{"id":13304,"date":"2025-05-05T12:58:59","date_gmt":"2025-05-05T09:58:59","guid":{"rendered":"https:\/\/www.kaspersky.com.tr\/blog\/?p=13304"},"modified":"2025-05-05T12:58:59","modified_gmt":"2025-05-05T09:58:59","slug":"trojan-in-fake-smartphones","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.tr\/blog\/trojan-in-fake-smartphones\/13304\/","title":{"rendered":"Sahte Android ak\u0131ll\u0131 telefonlara yerle\u015ftirilmi\u015f Truva at\u0131"},"content":{"rendered":"

S\u00fcpermarketteki tan\u0131d\u0131k \u00f6deme rit\u00fceli: Her \u015fey tarand\u0131ktan sonra umutlu bir g\u00fcl\u00fcmsemeyle sunulan teklif: \u201cKampanyal\u0131 \u00fcr\u00fcnlerimizden ister misiniz? Bu \u00e7ok kaliteli bir \u00e7ikolata ve bu kadar uygun fiyata bulmak imkans\u0131zd\u0131r.\u201d \u015eansl\u0131ysan\u0131z, harika bir fiyata lezzetli bir bonus al\u0131rs\u0131n\u0131z. Ancak \u00e7o\u011fu zaman size sat\u0131\u015f\u0131 iyi olmayan bir \u015fey satmaya \u00e7al\u0131\u015f\u0131rlar; ya son kullanma tarihi ge\u00e7mek \u00fczeredir ya da ba\u015fka bir gizli kusuru vard\u0131r.<\/p>\n

\u015eimdi, o \u00e7ikolatay\u0131 reddetti\u011finizi ama yine de gizlice \u00e7antan\u0131za ya da daha da k\u00f6t\u00fcs\u00fc cebinize at\u0131ld\u0131\u011f\u0131n\u0131, orada eriyip k\u0131yafetlerinizi ve g\u00fcn\u00fcn\u00fcz\u00fc mahvetti\u011fini d\u00fc\u015f\u00fcn\u00fcn. Benzer bir \u015fey, \u00e7evrimi\u00e7i pazarlardan pop\u00fcler ak\u0131ll\u0131 telefon markalar\u0131n\u0131n taklitlerini sat\u0131n alanlar\u0131n ba\u015f\u0131na geldi. Hay\u0131r, \u00e7ikolata almad\u0131lar. Triada Truva at\u0131n\u0131n ayg\u0131t yaz\u0131l\u0131m\u0131na g\u00f6m\u00fcl\u00fc oldu\u011fu yepyeni bir ak\u0131ll\u0131 telefon al\u0131p gittiler. Bu erimi\u015f \u00e7ikolatadan \u00e7ok daha k\u00f6t\u00fcd\u00fcr. Kripto bakiyeleri, Telegram, WhatsApp ve sosyal medya hesaplar\u0131yla birlikte, g\u00f6z a\u00e7\u0131p kapayana kadar yok olabilir. SMS\u2019ler ve \u00e7ok daha fazlas\u0131 \u00e7al\u0131nabilir.<\/p>\n

Triada m\u0131? Hangi Triada?<\/h2>\n

Kaspersky olarak ilk kez 2016 y\u0131l\u0131nda ke\u015ffetti\u011fimiz ve ayr\u0131nt\u0131l\u0131 olarak a\u00e7\u0131klad\u0131\u011f\u0131m\u0131z<\/a> Truva at\u0131na verdi\u011fimiz isim bu. Bu mobil k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m, yaln\u0131zca RAM\u2019de saklan\u0131rken bir cihazda \u00e7al\u0131\u015fan hemen hemen her i\u015fleme s\u0131zar.<\/p>\n

Triada\u2019n\u0131n ortaya \u00e7\u0131k\u0131\u015f\u0131, Android\u2019i hedef alan mobil tehditlerin evriminde yeni bir d\u00f6nemin habercisi oldu. Triada\u2019dan \u00f6nce, Truva atlar\u0131 nispeten zarars\u0131zd\u0131, \u00e7o\u011funlukla reklam g\u00f6r\u00fcnt\u00fcler ve di\u011fer Truva atlar\u0131n\u0131 indirirdi. Bu yeni tehdit, art\u0131k hi\u00e7bir \u015feyin eskisi gibi olmayaca\u011f\u0131n\u0131 g\u00f6sterdi.<\/p>\n

Zamanla Android geli\u015ftiricileri Triada\u2019n\u0131n ilk s\u00fcr\u00fcmlerinin yararland\u0131\u011f\u0131 g\u00fcvenlik a\u00e7\u0131klar\u0131n\u0131 d\u00fczeltti. Son Android s\u00fcr\u00fcmleri, k\u00f6k ayr\u0131cal\u0131klar\u0131na sahip kullan\u0131c\u0131lar\u0131n bile sistem b\u00f6l\u00fcmlerini d\u00fczenlemesini k\u0131s\u0131tlad\u0131. Peki bu, siber su\u00e7lular\u0131 durdurdu mu? Sizce?!..<\/p>\n

Mart 2025\u2019e geldi\u011fimizde Triada\u2019n\u0131n yeni k\u0131s\u0131tlamalardan yararlanan uyarlanm\u0131\u015f bir versiyonunu ke\u015ffettik. Tehdit akt\u00f6r\u00fc, ak\u0131ll\u0131 telefonlar sat\u0131lmadan \u00f6nce bile ayg\u0131t yaz\u0131l\u0131m\u0131na bula\u015fm\u0131\u015f oluyor. Sistem b\u00f6l\u00fcmlerine \u00f6nceden y\u00fcklenmi\u015f olan k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m\u0131n kald\u0131r\u0131lmas\u0131 neredeyse imkans\u0131zd\u0131r.<\/p>\n

Bu yeni s\u00fcr\u00fcm neler yapabiliyor?<\/h2>\n

Android g\u00fcvenlik \u00e7\u00f6z\u00fcm\u00fcm\u00fcz<\/a> Triada\u2019n\u0131n yeni s\u00fcr\u00fcm\u00fcn\u00fc Backdoor.AndroidOS.Triada.z<\/strong> olarak alg\u0131l\u0131yor. Bu yeni s\u00fcr\u00fcm, \u00e7evrimi\u00e7i pazarlardan temin edilebilen sahte Android ak\u0131ll\u0131 telefonlar\u0131n ayg\u0131t yaz\u0131l\u0131m\u0131na yerle\u015ftirilmi\u015ftir. Cihaz \u00fczerinde \u00e7al\u0131\u015fan herhangi <\/em>bir uygulamaya sald\u0131rabilir. Bu, Truva at\u0131na neredeyse s\u0131n\u0131rs\u0131z yetenekler kazand\u0131r\u0131r. SMS ve aramalar\u0131 kontrol edebilir, kripto paralar\u0131 \u00e7alabilir, ba\u015fka uygulamalar indirip \u00e7al\u0131\u015ft\u0131rabilir, taray\u0131c\u0131lardaki ba\u011flant\u0131lar\u0131 de\u011fi\u015ftirebilir, sohbet uygulamalar\u0131nda sizin ad\u0131n\u0131za gizlice mesaj g\u00f6nderebilir ve sosyal medya hesaplar\u0131n\u0131 ele ge\u00e7irebilir.<\/p>\n

Triada\u2019n\u0131n bir kopyas\u0131, vir\u00fcs bula\u015fm\u0131\u015f bir cihazda ba\u015flat\u0131lan her uygulamaya s\u0131zar. Bunun yan\u0131 s\u0131ra, Truva at\u0131 pop\u00fcler uygulamalar\u0131 hedef alan \u00f6zel mod\u00fcllere de sahiptir. Kullan\u0131c\u0131 Telegram veya TikTok gibi yasal bir uygulamay\u0131 indirir indirmez, Truva at\u0131 kendisini bu uygulamaya yerle\u015ftirerek zarar vermeye ba\u015flar.<\/p>\n

Telegram: <\/strong>Triada, Telegram\u2019\u0131 tehlikeye atmak i\u00e7in iki mod\u00fcl indirir. \u0130lki g\u00fcnde bir kez k\u00f6t\u00fc niyetli faaliyet ba\u015flatarak bir komuta ve kontrol (C2) sunucusuna ba\u011flan\u0131r. Kurban\u0131n telefon numaras\u0131n\u0131, eri\u015fim belirteci de dahil olmak \u00fczere t\u00fcm kimlik do\u011frulama verileriyle birlikte su\u00e7lulara g\u00f6nderir. \u0130kinci mod\u00fcl t\u00fcm mesajlar\u0131 filtreler, bir botla etkile\u015fime girer (ara\u015ft\u0131rmam\u0131z s\u0131ras\u0131nda mevcut de\u011fildi) ve yeni Telegram giri\u015fleriyle ilgili bildirimleri siler.<\/p>\n

Instagram:<\/strong> G\u00fcnde bir kez, Truva at\u0131 aktif oturum \u00e7erezlerini aramak ve verileri sald\u0131rganlara iletmek i\u00e7in k\u00f6t\u00fc ama\u00e7l\u0131 bir g\u00f6rev \u00e7al\u0131\u015ft\u0131r\u0131r. Bu dosyalar, su\u00e7lular\u0131n hesap \u00fczerinde tam kontrol sahibi olmalar\u0131na yard\u0131mc\u0131 olur.<\/p>\n

Taray\u0131c\u0131lar: <\/strong>Triada; Chrome, Opera ve Mozilla da dahil olmak \u00fczere bir\u00e7ok taray\u0131c\u0131 i\u00e7in tehdit te\u015fkil eder. Tam listeye bu Securelist makalesinden<\/a> ula\u015fabilirsiniz. Mod\u00fcl, TCP \u00fczerinden C2 sunucusuna ba\u011flan\u0131r ve \u015fimdilik taray\u0131c\u0131lardaki me\u015fru ba\u011flant\u0131lar\u0131 rastgele reklam sitelerine y\u00f6nlendirir. Ancak, Truva at\u0131 C2 sunucusundan y\u00f6nlendirme ba\u011flant\u0131lar\u0131n\u0131 indirdi\u011fi i\u00e7in, sald\u0131rganlar kullan\u0131c\u0131lar\u0131 istedikleri zaman kimlik av\u0131 sitelerine y\u00f6nlendirebilirler.<\/p>\n

WhatsApp:<\/strong> Yine, iki mod\u00fcl vard\u0131r. \u0130lki, aktif oturumla ilgili verileri her be\u015f dakikada bir C2 sunucusuna toplar ve g\u00f6nderir, b\u00f6ylece sald\u0131rganlar kurban\u0131n hesab\u0131na tam eri\u015fim elde eder. \u0130kincisi, mesaj g\u00f6nderme ve alma ile ilgili istemci i\u015flevlerini engeller. Bu sayede k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m, izlerini \u00f6rtmek i\u00e7in rastgele anl\u0131k mesajlar g\u00f6nderip silebilir.<\/p>\n

LINE:<\/strong> \u00d6zel Triada mod\u00fcl\u00fc, kimlik do\u011frulama verileri de (eri\u015fim belirteci) dahil olmak \u00fczere uygulama i\u00e7i verileri her 30 saniyede bir toplar ve C2 sunucusuna iletir. Bu durumda da, ba\u015fka bir ki\u015fi, kullan\u0131c\u0131n\u0131n hesab\u0131n\u0131n tam kontrol\u00fcn\u00fc \u00fcstlenir.<\/p>\n

Skype:<\/strong> Skype kullan\u0131mdan kald\u0131r\u0131lmak<\/a> \u00fczere olsa da, Triada hala onu enfekte etmek i\u00e7in bir mod\u00fcle sahiptir. Triada, kimlik do\u011frulama belirtecini elde etmek i\u00e7in \u00e7e\u015fitli y\u00f6ntemler kullan\u0131r ve ard\u0131ndan bunu C2 sunucusuna g\u00f6nderir.<\/p>\n

TikTok: <\/strong>Bu mod\u00fcl, dahili dizindeki \u00e7erez dosyalar\u0131ndan kurban\u0131n hesab\u0131 hakk\u0131nda bir\u00e7ok veri toplayabilir ve ayr\u0131ca TikTok API ile ileti\u015fim kurmak i\u00e7in gerekli verileri \u00e7\u0131karabilir.<\/p>\n

Facebook: <\/strong>Triada, bu uygulama i\u00e7in iki mod\u00fclle donat\u0131lm\u0131\u015ft\u0131r. Bunlardan biri kimlik do\u011frulama \u00e7erezlerini \u00e7alar, di\u011feri ise enfekte olmu\u015f cihazla ilgili bilgileri C2 sunucusuna g\u00f6nderir.<\/p>\n

Elbette, SMS ve aramalar i\u00e7in mod\u00fcller<\/strong> de mevcuttur. \u0130lk SMS mod\u00fcl\u00fc<\/strong>, k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m\u0131n gelen t\u00fcm mesajlar\u0131 filtrelemesine ve bunlardan kodlar\u0131 \u00e7\u0131karmas\u0131na, baz\u0131 mesajlara yan\u0131t vermesine (muhtemelen kurbanlar\u0131 \u00fccretli hizmetlere abone etmek i\u00e7in) ve C2 sunucusu taraf\u0131ndan talimat verildi\u011finde rastgele SMS mesajlar\u0131 g\u00f6ndermesine olanak tan\u0131r. \u0130kinci yard\u0131mc\u0131 mod\u00fcl, k\u0131sa kodlara (Premium SMS) mesaj g\u00f6ndermeden \u00f6nce kullan\u0131c\u0131 izni isteyen SMS Truva atlar\u0131na kar\u015f\u0131 yerle\u015fik Android korumas\u0131n\u0131 devre d\u0131\u015f\u0131 b\u0131rak\u0131r. Bu mesajlar, \u00fccretli abonelikleri onaylamak i\u00e7in kullan\u0131labilir.<\/p>\n

Arama mod\u00fcl\u00fc<\/strong> telefon uygulamas\u0131na entegre edilmi\u015ftir, ancak b\u00fcy\u00fck olas\u0131l\u0131kla hala geli\u015ftirme a\u015famas\u0131ndad\u0131r. Telefon numaras\u0131 sahtecili\u011fini k\u0131smen uygulad\u0131\u011f\u0131n\u0131 ke\u015ffettik; bunun yak\u0131nda tamamlanmas\u0131n\u0131 bekliyoruz.<\/p>\n

Ba\u015fka bir mod\u00fcl olan ters proxy<\/strong>, kurban\u0131n ak\u0131ll\u0131 telefonunu ters proxy sunucusuna d\u00f6n\u00fc\u015ft\u00fcrerek sald\u0131rganlar\u0131n, kurban ad\u0131na rastgele IP adreslerine eri\u015fmelerini sa\u011flar.<\/p>\n

Beklendi\u011fi gibi, Triada kripto para sahiplerini de hedef al\u0131r ve onlara \u00f6zel bir s\u00fcrpriz haz\u0131rlar: Bir k\u0131rp\u0131c\u0131<\/strong>. Truva at\u0131, kripto c\u00fczdan adresleri i\u00e7in panoyu izler ve sald\u0131rganlar\u0131n adreslerinden birini kendi adresiyle de\u011fi\u015ftirir. Bir kripto h\u0131rs\u0131z\u0131<\/strong>, kurban\u0131n faaliyetlerini analiz eder ve kripto para \u00e7ekme giri\u015fimi yap\u0131ld\u0131\u011f\u0131nda, kripto c\u00fczdan adreslerini m\u00fcmk\u00fcn olan her yerde sahte adreslerle de\u011fi\u015ftirir. Hatta uygulamalar\u0131n i\u00e7indeki d\u00fc\u011fme dokunma i\u015fleyicilerini engeller ve g\u00f6r\u00fcnt\u00fcleri sald\u0131rganlar\u0131n c\u00fczdan adreslerine ba\u011flant\u0131 veren QR kodlar\u0131yla de\u011fi\u015ftirir. Su\u00e7lular, bu ara\u00e7lar\u0131n yard\u0131m\u0131yla 13 Haziran 2024 tarihinden bu yana \u00e7e\u015fitli kripto para birimlerinde 264.000 ABD dolar\u0131ndan fazla para \u00e7almay\u0131 ba\u015fard\u0131lar.<\/p>\n

Triada\u2019n\u0131n t\u00fcm \u00f6zellikleri ve ayr\u0131nt\u0131l\u0131 teknik analizi i\u00e7in Securelist raporumuza<\/a> g\u00f6z atabilirsiniz.<\/p>\n

K\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m ak\u0131ll\u0131 telefonlara nas\u0131l s\u0131zar?<\/h2>\n

Bildi\u011fimiz t\u00fcm bula\u015fma vakalar\u0131nda, cihazdaki \u00fcr\u00fcn yaz\u0131l\u0131m\u0131 ad\u0131 resmi ad\u0131ndan tek bir harfle farkl\u0131yd\u0131. \u00d6rne\u011fin, resmi yaz\u0131l\u0131m TGPMIXM<\/strong> iken, vir\u00fcs bula\u015fm\u0131\u015f telefonlarda TGPMIXN<\/strong> vard\u0131. Kullan\u0131c\u0131lar\u0131n \u00e7evrimi\u00e7i ma\u011fazalardan sat\u0131n ald\u0131klar\u0131 sahte cihazlar hakk\u0131nda \u015fikayette bulunduklar\u0131 ilgin\u00e7 tart\u0131\u015fma forumlar\u0131 bulduk.<\/p>\n

Tedarik zincirinin bir a\u015famas\u0131nda g\u00fcvenlik ihlali ya\u015fand\u0131\u011f\u0131 ve ma\u011fazalar\u0131n Triada ile enfekte cihazlar\u0131 da\u011f\u0131tt\u0131klar\u0131ndan haberleri olmad\u0131\u011f\u0131 tahmin ediliyor. Bu arada, k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m\u0131n ak\u0131ll\u0131 telefonlara tam olarak ne zaman yerle\u015ftirildi\u011fini belirlemek neredeyse imkans\u0131z.<\/p>\n

Kendinizi siber su\u00e7lara kar\u015f\u0131 nas\u0131l korursunuz?<\/h2>\n

Truva at\u0131n\u0131n yeni s\u00fcr\u00fcm\u00fc sahte cihazlarda \u00f6nceden y\u00fcklenmi\u015f olarak bulundu. Bu nedenle, Triada enfeksiyonunu \u00f6nlemenin en iyi yolu, ak\u0131ll\u0131 telefonlar\u0131 yaln\u0131zca yetkili sat\u0131c\u0131lardan sat\u0131n almakt\u0131r. Telefonunuzun Triada (veya ba\u015fka bir Truva at\u0131) ile enfekte oldu\u011fundan \u015f\u00fcpheleniyorsan\u0131z, a\u015fa\u011f\u0131daki \u00f6nerilerimizi inceleyin.<\/p>\n