Siber saldırganların, Özbekistan'daki kullanıcılara yönelik mobil saldırılarda Wonderland adı verilen bir Android SMS hırsızlığı yazılımını yaymak için meşru uygulamalar
gibi görünen kötü amaçlı yazılım yükleyicilerinden yararlandığı gözlemlendi .
Group-IB geçen hafta yayınladığı bir analizde, "Daha önce kullanıcılar, kurulumdan hemen sonra kötü amaçlı yazılım olarak işlev gören 'saf' Truva atı APK'ları alıyordu" dedi. " Şimdi ise saldırganlar giderek daha fazla meşru uygulamalar gibi görünen yükleyiciler kullanıyor. Yükleyici yüzeyde zararsız görünse de, kurulumdan sonra yerel olarak -aktif bir internet bağlantısı olmasa bile- dağıtılan yerleşik bir kötü amaçlı yazılım içeriyor."
Singapur merkezli siber güvenlik şirketine göre, Wonderland (eski adıyla WretchedCat), gerçek zamanlı komut yürütmeyi sağlayan çift yönlü komuta ve kontrol (C2) iletişimini kolaylaştırarak keyfi USSD isteklerine ve SMS hırsızlığına olanak tanıyor. Google Play veya video, fotoğraf ve düğün davetiyesi gibi diğer formatlardaki dosyalar gibi görünerek kendini gizliyor.
Finansal motivasyonlu tehdit aktörü TrickyWonders, operasyonun çeşitli yönlerini koordine etmek için Telegram'ı birincil platform olarak kullanıyor. İlk olarak Kasım 2023'te keşfedilen bu zararlı yazılım, birincil şifrelenmiş yükü gizlemek üzere tasarlanmış iki farklı zararlı yazılım ailesine de atfediliyor.
MidnightDat (İlk kez 27 Ağustos 2025'te görüldü)
RoundRift (İlk kez 15 Ekim 2025'te görüldü)
Wonderland, çoğunlukla sahte Google Play Store web sayfaları, Facebook'taki reklam kampanyaları, sahte arkadaşlık uygulamaları ve Telegram gibi mesajlaşma uygulamaları üzerinden yayılıyor; saldırganlar, kurbanların iletişim bilgilerine ve sohbetlerine APK dosyaları dağıtmak için karanlık web pazarlarında satılan Özbek kullanıcılarının çalınmış Telegram oturumlarını kötüye kullanıyor.
Kötü amaçlı yazılım yüklendikten sonra SMS mesajlarına erişim sağlar ve tek kullanımlık şifreleri (OTP'ler) ele geçirir; bu şifreleri kullanarak kurbanların banka kartlarından para çalar. Diğer yetenekleri arasında telefon numaralarını ele geçirme, iletişim listelerini sızdırma, güvenlik veya tek kullanımlık şifre (OTP) uyarılarını gizlemek için anlık bildirimleri gizleme ve hatta virüslü cihazlardan SMS mesajları göndererek yatay hareket etme yer almaktadır.
Ancak, uygulamayı yan yükleme yöntemiyle kurabilmek için kullanıcıların öncelikle bilinmeyen kaynaklardan yüklemeye izin veren bir ayarı etkinleştirmeleri gerektiğini belirtmekte fayda var. Bu işlem, kullanıcılara "uygulamayı kullanmak için güncellemeyi yükleyin" talimatını veren bir güncelleme ekranı görüntülenerek gerçekleştirilir.
Group-IB'nin açıklamasına göre, "Kurban APK dosyasını yükleyip izinleri verdiğinde, saldırganlar telefon numarasını ele geçirip bu telefon numarasıyla kayıtlı Telegram hesabına giriş yapmaya çalışıyor. Giriş başarılı olursa, dağıtım süreci tekrarlanarak döngüsel bir enfeksiyon zinciri oluşturuluyor."
Wonderland, Özbekistan'da mobil kötü amaçlı yazılımların en son evrimini temsil ediyor; bu evrim, büyük ölçekli spam kampanyalarına dayanan Ajina.Banker gibi ilkel kötü amaçlı yazılımlardan , görünüşte zararsız medya dosyaları olarak gizlenmiş Qwizzserial gibi daha karmaşık türlere doğru bir geçişi gösteriyor.
Dropper uygulamalarının kullanımı stratejiktir çünkü bu uygulamalar zararsız görünerek güvenlik kontrollerinden kaçınmalarını sağlar. Ayrıca, hem dropper hem de SMS hırsızı bileşenleri yoğun bir şekilde gizlenmiştir ve tersine mühendisliklerini çok daha zor ve zaman alıcı hale getirmek için analiz karşıtı hileler içerir.
Dahası, çift yönlü C2 iletişiminin kullanımı, kötü amaçlı yazılımı pasif bir SMS hırsızından, sunucu tarafından verilen keyfi USSD isteklerini yürütebilen aktif, uzaktan kumandalı bir ajana dönüştürüyor.
Araştırmacılar, "Destekleyici altyapı da daha dinamik ve dayanıklı hale geldi" dedi. "Operatörler, her biri yalnızca sınırlı sayıda yapılandırma için kullanıldıktan sonra değiştirilen, hızla değişen alanlara güveniyor. Bu yaklaşım, izlemeyi zorlaştırıyor, kara liste tabanlı savunmaları bozuyor ve komuta ve kontrol kanallarının ömrünü uzatıyor."
Kötü amaçlı APK dosyaları, özel bir Telegram botu kullanılarak oluşturuluyor ve daha sonra çalınan fonlardan pay almak karşılığında "işçiler" olarak adlandırılan bir tehdit aktörleri kategorisi tarafından dağıtılıyor. Bu çabanın bir parçası olarak, her bir dosya kendi C2 alan adıyla ilişkilendiriliyor, böylece herhangi bir kaldırma girişimi tüm saldırı altyapısını çökertmiyor.
Suç örgütü ayrıca grup sahiplerini, geliştiricileri ve çalınan kart bilgilerini doğrulayan aracıları da içeriyor. Bu hiyerarşik yapı, finansal dolandırıcılık operasyonunun yeni bir olgunlaşmasını yansıtıyor.
Group-IB'nin açıklamasına göre, "Bölgedeki yeni kötü amaçlı yazılım geliştirme dalgası, Android cihazları ele geçirme yöntemlerinin sadece daha karmaşık hale gelmekle kalmadığını, aynı zamanda hızla geliştiğini açıkça gösteriyor. Saldırganlar, araçlarını aktif olarak uyarlıyor, dağıtım, faaliyet gizleme ve bulaşmış cihazlar üzerindeki kontrolü sürdürme konusunda yeni yaklaşımlar uyguluyor."
Bu ifşa , Cellik , Frogblight ve NexusRoute gibi hassas bilgileri ele geçirilmiş cihazlardan toplayabilen yeni Android kötü amaçlı yazılımlarının ortaya çıkmasıyla aynı zamana denk geliyor .
Karanlık web'de aylık 150 dolardan veya ömür boyu lisans için 900 dolardan başlayan fiyatlarla reklamı yapılan Cellik, gerçek zamanlı ekran akışı, tuş kaydedici, uzaktan kamera/mikrofon erişimi, veri silme, gizli web tarama, bildirim engelleme ve kimlik bilgilerini çalmak için uygulama katmanları gibi özelliklerle donatılmıştır.
Belki de Truva atının en endişe verici özelliği, müşterilerin zararlı yazılımı yasal Google Play uygulamalarının içine yerleştirip dağıtmalarına olanak tanıyan tek tıklamalık APK oluşturucusudur.
iVerify'den Daniel Kelley, "Saldırgan, kontrol arayüzü aracılığıyla Google Play Store kataloğunun tamamına göz atabilir ve Cellik zararlı yazılımıyla birlikte paketlenecek meşru uygulamaları seçebilir" dedi. "Tek bir tıklamayla Cellik, seçilen meşru uygulamanın içine RAT'ı yerleştiren yeni bir kötü amaçlı APK oluşturacaktır."
Kaspersky'nin açıklamasına göre, Frogblight ise Türkiye'deki kullanıcıları SMS kimlik avı mesajları aracılığıyla hedef alarak, alıcıları sözde dahil oldukları bir mahkeme davasıyla ilgili mahkeme belgelerini görüntüleme bahanesiyle kötü amaçlı yazılımı yüklemeye yönlendiriyor.
WebView'ler kullanarak bankacılık kimlik bilgilerini çalmanın yanı sıra, bu kötü amaçlı yazılım SMS mesajlarını, arama kayıtlarını, cihazda yüklü uygulamaların listesini ve cihaz dosya sistemi bilgilerini de toplayabilir. Ayrıca kişileri yönetebilir ve rastgele SMS mesajları gönderebilir.
Frogblight'ın aktif olarak geliştirilmekte olduğuna ve bu aracın arkasındaki tehdit aktörünün, kötü amaçlı yazılımı hizmet olarak (MaaS) modeli altında dağıtmak için zemin hazırladığına inanılıyor. Bu değerlendirme, C2 sunucusunda barındırılan bir web panelinin keşfine ve yalnızca web paneli girişinde kullanılan aynı anahtarı kullanan örneklerin bu panel aracılığıyla uzaktan kontrol edilebildiği gerçeğine dayanmaktadır.
Cellik ve Frogblight gibi kötü amaçlı yazılım aileleri, Android kötü amaçlı yazılımlarında giderek artan bir trendin parçasıdır; bu trendde, teknik uzmanlığı az veya hiç olmayan saldırganlar bile minimum çabayla büyük ölçekli mobil saldırılar düzenleyebiliyor.
Son haftalarda, Hindistan'daki Android kullanıcıları da NexusRoute adı verilen bir kötü amaçlı yazılımın hedefi haline geldi. Bu yazılım, Hindistan hükümet hizmetlerini taklit eden kimlik avı portalları kullanarak ziyaretçileri GitHub depolarında ve GitHub Pages'te barındırılan kötü amaçlı APK'lara yönlendirirken, aynı zamanda kişisel ve finansal bilgilerini de topluyor.
Sahte siteler, Android cihazlara tamamen gizlenmiş bir uzaktan erişim truva atı (RAT) bulaştırmak üzere tasarlanmıştır. Bu truva atı, cep telefonu numaralarını, araç verilerini, UPI PIN'lerini, OTP'leri ve kart bilgilerini çalabilir, ayrıca erişilebilirlik hizmetlerini kötüye kullanarak ve kullanıcıları varsayılan ana ekran başlatıcısı olarak ayarlamaya teşvik ederek kapsamlı veri toplayabilir.
CYFIRMA'nın açıklamasına göre, "Tehdit aktörleri, meşruiyet kisvesi altında finansal amaçlı kötü amaçlı yazılımlar ve kimlik avı saldırıları düzenlemek için giderek daha fazla devlet markasını, ödeme iş akışlarını ve vatandaş hizmet portallarını silah olarak kullanıyor." "Bu kötü amaçlı yazılım, SMS engelleme, SIM profilleme, iletişim bilgilerini çalma, arama kayıtlarını toplama, dosya erişimi, ekran görüntüsü yakalama, mikrofon etkinleştirme ve GPS takibi gerçekleştiriyor."
"gymkhana.studio@gmail[.]com" adlı gömülü bir e-posta adresinin daha ayrıntılı analizi, NexusRoute'u daha geniş bir yeraltı geliştirme ekosistemine bağlamış ve bunun profesyonelce yönetilen, büyük ölçekli bir dolandırıcılık ve gözetim altyapısının parçası olma olasılığını ortaya çıkarmıştır.
Şirket, "NexusRoute kampanyası, kimlik avı, kötü amaçlı yazılım, mali dolandırıcılık ve gözetimi birleşik bir saldırı çerçevesinde birleştiren, son derece olgun ve profesyonelce tasarlanmış bir mobil siber suç operasyonunu temsil ediyor" dedi. "Yerel düzeyde gizleme, dinamik yükleyiciler, otomatik altyapı ve merkezi gözetim kontrolünün kullanımı, bu kampanyayı sıradan dolandırıcıların yeteneklerinin çok ötesine taşıyor."
