Android kullanıcıları dikkat: Sahte uygulama saldırısı

Android kullanıcılarını hedef alan yeni bir casus yazılım kampanyası ortaya çıktı. Birleşik Arap Emirlikleri (BAE) ve çevresindeki bölgelerde yürütülen iki farklı saldırıda, popüler mesajlaşma uygulamaları Signal ve ToTok taklit edilerek kullanıcıların cihazlarına kötü amaçlı yazılım bulaştırılıyor.

Sahte Signal ve ToTok ile Android’e casus sızıyor

ESET güvenlik araştırmacılarının tespitlerine göre bu saldırılar, ProSpy ve ToSpy isimli iki casus yazılım kampanyası üzerinden yürütülüyor. Kampanyalar, sahte Signal eklentileri ve ToTok uygulamasının Pro sürümü gibi gösterilen sahte uygulamalar aracılığıyla Android kullanıcılarını kandırmayı hedefliyor. Kullanıcılar bu uygulamaları fark etmeden yüklediğinde, cihazlarındaki SMS mesajları, kişi listeleri, dosyalar ve diğer hassas veriler siber saldırganlara aktarılıyor.

Araştırmacılar, bu kampanyaları Haziran 2025’te izlemeye başladıklarını ancak faaliyetlerin 2024’ten bu yana sürüyor olabileceğini belirtiyor. Saldırganlar, var olmayan Signal Encryption Plugin adında sahte bir eklenti ve ToTok Pro sürümü oluşturarak kullanıcıların güvenini kazanıyor.

Kurulumdan sonra kötü amaçlı Signal eklentisi kendisini Play Services olarak yeniden adlandırıyor ve simgesini değiştiriyor. Bu yöntem, uygulamanın kullanıcı tarafından fark edilmesini ve silinmesini zorlaştırıyor. Uygulamaya tıklamak ise kullanıcıyı gerçek Google Play Services bilgi ekranına yönlendiriyor. Böylece zararlı yazılım sistemde fark edilmeden uzun süre kalabiliyor.

Bu yazılımlar cihazdaki SMS mesajları, dosyalar, kişi listeleri, yedekleme dosyaları, uygulama listeleri ve cihaz bilgilerini toplayarak uzaktaki saldırgan sunucularına gönderiyor. Saldırılar, resmi mağazalar yerine üçüncü taraf uygulama mağazaları ve özel web siteleri üzerinden yayılıyor.

Güvenlik uzmanları, bu tür tehditlerden korunmak için kullanıcıların yalnızca Google Play Store veya Apple App Store gibi güvenilir kaynaklardan uygulama indirmesi gerektiğini vurguluyor. Bilinmeyen kaynaklardan gelen APK dosyalarının yüklenmesi ise büyük bir güvenlik riski taşıyor.

Signal, dünya çapında yaklaşık 70 milyon kullanıcıya sahip, gizlilik odaklı popüler bir mesajlaşma uygulaması. ToTok ise 2019’da BAE merkezli G42 şirketi tarafından geliştirilmiş, WhatsApp ve Skype gibi yasaklı servislerin alternatifi olarak öne çıkmıştı. Ancak daha sonra yapılan soruşturmalar, ToTok’un BAE hükümeti tarafından gözetim aracı olarak kullanıldığını ortaya koymuş ve uygulama hem Google Play Store’dan hem de App Store’dan kaldırılmıştı. Buna rağmen uygulama, bölgedeki kullanıcılar arasında popülerliğini koruyor.

Bu son olay, özellikle üçüncü taraf mağazalardan uygulama indirmenin ne kadar tehlikeli olabileceğini bir kez daha gösteriyor. Kullanıcıların dikkatli davranması ve yalnızca resmi kaynaklara güvenmesi gerekiyor.