Android ekosistemi, bir kez daha tehlikeli bir casus yazılım kampanyasının hedefi oldu. Güvenlik araştırmacıları, hızla gelişen yeni bir tehdit olan ClayRat adlı zararlı yazılımın, kullanıcıları sahte WhatsApp, TikTok, Google Photos ve YouTube uygulamaları üzerinden kandırarak cihazlarına sızdığını ortaya çıkardı.
Mobil güvenlik firması Zimperium tarafından keşfedilen bu kampanya, özellikle Rusya’daki kullanıcıları hedef alıyor. Ancak saldırı yöntemleri göz önüne alındığında, aynı taktiklerin küresel ölçekte de yayılma riski oldukça yüksek.
Araştırmacı Vishnu Pratapagiri, yayımladığı raporda ClayRat’in “aktif hâle geldiğinde SMS mesajlarını, arama kayıtlarını, bildirimleri ve cihaz bilgilerini toplayabildiğini; ön kamerayı kullanarak fotoğraf çekebildiğini; hatta kullanıcının yerine SMS gönderip arama yapabildiğini” belirtti.
Kendini popüler uygulama gibi tanıtıyor
ClayRat, kullanıcıları kandırmak için gerçeğine tıpatıp benzeyen sahte siteler ve Telegram kanalları üzerinden yayılıyor. Bu siteler, “WhatsApp Plus” veya “YouTube Premium” gibi isimlerle sahte indirme bağlantıları sunuyor.
Saldırganlar, indirilen APK dosyalarının popüler göründüğü izlenimini vermek için sahte indirme sayıları ve sahte kullanıcı yorumları da ekliyor. Kullanıcılar, bu şekilde güvenli olduğunu düşündükleri uygulamaları indirerek aslında casus yazılımı cihazlarına kurmuş oluyorlar.
Bazı durumlarda, ClayRat’ın belirli sürümleri “YouTube Plus” adını kullanarak sahte “premium özellikler” sunduğunu iddia ediyor. Bu sürümler, Android 13 ve üzeri sistemlerdeki güvenlik kısıtlamalarını aşabilmek için özel yöntemler kullanıyor.
Kendini gizleyen akıllı yükleyici
Zimperium’un açıklamasına göre, ClayRat’ın bazı sürümleri “dropper” yani zararlı yükleyici olarak çalışıyor. Bu sürümlerde, kullanıcıya gösterilen uygulama yalnızca görünürde sahte bir Play Store güncellemesi ekranı sunuyor. Ancak bu sırada asıl zararlı yük dosyası uygulamanın içinde gizlenmiş oluyor.
Bu yöntem, özellikle oturum bazlı yükleme tekniği sayesinde güvenlik sistemlerinin gözünden kaçıyor. Kullanıcı, sahte güncelleme ekranını gördüğünde şüphelenmiyor ve yükleme işlemi tamamlandığında cihaz sessizce ele geçiriliyor.
Araştırmacılara göre bu tür “görünmez” yükleme yöntemleri, kullanıcıların güvenlik farkındalığını aşındırıyor ve casus yazılımların yayılmasını kolaylaştırıyor.
600 örnek, 50 farklı varyasyon tespit edildi
Zimperium, son 90 gün içinde 600’den fazla ClayRat örneği ve 50 farklı yükleyici (dropper) tespit etti. Her yeni sürüm, daha karmaşık gizleme yöntemleri kullanarak tespit edilmekten kaçıyor.
ClayRat’ın adının, uzaktan yönetim arayüzü olan komuta ve kontrol (C2) panelinden geldiği belirtiliyor. Bu panel, saldırganların bulaşmış cihazları uzaktan kontrol etmelerine ve onlardan veri çekmelerine olanak tanıyor.
Zararlı yazılımın en dikkat çekici yönlerinden biri, kendini otomatik olarak yayabilmesi. Cihaz ele geçirildikten sonra ClayRat, kullanıcının telefon rehberindeki tüm kişilere kötü amaçlı bağlantılar gönderiyor. Böylece kullanıcı farkında olmadan zararlı yazılımın yayılmasına aracılık etmiş oluyor.
SMS erişimi istiyor ve kendini varsayılan mesaj uygulaması yapıyor
ClayRat’ın asıl amacı, cihazdaki iletişim verilerini ve kişisel bilgileri ele geçirmek. Kurulumun ardından kullanıcıdan varsayılan SMS uygulaması olarak atanma izni istiyor. Bu sayede hem mesajlara erişim sağlıyor hem de yeni mesajlar gönderebiliyor.
Zararlı yazılım, HTTP protokolü üzerinden komuta merkezine (C2) bağlanarak düzenli olarak veri gönderiyor. Gönderilen veriler arasında arama geçmişi, bildirim içerikleri, kamera görüntüleri ve cihaz bilgileri yer alıyor.
Bu yetenekleriyle ClayRat yalnızca bir casus yazılım değil, aynı zamanda otomatik yayılan bir dijital solucan gibi davranıyor. Bu, onu sıradan Android zararlılarından çok daha tehlikeli hâle getiriyor.
Google: Play Protect kullanıcıları koruyor
Google’dan yapılan açıklamada, Play Protect’in bilinen ClayRat sürümlerine karşı koruma sağladığı belirtildi. Google Play Hizmetleri yüklü cihazlarda bu koruma sistemi varsayılan olarak aktif durumda.
Ancak uzmanlar, kullanıcıların hâlâ dikkatli olması gerektiğini vurguluyor. Çünkü ClayRat, sürekli olarak yeni varyasyonlar geliştiriyor ve bu sürümler ilk etapta Play Protect’in radarına takılmayabiliyor.
Uzmanlara göre, kullanıcılar yalnızca Google Play Store dışındaki kaynaklardan uygulama indirmemeli, APK dosyalarını manuel olarak yüklememeli ve şüpheli izin taleplerine onay vermemeli.
Akademik çalışma: Ön yüklü uygulamalarda da risk var
ClayRat olayı gündemdeyken, Lüksemburg Üniversitesi ve Université Cheikh Anta Diop tarafından yapılan bir araştırma da Android güvenliğiyle ilgili endişeleri artırdı.
Araştırmacılar, Afrika pazarında satılan uygun fiyatlı akıllı telefonlarda ön yüklü gelen bazı uygulamaların, kullanıcı verilerini izinsiz olarak üçüncü taraflara ilettiğini keşfetti.
1.544 farklı APK üzerinde yapılan incelemede,
- 145 uygulamanın hassas verileri sızdırdığı,
- 249 uygulamanın güvenlik açıkları barındırdığı,
- 226 uygulamanın tehlikeli komutlar çalıştırabildiği,
- 79’unun SMS mesajlarına erişip silebildiği,
- 33’ünün sessiz kurulumlar yapabildiği tespit edildi.
Bu bulgular, önceden yüklenmiş uygulamaların bile kullanıcı gizliliğini tehdit edebildiğini ortaya koyuyor.
Sonuç: Android kullanıcıları daha dikkatli olmalı
ClayRat, yalnızca kişisel verileri çalmakla kalmıyor; cihazı başkalarına bulaşmak için bir araç hâline getiriyor. Bu da Android kullanıcılarının, özellikle sahte indirme siteleri ve Telegram bağlantıları konusunda daha temkinli olmalarını zorunlu kılıyor.
Google Play Protect’in sunduğu koruma önemli bir savunma hattı olsa da, kullanıcı farkındalığı hâlâ en güçlü güvenlik katmanı.
Android ekosisteminde her geçen gün gelişen bu tür casus yazılımlar, mobil güvenliğin artık yalnızca teknik bir mesele değil, bilinçli kullanım alışkanlıklarının da bir gereklilik olduğunu hatırlatıyor.
