Araştırmalar, uygulamanın kurbanların cihazlarını ele geçirip banka uygulamaları üzerinden izinsiz işlem yapabilecek yeteneklere sahip olduğunu ortaya koyuyor.
NASIL İŞLİYOR? DÜŞÜK PROFİLLİ DAMARDAN TAM KONTROLE
İncelemelere göre uygulama, kullanıcılara ücretsiz dizi-film ve spor yayını sözü vererek cihazlara yükleniyor; ancak yükleme tamamlandığında arka planda gerçek zararlı paket —Klopatra (Klopatra/Klopatra olarak raporlanmış) adlı trojan— devreye giriyor. Dropper (yayıcı) aşaması, kurbanı Android ayarlarından "bilinmeyen kaynaklardan uygulama yükleme" yetkisi vermeye ikna ederek ilk kapıyı aralıyor; ardından esas kötü yazılım sessizce kuruluyor.
EKLİ YETKİLERLE 'EKRAN OKUMA' VE UZAKTAN İŞLEM
Klopatra, özellikle Android'in erişilebilirlik servisleri (Accessibility Services) yetkilerini kötüye kullanıyor: ekran üzerindeki metinleri okuyabiliyor, tuş vuruşlarını kaydedebiliyor ve dokunma/jerk simülasyonu ile uygulamalar üzerinde işlem yapabiliyor. Bu sayede zararlı yazılım, banka uygulamalarını açıp görünmez şekilde para transferi başlatabilecek veya kripto cüzdanları boşaltabilecek işlemleri gerçekleştirebiliyor.
ÇOK SAYIDA TELEFON ETKİLENDİ
Cleafy’nin teknik analizine göre operasyon, Mart 2025'te izlenen örneklerden itibaren hızlı bir geliştirme döngüsüyle ilerledi ve Eylül 2025 raporuna göre iki ana botnet aracılığıyla 3 binden fazla Android cihazın etkilendiği tespit edildi; kampanyanın özellikle İspanya ve İtalya'da yoğunlaştığı bildirildi. Uzmanlar, Klopatra'nın aktif olarak geliştirildiğini ve farklı sürümlerle yeteneklerini artırdığını vurguladı.
TÜRKÇE KOD İZLERİNE RASTLANDI
Analizde, zararlı yazılımın içindeki fonksiyon isimleri ve operatör notlarında Türkçe izler bulunduğu; örneğin bazı kod parçalarında insan tarafından bırakılmış gibi görünen Türkçe fonksiyon adları tespit edildi. Bu bulgular, hareketin Türkçe konuşan bir operasyon tarafından geliştirildiğine işaret eden güçlü teknik deliller olarak değerlendirildi; Cleafy, bunun altyapı verileri ve operatöre ait notlarla da desteklendiğini raporladı. Ancak bu tür dilsel izlerin doğrudan ülke bağlantısı yerine operatörün konuştuğu dili gösterebileceği, adli izleme ve hukuki soruşturmalarla kesin sonucun konulacağı uzmanlar tarafından hatırlatılıyor.
NE YAPMALIYIZ?
Araştırmalar, bu tür tehditlere karşı kullanıcıların uygulamaları yalnızca güvenilir kaynaklardan indirmesi, Android ayarlarında bilinmeyen kaynaklar iznini kapalı tutması, Play Protect ve benzeri güvenlik taramalarını etkinleştirmesi; ayrıca erişilebilirlik izinlerini yalnızca gerçekten ihtiyaç duyulan uygulamalara vermemesi gerektiğini vurguluyor. Finansal kurumlar içinse cihaz davranışına dayalı anomali tespiti ve işlemlere ek doğrulama adımları uygulanması öneriliyor.
UZMANLAR UYARIYOR
Klopatra örneği, mobil tehdit aktörlerinin daha sofistike koruma/obfuscation araçları (ör. Virbox) kullanarak tespitten kaçındığını ve çekirdek işlevlerin native koda taşınmasıyla analiz zorluğunu artırdığını gösteriyor. Siber güvenlik çevreleri, bu tür profesyonelleşmenin mobil bankacılık dolandırıcılıklarını daha yıkıcı hale getirebileceği uyarısında bulunuyor.
