Klopatra: Yeni Tehditin Detayları
Son dönemde Klopatra adı verilen yeni bir Android bankacılık ve uzaktan erişim trojanı (RAT), Avrupa genelinde 3.000’den fazla cihazı enfekte etti. İlk bakışta bir IPTV ve VPN uygulaması olarak görünse de, arka planda kullanıcılara ciddi tehdit oluşturan bir yazılım barındırıyor.
Cleafy adlı siber güvenlik şirketinin araştırmalarına göre, Klopatranın önemli özellikleri arasında, ekranı gerçek zamanlı izleme, kullanıcı girişi yakalama, jest navigasyonunu simüle etme ve gizli bir Sanal Ağ Bilgisayarı (VNC) modu bulunuyor. Bu trojan, belgelenmiş herhangi bir Android zararlı yazılım ailesiyle bağlantılı görünmüyor ve Türkçe konuşan bir siber suç grubunun projesi olduğu düşünülüyor.
Klopatra’nın İşleyişi
Klopatra, “Modpro IP TV + VPN” adındaki bir dropper uygulaması aracılığıyla kötü niyetli yazılım olarak kullanıcılara sızıyor. Bu uygulama, resmi Google Play Platformu dışında dağıtılıyor. Kullanıcıların, bu gibi zararlı yazılımlara karşı farkındalığını artırması gerekiyor.
Klopatra, Virbox adlı ticari düzeyde bir kod koruma aracı entegre ediyor ve bu sayede tersine mühendislik ve analiz süreçlerini engelliyor. Son sürümlerde, Java/Kotlin ayak izini azaltmak için yerel kütüphaneler kullanılıyor ve NP Manager şifreleme mekanizması da eklenmiş durumda.
Cleafy’nin raporuna göre, malware, analiz ortamında çalışmadığını garanti altına almak için birkaç anti-debugging mekanizması, hızla çalışma bütünlüğü denetimleri ve emülatör algılama yetenekleri ile donatılmış. Android’in Erişilebilirlik hizmetini kullanarak, kendisine ek izinler verme, kullanıcı girdilerini yakalama ve şifreler gibi hassas bilgileri izleme yeteneği kazanıyor.
Klopatra’nın Kara Ekran Modu
Klopatra’nın önemli özelliklerinden biri, kullanıcının ekranı kilitli olduğunda bile, operatörlerin enfekte olan cihazda işlem yapmasını sağlayan kara ekran VNC modudur. Bu mod, tanımlanmış ekran koordinatlarında dokunuş simüle etme, yukarı/aşağı kaydırma ve uzun bastırma gibi işlemleri gerçekleştirebiliyor.
Malware, cihazın şarjda olup olmadığını veya ekranın kapalı olup olmadığını kontrol ederek, kullanıcı fark etmeden bu modu aktive etmenin ideal anını belirleyebiliyor. Bu, bankacılık işlemleri gibi hassas bilgileri çekerken mükemmel bir gizlilik sağlıyor.
Operatör Expose’u
Cleafy’nin ortaya koyduğu dil kalıpları ve geliştirme ile para kazanma notlarından yola çıkarak, Klopatra’nın Türkçe konuşan bir tehdit aktörü tarafından işletildiği düşünülüyor. Araştırmacılar, 3.000’e kadar benzersiz enfeksiyon sayısının bağlı olduğu birden fazla komuta kontrol (C2) noktasını açığa çıkardılar.
Malware’nin operatörleri, dijital izlerini gizlemek için Cloudflare kullanmasına rağmen, bir yapılandırma hatası sayesinde kök IP adresleri açığa çıktı. Bu durum, C2 sunucularının aynı sağlayıcıyla ilişkilendirilmesine olanak tanıdı. Klopatra’nın mart 2025’te ilk kez ortaya çıkmasından bu yana, 40 farklı sürümün çıkması, hızlı bir evrim ve aktif gelişim sürecinin göstergesi.
Kullanıcıların Dikkat Etmesi Gerekenler
Android kullanıcılarının, kötü niyetli yazılımlardan korunmak için dikkat etmesi gereken birkaç önemli noktayı unutmaması gerekiyor. APK dosyalarını bilinmeyen web sitelerinden indirmekten kaçınılmalı, Erişilebilirlik Hizmeti izin taleplerini reddetmeli ve Play Protect özelliği her zaman aktif tutulmalıdır.
Bu tür zararlı yazılımlar, hem kişisel bilgileri çalmakta hem de finansal kayıplara yol açabilmektedir. Özellikle mobil cihazların güvenliği, günümüzde siber suçlarla mücadelede büyük bir öneme sahiptir. Kullanıcıların bilinçli olması, bu tür tehditlerle başa çıkabilmenin en etkili yoludur.
