Perseus Android Zararlısı: Not Uygulamaları Üzerinden Veri Hırsızlığı ve Gelişmiş Erişim Teknikleri

Son dönemde aktif olarak yayılan Perseus Android zararlısı, özellikle finansal dolandırıcılık ve cihaz ele geçirme amacıyla gelişmiş tekniklerle donatıldı. Türkiye, İtalya, Polonya, Almanya, Fransa, BAE ve Portekiz gibi ülkelerde yoğunlaşan bu tehdit, kullanıcıların not alma uygulamalarındaki hassas bilgileri hedef alıyor.

Saldırının Genel Çerçevesi

Perseus, Cerberus ve Phoenix zararlılarının kod tabanları üzerine inşa edilmiş, kimlik avı siteleri üzerinden dağıtılan dropper uygulamalar aracılığıyla Android cihazlara bulaşıyor. Erişilebilirlik servislerini kullanarak gerçek zamanlı ekran akışı ve kullanıcı etkileşimi sağlıyor. Bu sayede, Google Keep, Samsung Notes, Microsoft OneNote gibi popüler not alma uygulamalarından veri toplayabiliyor.

Zararlı, üst üste bindirme (overlay) saldırıları ile finansal ve kripto para uygulamalarında sahte arayüzler göstererek kullanıcıların kimlik bilgilerini ve tuş vuruşlarını kaydediyor. Ayrıca, komut ve kontrol (C2) sunucusu üzerinden uzaktan komut alarak sahte işlemler yapabiliyor ve cihazda ekran görüntüsü alma, uygulama engelleme kaldırma gibi gelişmiş yeteneklere sahip.

Saldırı Zinciri ve Teknik Detaylar

• Başlangıç: Kimlik avı siteleri ve dropper uygulamalarla bulaşma.
• Yetki Kazanımı: Android erişilebilirlik servislerinin kötüye kullanımıyla geniş izinler elde edilmesi.
• Veri Toplama: Not uygulamalarından içerik yakalama, tuş kaydı ve ekran akışı.
• Uzaktan Kontrol: C2 üzerinden komutlar ile cihazda sahte işlemler ve ekran manipülasyonu.

Perseus, Frida ve Xposed gibi hata ayıklama araçlarının varlığını tespit ederek analiz ortamlarından kaçınmaya çalışıyor. Ayrıca SIM kart durumu, pil seviyesi ve yüklü uygulama sayısı gibi parametreleri kontrol ederek gerçek cihazda çalıştığını doğruluyor.

Hangi Sistemler Risk Altında?

Özellikle finansal hizmetler, kripto para uygulamaları ve IPTV hizmetleri kullanıcıları hedef alınmakta. Zararlı, IPTV uygulamaları kılığında yaygınlaşarak kullanıcıların premium içerik izlemek için yan yükleme yaptığı cihazlara sızıyor. Bu durum, özellikle Android cihaz kullanan bireysel kullanıcılar ve KOBİ’ler için önemli bir risk oluşturuyor.

Siber Güvenlik Ekipleri İçin Öneriler

• Android cihazlarda erişilebilirlik servislerinin kullanımını sıkı şekilde denetleyin ve gereksiz izinleri kaldırın.
• Phishing ve kimlik avı saldırılarına karşı e-posta güvenliği çözümlerini güçlendirin.
• Mobil cihaz yönetimi (MDM) ve endpoint detection and response (EDR) araçları ile cihazları sürekli izleyin.
• Uygulama yükleme politikalarını bilinmeyen kaynaklardan yüklemeyi engelleyecek şekilde yapılandırın.
• Güçlü çok faktörlü kimlik doğrulama (MFA) uygulayarak hesap güvenliğini artırın.
• Olay müdahale süreçlerinde mobil tehdit istihbaratını entegre edin ve anormal davranışları hızlıca tespit edin.
• Ağ segmentasyonu ile kritik finansal sistemleri zararlıların erişiminden koruyun.
• Log yönetimi ve SIEM çözümleri ile mobil cihazlardan gelen verileri analiz edin.

Teknik Özet

• Zararlı Türü: Android bankacılık zararlısı, dropper ve erişilebilirlik tabanlı kontrol.
• Kullanılan Araçlar: Frida, Xposed, dropper uygulamalar, LLM destekli kod geliştirme.
• Hedef Bölgeler: Türkiye, İtalya, Polonya, Almanya, Fransa, BAE, Portekiz.
• Saldırı Adımları: Kimlik avı → Dropper kurulumu → Erişilebilirlik izinleri → Veri toplama (notlar, tuş kaydı) → C2 komutları ile uzaktan kontrol.
• Önerilen Savunma: Android güncellemeleri, erişilebilirlik izinlerinin kısıtlanması, MDM ve EDR entegrasyonu, phishing farkındalığı.

Perseus zararlısı, modern Android tehditlerinin evrimini yansıtarak, geleneksel kimlik bilgisi hırsızlığının ötesinde not uygulamalarını hedef almasıyla dikkat çekiyor. Bu durum, mobil cihaz güvenliği ve olay müdahale süreçlerinde yeni önceliklerin belirlenmesini gerektiriyor.