6 Android Zararlısı: Pix Ödemeleri, Bankacılık ve Kripto Cüzdanları Hedefte

Anasayfa » 6 Android Zararlısı: Pix Ödemeleri, Bankacılık ve Kripto Cüzdanları Hedefte
APT, Bankacılık Tehditleri, Mobil Güvenlik
Mart 15, 2026Mart 15, 2026Tarafından Cybernews.TR
0
6 Android Zararlısı: Pix Ödemeleri, Bankacılık ve Kripto Cüzdanları Hedefte

Android platformunda faaliyet gösteren altı farklı zararlı yazılım ailesi, finansal işlemler ve kripto para cüzdanlarını hedef alarak kullanıcıların varlıklarını tehdit ediyor. Bu zararlılar arasında PixRevolution, TaxiSpy RAT, BeatBanker, Mirax, Oblivion RAT ve SURXRAT bulunuyor. Özellikle Brezilya’nın Pix anlık ödeme sistemi, bu saldırıların odak noktası haline gelmiş durumda.

Saldırının Genel Çerçevesi

PixRevolution, kurbanların Pix üzerinden gerçekleştirdiği para transferlerini gerçek zamanlı olarak izleyip, ekran üzerinde sahte bir örtü (overlay) göstererek hedef hesap bilgilerini saldırganların hesaplarıyla değiştiriyor. Bu süreçte Android’in MediaProjection API’si kullanılarak ekran görüntüleri yakalanıyor ve erişilebilirlik servisleri kötüye kullanılıyor. Kullanıcılar, sahte Google Play Store sayfaları üzerinden yayılan dropper APK dosyalarını yüklemeye ikna ediliyor.

BeatBanker ise bankacılık işlemlerini hedefleyen ve neredeyse duyulmaz bir ses dosyasını döngüde çalarak kendini sonlandırılmaktan koruyan bir kalıcılık mekanizması kullanıyor. Bu zararlı, Google Firebase Cloud Messaging (FCM) üzerinden komut ve kontrol iletişimi sağlıyor. Binance ve Trust Wallet gibi kripto cüzdanları için sahte örtü sayfaları oluşturarak hedef adresleri gizlice değiştiriyor.

TaxiSpy RAT, SMS, çağrı kayıtları, kişiler, bildirimler ve tuş vuruşları gibi hassas verileri toplarken, Rus bankacılık ve devlet uygulamalarını hedef alıyor. Zararlı, gelişmiş şifreleme ve gerçek zamanlı VNC benzeri uzaktan kontrol teknikleriyle tespit edilmekten kaçınıyor.

Mirax ve Oblivion RAT ise MaaS (Malware-as-a-Service) modeliyle aylık abonelik üzerinden satılıyor. Oblivion, MIUI, One UI, ColorOS gibi popüler Android arayüzlerinde otomatik izin atlatma mekanizması kullanarak kullanıcı etkileşimi olmadan kalıcı erişim sağlıyor.

SURXRAT ise Telegram tabanlı bir MaaS olarak, erişilebilirlik izinlerini kötüye kullanarak kalıcı kontrol sağlıyor ve yapay zeka destekli büyük dil modeli (LLM) bileşeni ile gelişmiş gözetim yetenekleri sunuyor. Ayrıca fidye yazılımı tarzı ekran kilitleyici modül içeriyor.

Saldırı Zinciri ve Teknik Detaylar

  • Kullanılan zararlılar: PixRevolution, BeatBanker, TaxiSpy RAT, Mirax, Oblivion RAT, SURXRAT
  • Hedefler: Brezilya Pix ödeme sistemi, bankacılık uygulamaları, kripto para cüzdanları, Rus bankacılık ve devlet uygulamaları
  • Kullanılan teknikler: Sahte Google Play Store sayfaları, erişilebilirlik servisi kötüye kullanımı, MediaProjection API ile ekran yakalama, Firebase Cloud Messaging ile C2 iletişimi, otomatik izin atlatma, ses döngüsü ile kalıcılık, LLM entegrasyonu
  • Saldırı zinciri: 1) Phishing ve sahte mağaza sayfaları ile APK yüklenmesi, 2) Erişilebilirlik ve ekran yakalama izinlerinin etkinleştirilmesi, 3) Gerçek zamanlı ekran gözetimi ve işlem manipülasyonu, 4) Komut ve kontrol sunucusuyla iletişim
  • Önerilen savunma: Erişilebilirlik servislerinin kullanımının sınırlandırılması, MediaProjection API erişim denetimi, EDR ve SIEM çözümlerinde anormal uygulama davranışlarının izlenmesi, MFA kullanımı, ağ segmentasyonu ve olay müdahale planlarının güncellenmesi

Siber Güvenlik Ekipleri İçin Pratik Öneriler

  • Erişilebilirlik servislerini kullanan uygulamaları düzenli olarak denetleyin ve gereksiz izinleri kaldırın.
  • MediaProjection API kullanımını izleyerek anormal ekran yakalama faaliyetlerini tespit edin.
  • Firebase Cloud Messaging trafiğini analiz ederek şüpheli C2 iletişimlerini engelleyin.
  • Phishing ve sahte uygulama indirme girişimlerine karşı e-posta güvenliği çözümlerini güçlendirin.
  • EDR sistemlerinde XOR şifreleme ve WebSocket tabanlı iletişim gibi gelişmiş kaçınma tekniklerini tanıyacak kurallar oluşturun.
  • Kullanıcıların finansal işlemler sırasında uygulama davranışlarını izleyerek olağan dışı örtü ve işlem manipülasyonlarını tespit edin.
  • Olay müdahale süreçlerinizi fidye yazılımı ve RAT saldırılarına karşı güncel tutun.
  • Ağ segmentasyonu ile kritik finansal sistemlerin dış tehditlere karşı izolasyonunu sağlayın.

Kurumsal Senaryo: Finans Sektöründe Riskler

Bir finans kurumu, çalışanlarının mobil cihazlarında Pix ve kripto para cüzdanı uygulamalarını kullanıyor. Zararlı yazılımlar, sahte uygulama mağazaları aracılığıyla cihazlara sızıyor ve erişilebilirlik izinleriyle ekran gözetimi yaparak para transferlerini manipüle ediyor. Bu durum, kurumun itibar kaybı ve finansal zarar yaşamasına yol açabilir. Kurumun SIEM ve EDR çözümleri, anormal API çağrılarını ve ağ trafiğini izleyerek erken uyarı verebilir. Ayrıca, MFA ve kullanıcı eğitimi ile riskler azaltılabilir.

, , , , , , ,