Hindistan ve Asya’nın çeşitli bölgelerinde, hükümet ve bankacılık uygulamaları kılığında yayılan dropper uygulamalar, artık sadece bankacılık truva atları değil; SMS hırsızları ve casus yazılımlar da teslim ediyor. Hollandalı mobil güvenlik firması ThreatFabric’in raporuna göre, Google’ın Singapur, Tayland, Brezilya ve Hindistan gibi pazarlarda pilot olarak başlattığı güvenlik önlemleri, riskli izinlerin talep edilmesini engelleyerek dropperların davranışlarını değiştirdi.

Google Play Protect ve Pilot Programının Etkisi

Google Play Protect’in savunmaları, özellikle pilot program kapsamında, riskli uygulamaların çalışmasını engellemede daha etkili hale geldi. Ancak saldırganlar, temel kötü amaçlı yazılımları dropper içine kapsülleyerek bu kontrollerden kaçabiliyor ve yükleri sonradan değiştirme esnekliğine sahip oluyor. Bu yöntemle, dropperlar yüksek riskli izinler talep etmeyip, sadece pilot programın aktif olduğu bölgelerde zararsız bir güncelleme ekranı gösteriyor. Kullanıcı güncelleme butonuna bastığında ise gerçek kötü amaçlı yük harici sunucudan indiriliyor ve gerekli izinler talep ediliyor.

Öne Çıkan Dropper Varyantları ve Teslim Ettikleri Yükler

RewardDropMiner gibi dropperlar, casus yazılım yüklerinin yanı sıra uzaktan etkinleştirilebilen Monero madencisi içeriyordu; ancak son varyantlarda madenci işlevi kaldırıldı. Hindistan’daki kullanıcıları hedef alan bazı kötü amaçlı uygulamalar arasında PM YOJANA 2025, RTO Challan, SBI Online ve Axis Card yer alıyor. Ayrıca SecuriDropper, Zombinder, BrokewellDropper, HiddenCatDropper ve TiramisuDropper gibi diğer varyantlar da Play Protect ve Pilot Program taramalarından kaçınıyor.

Google’ın Yanıtı ve Sürekli Gelişen Koruma Mekanizmaları

Google, bu teknikleri kullanan uygulamaların Play Store’da bulunmadığını belirterek, Play Protect’in tehditlere karşı otomatik kontrollerle kullanıcıları koruduğunu açıkladı. Şirket, kötü amaçlı yazılım sürümlerine karşı korumanın zaten mevcut olduğunu ve korumalarını sürekli geliştirdiklerini vurguladı.

Yeni Kampanyalar ve Artan Tehditler

Bitdefender Labs, Facebook’ta kötü amaçlı reklamlar kullanarak Android için TradingView uygulamasının ücretsiz premium sürümünü dağıtan Brokewell bankacılık truva atının yeni kampanyasına dikkat çekti. 22 Temmuz 2025’ten itibaren Avrupa Birliği’nde on binlerce kullanıcıya ulaşan en az 75 kötü amaçlı reklam tespit edildi. Bu operasyon, Windows masaüstü bilgisayarları hedef alan daha geniş bir kötü reklam kampanyasının parçası olarak, finansal ve kripto para uygulamalarına yönelik saldırıların mobil versiyonunu oluşturuyor.

Siber suçluların kullanıcı davranışlarına uyum sağlamak için taktiklerini sürekli geliştirdiği bu ortamda, mobil kullanıcıların güvenliği için güncel tehditler ve koruma yöntemlerinin takip edilmesi kritik önem taşıyor.