopyala ve bunları başka bir cihazda taklit edin. Orta Avrupa'da (Çek Cumhuriyeti) yerel bankaların taklit edilmesini ve ardından gelen bir evrimi içeren kampanyalar belgelenmiştir. Brezilya'daki kullanıcılar.

Aldatmaca, smishing, sosyal mühendislik ve PWA/WebAPK ve kurulumu kolaylaştırmak için Google Play'i taklit eden web siteleri. İçeri girdikten sonra, kurbanı NFC'yi etkinleştirmeye ve PIN kodunu girmeye yönlendirir, alışverişi engeller ve aşağıdaki gibi araçlar kullanarak iletir: NFC KapısıATM'lerden nakit çekim ve temassız POS ödemelerine olanak sağlıyor.

Özel içerik - Buraya Tıklayın  Little Snitch yetkilendirmelerini nasıl özelleştiririm?

Çeşitli tedarikçiler Android/Spy.NGate.B ve Trojan-Banker sezgisel yöntemleri gibi etiketler altında varyantları tespit ederlerİspanya'da aktif kampanyalara dair kamuya açık bir kanıt olmamasına rağmen kullanılan teknikler şunlardır: herhangi bir bölgeye aktarılabilir Temassız bankacılığın yaygınlaşmasıyla.

Risk nasıl azaltılır: En iyi uygulamalar

Android'de Güvenlik

Yüklemeden önce, birkaç saniyenizi ayırıp kontrol edin editör, derecelendirmeler ve tarih uygulamanın. Belirtilen fonksiyonla uyuşmayan izin isteklerine karşı dikkatli olun. (özellikle Erişilebilirlik ve Yönetim cihazın).

Sistemi ve uygulamaları koruyun her zaman güncelGoogle Play Protect'i etkinleştirin ve düzenli taramalar gerçekleştirin. Kurumsal ortamlarda MDM politikalarının uygulanması önerilir. blok listeleri ve filo anomali izleme.

SMS mesajlarındaki, sosyal medyadaki veya e-postalardaki bağlantılardan APK indirmekten kaçının ve şunlardan uzak durun... Google Play'i taklit eden sayfalarBir bankacılık uygulaması sizden kart şifrenizi isterse veya kartınızı telefonunuza yakın tutmanızı isterse şüphelenin ve bankanızla iletişime geçin.

Enfeksiyon belirtileri fark ederseniz (anormal veri veya pil tüketimi, garip bildirimler(Çakışan ekranlar), verileri kesin, şüpheli uygulamaları kaldırın, cihazınızı tarayın ve kimlik bilgilerinizi değiştirin. Tespit ederseniz bankanızla iletişime geçin. izinsiz hareketler.

Mesleki kapsamda, Araştırmacılar tarafından yayınlanan IoC'leri içerir (alan adlarını, karmaları ve gözlemlenen paketleri) engelleme listelerinize ekleyin ve sektör CSIRT'leriyle yanıtları koordine ederek kesintileri azaltın olası dizeler enfeksiyon.

Android ekosistemi siber suçlardan kaynaklanan yüksek baskının olduğu bir dönemden geçiyor: resmi mağazalardaki kötü amaçlı uygulamalar Bunlara, katmanlara sahip bankacılık Truva atları, DNG görüntülerini kullanan casus yazılımlar ve kart taklitli NFC dolandırıcılıkları dahildir. Güncel güncellemeler, kurulum sırasında dikkatli olma ve izinlerin ve bankacılık işlemlerinin etkin bir şekilde izlenmesiyle bunların önlenmesi mümkündür. maruziyeti önemli ölçüde azaltmak Hem İspanya'daki hem de Avrupa'nın geri kalanındaki bireysel kullanıcılar ve kuruluşlar.

Snapdrop'u Windows, Linux ve Android arasında AirDrop'a alternatif olarak nasıl kullanırsınız?
İlgili makale:
Snapdrop'u Windows, Linux, Android ve iPhone arasında AirDrop'a gerçek bir alternatif olarak nasıl kullanırsınız?