{"id":10669,"date":"2022-05-10T16:14:13","date_gmt":"2022-05-10T13:14:13","guid":{"rendered":"https:\/\/www.kaspersky.com.tr\/blog\/?p=10669"},"modified":"2022-05-10T16:14:13","modified_gmt":"2022-05-10T13:14:13","slug":"trojans-subscribers-2022","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.tr\/blog\/trojans-subscribers-2022\/10669\/","title":{"rendered":"Sizi \u00fccretli hizmetlere kaydetmek isteyen abonelik Truva Atlar\u0131yla tan\u0131\u015f\u0131n"},"content":{"rendered":"

Abonelik Truva Atlar\u0131, Android kullan\u0131c\u0131lar\u0131n\u0131n cebindeki paraya el koymak i\u00e7in en bilinen y\u00f6ntemlerden birini kullan\u0131yor. Kullan\u0131\u015fl\u0131 bir uygulama kisvesi alt\u0131nda ak\u0131ll\u0131 telefonlara s\u0131zd\u0131ktan sonra gizlice \u00fccretli hizmetlere abone oluyorlar. \u00c7o\u011funlukla abonelik ger\u00e7ek ancak kullan\u0131c\u0131lar\u0131n ihtiya\u00e7 duymad\u0131\u011f\u0131 bir hizmete ait oluyor.<\/p>\n

Bu t\u00fcr Truva Atlar\u0131n\u0131n yarat\u0131c\u0131lar\u0131 komisyonla para kazan\u0131yor, yani kullan\u0131c\u0131n\u0131n harcad\u0131\u011f\u0131 para \u00fcst\u00fcnden belirli bir y\u00fczde al\u0131yorlar. \u00dccret genellikle cep telefonu hatt\u0131na kesilse de baz\u0131 doland\u0131r\u0131c\u0131l\u0131k \u00f6rneklerinde do\u011frudan banka kart\u0131ndan da al\u0131nabiliyor. \u0130\u015fte Kaspersky uzmanlar\u0131n\u0131n ge\u00e7ti\u011fimiz bir y\u0131l i\u00e7inde g\u00f6zlemledi\u011fi<\/a> mobil abonelik Truva At\u0131 \u00f6rnekleri aras\u0131nda en \u00e7ok dikkat \u00e7ekenler.<\/p>\n

\u00dccretli abonelikler ve metin mesajlar\u0131ndaki do\u011frulama kodlar\u0131<\/h2>\n

Jocker ailesine ait Truva Atlar\u0131 genellikle Google Play \u00fczerinden da\u011f\u0131t\u0131l\u0131yor. Siber su\u00e7lular ger\u00e7ekten kullan\u0131\u015fl\u0131 olan bir tak\u0131m uygulamalara k\u00f6t\u00fc ama\u00e7l\u0131 kodlar ekledikten sonra bu uygulamalar\u0131 farkl\u0131 isimlerle tekrar ma\u011fazaya y\u00fckl\u00fcyorlar. Kullan\u0131lan uygulamalar aras\u0131nda mesajla\u015fma, tansiyon kayd\u0131 tutma ya da belge tarama uygulamalar\u0131 gibi uygulamalar yer al\u0131yor. Google Play moderat\u00f6rleri bu t\u00fcr uygulamalar\u0131 tespit etmeye \u00e7al\u0131\u015fsa da bulduklar\u0131 uygulamalar\u0131 ma\u011fazadan kald\u0131rana kadar yerine yenileri geliyor.<\/p>\n

\"\"

Google Play\u2019de Jocker abonelik Truva At\u0131 ta\u015f\u0131yan uygulamalardan baz\u0131lar\u0131<\/p><\/div>\n

\u00a0<\/p>\n

\u015eimdi abonelik Truva Atlar\u0131n\u0131n nas\u0131l \u00e7al\u0131\u015ft\u0131\u011f\u0131na bakal\u0131m. Normalde kullan\u0131c\u0131n\u0131n bir hizmete abone olmas\u0131 i\u00e7in i\u00e7erik sa\u011flay\u0131c\u0131n\u0131n sitesine girip Abone Ol butonuna t\u0131klamas\u0131 gerekir. Hizmet sa\u011flay\u0131c\u0131lar otomatik abonelik giri\u015fimlerini \u00f6nlemek i\u00e7in kullan\u0131c\u0131dan metin mesaj\u0131yla g\u00f6nderilen bir kodu girerek amac\u0131n\u0131 do\u011frulamas\u0131n\u0131 ister. Ancak Jocker ailesine ait k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131mlar bu koruma y\u00f6ntemini atlatmay\u0131 ba\u015far\u0131r.<\/p>\n

Vir\u00fcsl\u00fc uygulama cihaza girdikten sonra \u00e7o\u011funlukla kullan\u0131c\u0131dan metin mesajlar\u0131na eri\u015fim talep eder. Ard\u0131ndan Truva At\u0131 g\u00f6r\u00fcnmez bir pencerede abonelik sayfas\u0131n\u0131 a\u00e7ar, Abone Ol butonuna t\u0131klamay\u0131 taklit eder ve do\u011frulama kodunu metin mesajlar\u0131ndan \u00e7alarak aboneli\u011fi ger\u00e7ekle\u015ftirir.<\/p>\n

Uygulama i\u015flevlerinin metin mesajlar\u0131na eri\u015fim gerektirmedi\u011fi durumlarda ise (\u00f6rne\u011fin bir belge tarama uygulamas\u0131na niye mesajlara eri\u015fim izni veresiniz?) Jocker ailesine ait abonelik Truva Atlar\u0131 bildirimlere eri\u015fim talep eder. Bu sayede do\u011frulama kodunu metin mesaj\u0131 yerine gelen mesaj\u0131n bildiriminden \u00e7alabilirler.<\/p>\n

Abonelik Truva Atlar\u0131 CAPTCHA\u2019y\u0131 nas\u0131l atlat\u0131yor<\/h2>\n

MobOk ailesine ait Truva Atlar\u0131 biraz daha karma\u015f\u0131k. Bunlar yaln\u0131zca mesaj veya bildirimlerden do\u011frulama kodlar\u0131n\u0131 \u00e7almakla kalm\u0131yor, ayn\u0131 zamanda otomatik abonelik giri\u015fimlerine kar\u015f\u0131 bir di\u011fer koruma y\u00f6ntemi olan CAPTCHA<\/a>\u2018y\u0131 da atlatabiliyorlar. Truva At\u0131, resimdeki kodu anlayabilmek i\u00e7in resmi \u00f6zel bir servise g\u00f6nderiyor. Ge\u00e7ti\u011fimiz sene CAPTCHA tan\u0131ma hizmeti sunan t\u0131klama \u00e7iftliklerinin faaliyetlerini ara\u015ft\u0131rm\u0131\u015ft\u0131k<\/a>.<\/p>\n

MobOk ailesi di\u011fer a\u00e7\u0131lardan Jocker ailesine ait Truva Atlar\u0131yla benzer \u015fekilde \u00e7al\u0131\u015f\u0131yor. MobOk pek \u00e7ok \u00f6rnekte baz\u0131 ak\u0131ll\u0131 telefon modellerinde \u00f6nceden y\u00fckl\u00fc olarak gelen uygulamalar, resmi olmayan WhatsApp modifikasyonlar\u0131<\/a> ya da APKPure adl\u0131 alternatif uygulama ma\u011fazas\u0131<\/a> \u00fczerinden Triada Truva At\u0131n\u0131n y\u00fck\u00fc olarak da\u011f\u0131t\u0131l\u0131yor. MobOk ta\u015f\u0131yan uygulamalar bazen Google Play\u2019de de bulunuyor.<\/p>\n

Resmi olmayan kaynaklardan yay\u0131lan abonelik Truva Atlar\u0131<\/h2>\n

Vesub ailesine ait k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131mlar da resmi ma\u011fazalarda bir sebeple yasaklanan uygulamalar k\u0131l\u0131\u011f\u0131nda (\u00f6rne\u011fin YouTube\u2019dan i\u00e7erik indirme uygulamalar\u0131, Tubemate ve Vidmate gibi video yay\u0131n\u0131 servisleri ya da GTA5\u2019in resmi olmayan Android s\u00fcr\u00fcm\u00fc g\u00f6r\u00fcn\u00fcm\u00fcne b\u00fcr\u00fcnerek) \u015f\u00fcpheli kaynaklardan da\u011f\u0131t\u0131l\u0131yor.\u00a0 Ayn\u0131 zamanda bu kaynaklarda Minecraft gibi pop\u00fcler ve pahal\u0131 uygulamalar\u0131n \u00fccretsiz s\u00fcr\u00fcmleri olarak da kar\u015f\u0131m\u0131za \u00e7\u0131kabiliyorlar.<\/p>\n

\"\"

Kendisini Tubemate, Vidmate, GTA5, Minecraft veya gizemli bir \u015fekilde GameBeyond gibi g\u00f6steren Vesub abonelik Truva At\u0131<\/p><\/div>\n

\u00a0<\/p>\n

Vesub ta\u015f\u0131yan uygulamalar, MobOk ve Jocker ailelerinin aksine genellikle kullan\u0131c\u0131 i\u00e7in kullan\u0131\u015fl\u0131 hi\u00e7bir \u00f6zellik ta\u015f\u0131m\u0131yor. Y\u00fcklenir y\u00fcklenmez \u00fcstte uygulaman\u0131n y\u00fcklendi\u011fine dair bir pencere g\u00f6r\u00fcnt\u00fclerken ilgili pencereleri kullan\u0131c\u0131dan gizleyerek istenmeyen aboneli\u011fi say\u0131n al\u0131yorlar. Baz\u0131 durumlarda MobOk ta\u015f\u0131yan uygulamalar\u0131n i\u00e7inde kullan\u0131\u015fl\u0131 baz\u0131 \u00f6zellikler olabiliyor ama bunlar birer istisna.<\/p>\n

Telefon numaras\u0131yla oturum a\u00e7ma<\/h2>\n

GriftHorse.ae Truva Atlar\u0131 ise daha da basit. \u0130lk defa \u00e7al\u0131\u015ft\u0131r\u0131ld\u0131klar\u0131nda, g\u00f6r\u00fcn\u00fc\u015fte oturum a\u00e7ma amac\u0131yla, kullan\u0131c\u0131dan telefon numaras\u0131n\u0131 girmesini istiyorlar. Kullan\u0131c\u0131 numaray\u0131 girip Oturum A\u00e7 butonuna t\u0131klar t\u0131klamaz abonelik ba\u015flat\u0131l\u0131yor ve \u00fccret mobil hesaplar\u0131na yans\u0131t\u0131l\u0131yor. Bu k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m kendisini \u00e7o\u011funlukla silinen dosyalar\u0131 kurtaran bir uygulama, foto\u011fraf ve video d\u00fczenleme uygulamas\u0131, telefon \u00e7ald\u0131\u011f\u0131nda feneri yak\u0131p s\u00f6nd\u00fcren bir uygulama, navigasyon uygulamas\u0131, belge taray\u0131c\u0131 ya da \u00e7eviri uygulamas\u0131 gibi \u00e7e\u015fitli uygulamalar bi\u00e7iminde g\u00f6steriyor. Ger\u00e7ekte ise vir\u00fcsl\u00fc uygulaman\u0131n hi\u00e7bir kullan\u0131\u015fl\u0131 i\u015flevi yok.<\/p>\n

Otomatik \u00f6demeli abonelikler<\/h2>\n

GriftHorse.l abonelik Truva Atlar\u0131, isimleri \u00f6ncekiyle benzer olsa da farkl\u0131 bir yol izliyor: Tekrar eden \u00f6demeleri olan abonelikleri kullan\u0131yorlar. Bu durum resmi olarak kullan\u0131c\u0131n\u0131n do\u011frudan onay\u0131yla ger\u00e7ekle\u015fse de kurbanlar d\u00fczenli otomatik \u00f6deme talimat\u0131 verdiklerini fark edemeyebiliyor. \u0130kinci hile ise ilk \u00f6demeyi \u00e7ok d\u00fc\u015f\u00fck tuttuktan sonra di\u011fer \u00fccretleri hat\u0131r\u0131 say\u0131l\u0131r bi\u00e7imde artt\u0131rma.<\/p>\n

E\u011fitim kurslar\u0131na<\/a> abonelik sunan sahte sitelerde benzer bir doland\u0131r\u0131c\u0131l\u0131\u011f\u0131 incelemi\u015ftik. Bu \u00f6rnek de a\u015fa\u011f\u0131 yukar\u0131 ayn\u0131 \u015fekilde i\u015fliyor, ancak uygulaman\u0131n i\u00e7erisinde ger\u00e7ekle\u015ftiriliyor<\/a>. Truva At\u0131 a\u011f\u0131rl\u0131kl\u0131 olarak Google Play \u00fcst\u00fcnden da\u011f\u0131t\u0131l\u0131yor, para ise i\u00e7eri\u011fe eri\u015fim i\u00e7in istenen \u00f6deme bilgileri sayesinde do\u011frudan banka kart\u0131ndan \u00e7ekiliyor.<\/p>\n

Doland\u0131r\u0131c\u0131lar\u0131n a\u011f\u0131na d\u00fc\u015fmemenin yollar\u0131<\/h2>\n

\u0130stenmeyen bir \u00fccretli aboneli\u011fin nas\u0131l iptal edilebilece\u011fini bulmak \u00e7ok zor olabiliyor. Dolay\u0131s\u0131yla, her zamanki gibi bu durumda da tedbir tedaviden daha iyi bir yol. Abonelik Truva Atlar\u0131ndan korunmak i\u00e7in \u015funlar\u0131 \u00f6neriyoruz:<\/p>\n