Android Bankacılık Malware’i: Anatsa’nın Tehditi
Dijital güvenlik ve bankacılık sektöründe karşılaşılan tehditler giderek artıyor. Son araştırmalara göre, Anatsa adı verilen bir Trojan, Kuzey Amerika’daki kullanıcıları hedef alacak şekilde tasarlanmış bir Android bankacılık malware’i kampanyasına dönüşmüştür. Kullanıcıların, Google’ın resmi uygulama mağazasında yayınlanan kötü niyetli uygulamalar üzerinden kandırıldığı tespit edilmiştir.
Malware’ın Kullanım Yöntemi
Anatsa, kullanıcılara bir “PDF Güncellemesi” şeklinde maske takarak, kötü niyetli bir overlay sunmaktadır. Kullanıcılar, bankacılık uygulamalarına erişmeye çalıştığında, hizmetin geçici olarak kesintiye uğradığına dair yanıltıcı bir bildirimle karşılaşmaktadır. ThreatFabric adlı Hollandalı bir mobil güvenlik şirketinin raporuna göre, bu durum, Anatsa’nın ABD ve Kanada’daki mobil bankacılık müşterilerini hedef almak için gerçekleştirdiği en az üçüncü operasyonudur.
Anatsa, aynı zamanda TeaBot ve Toddler olarak da bilinmektedir. En az 2020 yılından beri aktif olduğu bilinen bu malware, genellikle kurbanlara dropper uygulamaları aracılığıyla ulaştırılmaktadır. Geçen yıl, Anatsa’nın, önceki örneklerinde olduğu gibi, öncelikle masum gibi görünen uygulamaların Google Play Store’a yüklenmesi ile başladığı ve bir hafta sonra kötü niyetli kodun eklendiği görülmüştür.
Kendini Gizleme ve Hedef Alma Stratejileri
Anatsa, kullanıcı bilgilerini çalma amacıyla tasarlanmış birçok özelliği içinde barındırmaktadır. Bu özellikler arasında overlay ve keylogging atakları bulunmaktadır. Ayrıca, Device-Takeover Fraud (DTO) yöntemiyle, kurbanların cihazlarından sahte işlemler yapabilme yeteneğine sahiptir. ThreatFabric, Anatsa kampanyalarının belirli bir sürece ve stratejiye dayandığını belirtmektedir. Uygulama mağazasında geliştirici profili oluşturulmakta ve ardından güvenilir bir uygulama yayınlanmaktadır.
Uygulama, belirli bir kullanıcı tabanına ulaşınca, malware içeren güncellemeler yapılmaktadır. Bu süreç, kullanıcıların uygulamayı indirip kullanmaya devam etmelerine olanak tanırken, bu durumda kötü niyetli kod, ayrı bir uygulama olarak cihaza yüklenmektedir.
Dinamik Hedefleme ve Hedef Bankalar
Malware, hedeflediği finansal kurumların dinamik bir listesini dış bir sunucudan almaktadır. Bu sayede saldırganlar, kimlik bilgisi hırsızlığı yapmayı, hesap ele geçirmeyi ve tamamen otomatik işlemler gerçekleştirmeyi amaçlamaktadır. Bu döngüsel yapı, Anatsa’nın tespit edilmeden çalışmasına ve yüksek başarı oranına sahip olmasına olanak tanımaktadır.
Kuzey Amerikan kullanıcılarını hedef alan yeni uygulama, Doküman Görüntüleyici şeklinde görünmektedir. Uygulama, Hybrid Cars Simulator, Drift & Racing adlı bir geliştirici tarafından yayınlanmıştır fakat şu anda Google Play Store’dan erişilemez durumdadır. Sensor Tower’dan elde edilen verilere göre, uygulama ilk olarak 7 Mayıs 2025’te yayınlanmış ve 29 Haziran 2025’te “Ücretsiz – Araçlar” kategorisinde dördüncü sıraya yükselmiştir. Tahmini olarak 90,000 kez indirilmiştir.
Beklenmedik Bankacılık Bilgilerine Erişim
Malware, daha önceki örneklerden farklı olarak daha geniş bir bankacılık uygulamaları setini hedef almayı amaçlamaktadır. Bunun yanında, hedef bankacılık uygulamasına erişmeye çalışırken sahte bir bakım bildirimini gösterme yeteneğine sahiptir. Bu taktik, kullanıcıları dikkatli olamayan bir duruma sürüklemekle kalmayıp, bankanın destek ekibi ile iletişime geçmelerini de engellemektedir. Böylece, mali dolandırıcılığı tespit etme süreleri uzamaktadır.
ThreatFabric, bu son operasyonun, bankacılık sektöründeki mali kuruluşlar üzerinde köklü etkiler bırakabileceğini vurgulamaktadır. Finansal kuruluşların, sağlanan istihbaratı incelemeleri ve müşterileri ve sistemleri üzerindeki potansiyel riskleri değerlendirmeleri önerilmektedir.
Dijital dünyada güvenliğin sağlanması adına bu tür tehditlere karşı dikkatli ve bilinçli olmak, bireyler için oldukça önemlidir. Yenilikçi saldırı teknikleri ve sürekli evrilen güvenlik açıkları, sektördeki tüm paydaşların bu konudaki farkındalığını artırması gerektiğini göstermektedir.
