Telefonunuzda varsa hemen silin! Banka hesaplarınız tehlikede

Siber güvenlik araştırmacıları, “Mobdro Pro IP TV + VPN” adlı sahte uygulamanın gerçek amacının kullanıcıların cihazlarına Klopatra (Klopatra) adlı gelişmiş bir Android RAT (Remote Access Trojan) yüklemek olduğunu açıkladı. Cleafy tarafından yayımlanan teknik rapora göre Klopatra, cihazları uzaktan ele geçirip bankacılık uygulamalarını hedef alabilen yeteneklere sahip.

Nasıl çalışıyor? 

Saldırı zinciri şu şekilde işliyor: kullanıcılar, uygulamanın sunduğu ücretsiz film/dizi/spor yayını vaadiyle uygulamayı yüklemeye ikna ediliyor; dropper (yükleyici) daha sonra Android’in REQUEST_INSTALL_PACKAGES ve Accessibility Services (Erişilebilirlik Servisleri) gibi kritik izinlerin verilmesini sağlayarak ana Klopatra payload’unu kuruyor. Erişilebilirlik izni kötü amaçlı yazılıma ekranı okuma, tuş vuruşlarını yakalama ve otomatik işlem yapma imkânı veriyor — bu sayede saldırganlar banka işlemlerini kullanıcı habersiz gerçekleştirebiliyor.

Etkilenen cihaz sayısı ve coğrafya

Cleafy’in analizine göre Klopatra operasyonu Avrupa’da aktif iki botnet üzerinden yürütülüyor ve 3 binden fazla Android cihazin kompromize edildiği tespit edildi; kampanyalar özellikle İspanya ve İtalya’da yoğunlaşıyor. Ayrıca teknik inceleme, en az 1.000 doğrulanmış mağdur vaka olduğunu gösteriyor.

Türkiye bağlantısı: Kodda Türkçe izler

Araştırmacılar, yazılımın kodu ve C2 (komut-kontrol) altyapısındaki artefaktlarda Türkçe fonksiyon/alan adlarına rastlandığını belirtiyor. Örnekler arasında “ArkaUcKomutIsleyicisi”, JSON alan isimlerinde “Etiket”, “Eavori_durumu”, “Bot_notu” gibi Türkçe terimler yer alıyor; bu izler operasyonun Türkçe konuşan bir aktör tarafından geliştirildiğine işaret ediyor. Yerel haber kaynakları da bu bulguları aktarıyor.

Kimliğinize ve paranıza en ciddi tehdit: Teknik yetenekleri

Klopatra, yalnızca basit veri çalan bir kötü amaçlı yazılım değil; Virbox gibi ticari kod koruma araçları, native (C/C++) kütüphaneler, anti-debug/anti-emülasyon mekanizmaları ve dinamik evasion teknikleri kullanarak tespit edilmesini güçleştiriyor. Ayrıca saldırganlar, cihazdaki banka uygulamalarını gizli VNC (Hidden VNC) aracılığıyla uzaktan kontrol ederek gerçek zamanlı para transferleri gerçekleştirebiliyor.

Uzmanların önerileri 

 

Uygulamayı kaldırın: Eğer telefonunuzda “Mobdro Pro IP TV + VPN” veya benzeri korsan/ücretsiz içerik vaat eden APK’lar yüklüyse derhal silin.

Hesap hareketlerini kontrol edin: Banka ve kart hareketlerinizi son günlere dönük dikkatle inceleyin; şüpheli bir transfer varsa bankanızla acilen iletişime geçin.

Erişim izinlerini gözden geçirin: Erişilebilirlik izinleri verilen uygulamaları kontrol edin; tanımadığınız uygulamalara bu izinleri vermemiş olun.

Güvenlik yazılımı kullanın ve Play Protect’i açın: Android için güncel bir mobil güvenlik çözümü ve Google Play Protect gibi korumalar etkinleştirilmeli.

Gerekirse cihazı sıfırlayın: Şüphe devam ediyorsa fabrika ayarlarına geri döndürme (factory reset) ve ardından parolaların/two-factor (iki faktör) doğrulamanın yenilenmesi önerilir.

Neden dikkatli olmalısınız? 

Cleafy raporu, Klopatra’nın profesyonelleşmiş altyapısının ve hızlı geliştirme döngüsünün (Mart 2025’ten beri 40’tan fazla build) benzer tehditlerin çoğalabileceğine dair uyarı içeriyor. Araştırmacılar, diğer suç gruplarının da bu yöntemi benimseyebileceği ve tespit ile analiz süreçlerinin daha zorlu hale geleceğini vurguluyor.