2025 aktif en tehlikeli malwareler (android)

Bu yazıda 2025 yılı itibarıyla Android cihazları hedefleyen başlıca kötü amaçlı yazılımlar incelenmiştir. Her birinde adı ve ilk keşfedildiği tarih, bulaşma yöntemi, teknik işleyişi, hedeflediği kullanıcı kitlesi, tespit zorluğu ve etkileri ele alınmaktadır. Örnek kaynak ve analiz blogu bağlantıları belirtilmiştir.



Herodotus, Eylül 2025’te Dark Web forumlarında ilk kez görülen gelişmiş bir Android bankacılık Truva atıdır. SMS phishing (Sahte SMS) veya sosyal mühendislik yoluyla Android cihazlara bulaşır. Zararlı bir yükleyici uygulaması (dropper), görünüşte Google Chrome uygulamasıymış gibi davranır (“com.cd3.app”). Kurulumdan sonra kullanıcıdan Android’in Erişilebilirlik (Accessibility) izinlerini etkinleştirmesi istenir. Onaylandığında, Herodotus overlay tekniğiyle ekran üzerinde sahte giriş formları gösterir ve 2FA (tek kullanımlık kod) gibi bilgileri çalar. C2 sunucusuna cihazdaki yüklü uygulamaların listesini yollar ve hedef uygulama açıldığında bot ekranlarıyla verileri toplar. Yeni özelliği, uzaktan kumandaya gönderilen metinleri insan benzeri rastgele aralıklarla (0.3–3 saniye) klavyeye basıyormuş gibi girerek davranışsal tespitleri atlatmaya çalışmasıdır. Herodotus başta İtalya ve Brezilya bankacılık kullanıcıları için aktif olduğundan, mimarisi dünya genelindeki finansal uygulamaları hedefleyecek şekilde tasarlanmıştır. Google’a göre Play Protect açık olan Android cihazlar, bilinen versiyonlara karşı otomatik korunur; cihaz Play Servis’e sahipse Herodotus gibi uygulamalar için uyarı verebilir veya engelleyebilir. Yine de Herodotus’un insan davranışı taklidi, tespitini zorlaştırır. Başlıca etkileri arasında hesap ele geçirme (DTO saldırısı), şifre ve 2FA kod hırsızlığı ile SMS/çağrı yönlendirme sayılabilir.

(Kaynak: ThreatFabric, The Hacker News)



GhostGrab, Ekim 2025’te keşfedilen çok işlevli bir Android banker + kripto madencisi kötü amaçlı yazılımdır. Başlangıçta Phishing web siteleri (örneğin “kychelp[.]live” gibi sahte banka siteleri) üzerinden “BOM FIXED DEPOSIT.apk” adlı bir dropper uygulama ile bulaşır. Bu uygulama, Play Store tarzı bir “güncelleme” arayüzü göstererek kurulum izni ister ve gizlice arka planda başka modüller indirir. GhostGrab’ın ana yükü, aktif olarak bir Monero kripto madenciliği modülünü devreye sokar ve cihaz kaynaklarını (işlemci, batarya) sömürür. Aynı anda kapsamlı banka kimlik bilgisi hırsızlığı yapar: Android WebView bileşeni üzerinden yerleşik sahte KYC formlarıyla kredi kartı, banka girişi, ATM PIN’i gibi hassas verileri alır; alınan SMS’leri (hesap uyarıları, OTP kodları vb.) ele geçirir. Çok sayıda Android izni (READ_SMS, SEND_SMS, CALL_PHONE, NOTIFICATION_LISTENER vb.) kötüye kullanılarak gelen SMS’ler okunur ve istenirse tüm SMS’ler belirli numaralara yönlendirilir. Uygulama icon’u gizlenir ve ön plan servisleriyle dayanıklılık sağlanır. C2 iletişimi için Firebase kullanılır (hard-coded alan adı “uasecurity[.]org” vb.). GhostGrab, genellikle Hindistan’daki banka müşterilerini hedefler; özellikle Aadhaar kimliği gibi yerel bilgiler toplar. Ayrıca arka planda kripto madenciliği yaptığı için cihaz performansı ve bataryayı zayıflatır. Google Play Protect gibi sistemler bu dropper uygulamaları tespit edebilir, ancak GhostGrab’ın gizli modüllerinin tespit oranı düşük olabilir.

(Kaynak: CYFIRMA Teknik Raporu ve CyberPress özet)

Anatsa, 2020’de ortaya çıkan köklü bir Android bankacılık Truva atıdır. 2025 yazında Kuzey Amerika’daki kullanıcıları hedefleyen yeni bir kampanya saptanmıştır. Bulaşma yöntemi, öncelikle Google Play Store’da yayılan meşru uygulamalar (örn. PDF okuyucu gibi) içinde saklı bir yükleyicidir. Örneğin “Document Viewer – File Reader” adlı uygulama kullanıcıya sunulmuş, binlerce indirmeden sonra güncelleme yoluyla Anatsa kodu gizlice eklenmiştir. Teknik olarak Anatsa, Android’in Erişilebilirlik servisini kullanarak ekran üzerinde sahte oturum açma pencereleri gösterir, tuş kaydı yapar ve hedef bankacılık uygulamaları açıldığında kullanıcı bilgilerini yakalar. Operatöre bağlı olarak, harici bir sunucudan hedef bankalar listesi çekilir ve “Device Takeover” (uzaktan kontrol) ile doğrudan para transferi bile gerçekleştirilebilir. Anatsa ABD ve Kanada’daki banka uygulamaları odaklı çalışır. Tespit zorluğu nispeten yüksektir; saldırı döngüleri aralıklı gerçekleştirildiğinden bulaşma uzun süre fark edilmeyebilir. Google Play Protect, kötü amaçlı uygulamaları Play’den sildikten sonra cihazı korur ve saldırgan uygulamaları engeller. Yaygın etkileri arasında banka hesaplarına yetkisiz erişim, kredi kartı verisi hırsızlığı ve DTO tabanlı dolandırıcılık sayılabilir.

(Kaynak: ThreatFabric raporu ve Hacker News)



Triada, ilk keşfi 2016 civarı yapılan gömülü (preinstalled) bir Android geri kapısıdır. Daha sonra gelişerek çeşitli modüllerle Android sistemine nüfuz eden bir çok amaçlı trojandır. Özellikle Çin menşeli sahte telefonlarda firmware içine gömülü olarak bulunur. Triada alt tarafta Zygote işlemini enfekte ederek her uygulamaya arka kapı açar. Daha sonraki varyantları WhatsApp, Telegram, TikTok gibi popüler uygulamalar içinde özel modüller yükleyerek (mesajları okuma, cookie çalma, bağlantı değiştirme) çalışır. Aynı zamanda kripto cüzdan uygulamalarına kurbanın işlemlerini değiştirerek müdahale etme yeteneği vardır (örneğin transfer adresini yönlendirir). Başlangıçta mobil reklam modülleri çalıştırsa da, güncel sürümleri finansal dolandırıcılık amacıyla gelişmiştir. Tespit zorluğu yüksektir: Kök erişimini aşırı kullanmasa da doğrudan sistem çekirdeğine gömülü olduğu için çoğu güvenlik ürünü taramalarında fark edilmesi güçtür. Yine de Kaspersky ürünleri Triada’yı Backdoor.AndroidOS.Triada gibi isimlerle tespit edebilmektedir. Etkileri arasında kripto hesaplarının yönetimi, bağlantı yönlendirme ve SMS okuma ile kullanıcı gizliliğinin ihlali sayılabilir.

(Kaynak: Kaspersky raporları)