{"id":14371,"date":"2026-03-18T18:35:41","date_gmt":"2026-03-18T15:35:41","guid":{"rendered":"https:\/\/www.kaspersky.com.tr\/blog\/?p=14371"},"modified":"2026-03-18T18:35:41","modified_gmt":"2026-03-18T15:35:41","slug":"beatbanker-btmob-android-malware-disguised-starlink-inss-reembolso","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.tr\/blog\/beatbanker-btmob-android-malware-disguised-starlink-inss-reembolso\/14371\/","title":{"rendered":"Devlet hizmetleri ve Starlink uygulamalar\u0131 k\u0131l\u0131\u011f\u0131na giren Android truva at\u0131"},"content":{"rendered":"

Android k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m geli\u015ftiricileri, k\u00f6t\u00fc niyetli hedeflerine ula\u015fmak i\u00e7in bir dizi zorlu\u011fun \u00fcstesinden gelmek zorundad\u0131r: kullan\u0131c\u0131lar\u0131 kand\u0131rarak ak\u0131ll\u0131 telefonlar\u0131na s\u0131zmak, g\u00fcvenlik yaz\u0131l\u0131mlar\u0131ndan ka\u00e7mak, kurbanlar\u0131 \u00e7e\u015fitli sistem izinlerini vermeye ikna etmek, kaynak t\u00fcketen uygulamalar\u0131 sonland\u0131ran yerle\u015fik pil optimizasyon ara\u00e7lar\u0131ndan ka\u00e7\u0131nmak ve t\u00fcm bunlardan sonra, k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131mlar\u0131n\u0131n ger\u00e7ekten k\u00e2r getirmesini sa\u011flamak. Uzmanlar\u0131m\u0131z taraf\u0131ndan k\u0131sa s\u00fcre \u00f6nce ortaya \u00e7\u0131kar\u0131lan Android\u2011 tabanl\u0131 bir k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m sald\u0131r\u0131 kampanyas\u0131 olan BeatBanker\u2019\u0131n yarat\u0131c\u0131lar\u0131, bu ad\u0131mlar\u0131n her biri i\u00e7in yeni bir y\u00f6ntem geli\u015ftirmi\u015f. Sald\u0131r\u0131 (\u015fimdilik) Brezilyal\u0131 kullan\u0131c\u0131lar\u0131 hedef al\u0131yor, ancak geli\u015ftiricilerin hedefleri onlar\u0131 neredeyse kesin olarak uluslararas\u0131 alana yay\u0131lmaya itecektir; bu nedenle tetikte olmak ve sald\u0131rgan\u0131n kulland\u0131\u011f\u0131 y\u00f6ntemleri incelemek faydal\u0131 olacakt\u0131r. Bu k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m\u0131n kapsaml\u0131 teknik analizini Securelist\u2019te<\/a> bulabilirsiniz.<\/p>\n

BeatBanker bir ak\u0131ll\u0131 telefona nas\u0131l s\u0131zar?<\/h2>\n

Bu k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m, Google Play Store\u2019u taklit eden \u00f6zel olarak haz\u0131rlanm\u0131\u015f kimlik av\u0131 sayfalar\u0131 arac\u0131l\u0131\u011f\u0131yla yay\u0131l\u0131yor. Resmi uygulama ma\u011fazas\u0131yla kolayca kar\u0131\u015ft\u0131r\u0131labilecek bir sayfa, kullan\u0131c\u0131lar\u0131 g\u00f6r\u00fcn\u00fc\u015fte yararl\u0131 bir uygulamay\u0131 indirmeye davet ediyor. Bir sald\u0131r\u0131 kampanyas\u0131nda bu truva at\u0131, Brezilya h\u00fck\u00fcmetinin hizmet uygulamas\u0131 olan INSS Reembolso k\u0131l\u0131\u011f\u0131na girmi\u015f; bir di\u011ferinde ise Starlink uygulamas\u0131 gibi g\u00f6r\u00fcnm\u00fc\u015ft\u00fc.<\/p>\n

\"cupomgratisfood{.}shop<\/a>

cupomgratisfood{.}shop adl\u0131 k\u00f6t\u00fc ama\u00e7l\u0131 site, bir uygulama ma\u011fazas\u0131n\u0131 taklit etme konusunda olduk\u00e7a ba\u015far\u0131l\u0131. Sahte INSS Reembolso\u2019nun neden tam da \u00fc\u00e7 kez ortaya \u00e7\u0131kt\u0131\u011f\u0131 belli de\u011fil. Daha emin olmak i\u00e7in, belki de?!<\/p><\/div>\n

Y\u00fckleme i\u015flemi, tek seferde \u00e7ok fazla izin talep etmemek ve kurban\u0131n dikkatini daha da gev\u015fetmek amac\u0131yla birka\u00e7 a\u015famada ger\u00e7ekle\u015ftirilir. \u0130lk uygulama indirilip ba\u015flat\u0131ld\u0131ktan sonra, yine Google Play\u2019e benzeyen bir arabirim g\u00f6r\u00fcnt\u00fclenir ve bu arabirim, tuzak uygulama i\u00e7in bir g\u00fcncelleme sim\u00fclasyonu ger\u00e7ekle\u015ftirir; bu s\u00fcre\u00e7te kullan\u0131c\u0131dan uygulama y\u00fckleme izni talep edilir, ki bu ba\u011flamda ola\u011fan d\u0131\u015f\u0131 bir durum gibi g\u00f6r\u00fcnmez. Bu izni verirseniz, k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m ak\u0131ll\u0131 telefonunuza ek zararl\u0131 mod\u00fcller indirir.<\/p>\n

\"Y\u00fckleme<\/a>

Y\u00fckleme i\u015fleminden sonra, bu truva at\u0131, uygulama y\u00fckleme izni talep ederek Google Play \u00fczerinden sahte bir uygulama g\u00fcncellemesi gibi davran\u0131rken, bu s\u00fcre\u00e7te ek zararl\u0131 mod\u00fclleri indirir<\/p><\/div>\n

Truva at\u0131n\u0131n t\u00fcm bile\u015fenleri \u015fifrelenmi\u015ftir. \u015eifreyi \u00e7\u00f6zmeden ve enfeksiyonun sonraki a\u015famalar\u0131na ge\u00e7meden \u00f6nce, ger\u00e7ek bir ak\u0131ll\u0131 telefonda ve hedef \u00fclkede olup olmad\u0131\u011f\u0131n\u0131 kontrol eder. BeatBanker, herhangi bir tutars\u0131zl\u0131k tespit etti\u011finde veya em\u00fclasyon ya da analiz ortamlar\u0131nda \u00e7al\u0131\u015ft\u0131\u011f\u0131n\u0131 alg\u0131lad\u0131\u011f\u0131nda kendi i\u015fleyi\u015fini derhal sonland\u0131r\u0131r. Bu durum, k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m\u0131n dinamik analizini zorla\u015ft\u0131rmaktad\u0131r. Bu arada, sahte g\u00fcncelleme indiricisi, g\u00fcvenlik yaz\u0131l\u0131mlar\u0131 taraf\u0131ndan tespit edilebilecek dosyalar\u0131n ak\u0131ll\u0131 telefonda olu\u015fturulmas\u0131n\u0131 \u00f6nlemek i\u00e7in mod\u00fclleri do\u011frudan RAM\u2019e yerle\u015ftiriyor.<\/p>\n

Bu hilelerin hi\u00e7biri yeni de\u011fil ve masa\u00fcst\u00fc bilgisayarlar i\u00e7in geli\u015ftirilen karma\u015f\u0131k k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131mlarda s\u0131kl\u0131kla kullan\u0131l\u0131yor. Ancak ak\u0131ll\u0131 telefonlarda bu t\u00fcr bir geli\u015fmi\u015flik h\u00e2l\u00e2 nadir g\u00f6r\u00fcl\u00fcr ve her g\u00fcvenlik arac\u0131 bunu tespit edemez. Kaspersky \u00fcr\u00fcnlerini<\/a>\u00a0kullananlar bu tehditten korunmaktad\u0131r.<\/p>\n

Ses dosyas\u0131n\u0131 bir kalkan olarak kullanmak<\/h2>\n

BeatBanker, ak\u0131ll\u0131 telefona y\u00fcklendikten sonra Monero kripto para madencili\u011fi i\u00e7in bir mod\u00fcl indirir. Yazarlar, ak\u0131ll\u0131 telefonun agresif pil optimizasyon sistemlerinin madenci uygulamas\u0131n\u0131 kapatabilece\u011finden \u00e7ok endi\u015felendikleri i\u00e7in bir hile buldular: her zaman neredeyse duyulmayacak kadar d\u00fc\u015f\u00fck sesli bir ses \u00e7almak. G\u00fc\u00e7 t\u00fcketimi kontrol sistemleri, arka plandaki m\u00fczik veya podcast oynat\u0131c\u0131lar\u0131n\u0131n kesilmesini \u00f6nlemek i\u00e7in genellikle ses veya video oynatmakta olan uygulamalar\u0131 bu k\u0131s\u0131tlamadan muaf tutar. Bu \u015fekilde, k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m kesintisiz olarak \u00e7al\u0131\u015fabilir. Ayr\u0131ca, durum \u00e7ubu\u011funda kal\u0131c\u0131 bir bildirim g\u00f6stererek, kullan\u0131c\u0131dan sistem g\u00fcncellemesi i\u00e7in telefonun a\u00e7\u0131k kalmas\u0131n\u0131 ister.<\/p>\n

\"Starlink<\/a>

Starlink uygulamas\u0131 k\u0131l\u0131\u011f\u0131na girmi\u015f ba\u015fka bir k\u00f6t\u00fc ama\u00e7l\u0131 uygulamadan gelen kal\u0131c\u0131 sistem g\u00fcncelleme bildiriminin \u00f6rne\u011fi<\/p><\/div>\n

Google \u00fczerinden kontrol<\/h2>\n

Yazarlar, bu truva at\u0131n\u0131 y\u00f6netmek i\u00e7in Google\u2019\u0131n yasal Firebase Cloud Messaging (FCM) hizmetini kullan\u0131yor; bu hizmet, ak\u0131ll\u0131 telefonlardan bildirim almak ve veri g\u00f6ndermek i\u00e7in kullan\u0131lan bir sistemdir. Bu \u00f6zellik t\u00fcm uygulamalarda kullan\u0131labilir ve veri g\u00f6nderip almak i\u00e7in en yayg\u0131n y\u00f6ntemdir. FCM sayesinde sald\u0131rganlar, cihaz\u0131n durumunu izleyebilir ve gerekti\u011finde ayarlar\u0131n\u0131 de\u011fi\u015ftirebilir.<\/p>\n

K\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m y\u00fcklendikten sonra bir s\u00fcre hi\u00e7bir \u015fey olmaz: sald\u0131rganlar zaman ge\u00e7mesini bekler. Ard\u0131ndan i\u015flemciyi tam kapasiteye \u00e7\u0131kar\u0131rlar, ancak telefon a\u015f\u0131r\u0131 \u0131s\u0131n\u0131rsa, pil seviyesi d\u00fc\u015fmeye ba\u015flarsa ya da kullan\u0131c\u0131 cihaz\u0131 kullan\u0131yorsa, i\u015flemciyi yava\u015flatmaya \u00f6zen g\u00f6sterirler. T\u00fcm bunlar FCM arac\u0131l\u0131\u011f\u0131yla ger\u00e7ekle\u015ftirilir.<\/p>\n

H\u0131rs\u0131zl\u0131k ve casusluk<\/h2>\n

Kripto madenci program\u0131n\u0131n yan\u0131 s\u0131ra, BeatBanker kullan\u0131c\u0131y\u0131 g\u00f6zetlemek ve uygun bir anda doland\u0131rmak i\u00e7in ek mod\u00fcller y\u00fckler. Casus yaz\u0131l\u0131m mod\u00fcl\u00fc, Eri\u015filebilirlik Hizmetleri iznini talep eder ve bu izin verilirse, ak\u0131ll\u0131 telefonda ger\u00e7ekle\u015fen her \u015feyi izlemeye ba\u015flar.<\/p>\n

Kullan\u0131c\u0131 USDT g\u00f6ndermek i\u00e7in Binance veya Trust Wallet uygulamas\u0131n\u0131 a\u00e7arsa, k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m c\u00fczdan arabiriminin \u00fczerine sahte bir ekran yerle\u015ftirerek al\u0131c\u0131n\u0131n adresini kendi adresiyle de\u011fi\u015ftirir. T\u00fcm paslar forvetlere gidiyor.<\/p>\n

Bu truva at\u0131, geli\u015fmi\u015f bir uzaktan kumanda sistemine sahiptir ve bir\u00e7ok ba\u015fka komutu da yerine getirebilir:<\/p>\n