Siber güvenlik uzmanları, Android kullanıcılarını ciddi bir tehlike konusunda uyardı. Popüler uygulamaların sahte versiyonları üzerinden yayılan RatOn adlı kötü amaçlı yazılım, cihazlara sızarak banka hesaplarını boşaltma ve fidye taleplerinde bulunma yeteneğine sahip. Threat Fabric firması tarafından tespit edilen RatOn, TikTok gibi popüler uygulamaların sahte versiyonlarına gizlenerek kullanıcıların cihazlarına yükleniyor. Sosyal medya reklamları üzerinden yayılan yazılım, kullanıcıları "TikTok 18+" gibi sahte web sitelerine yönlendiriyor. Bu sitelerden indirilen virüslü APK dosyaları kurulduğunda cihaz üzerinde tam kontrol sağlanıyor.
Sahte Uygulamalarla Tuzağa Çekiliyor
Kullanıcılar, sosyal medya reklamları üzerinden sahte bağlantılara yönlendiriliyor. Burada indirilen APK dosyaları zararlı yazılımı taşıyor. Özellikle TikTok’un sahte sürümleri, bu saldırıların odak noktasında yer alıyor. Cihazına bu dosyayı yükleyen kullanıcılar, farkında olmadan saldırganlara kapı açmış oluyor. Böylece telefon üzerinde tam yetki ele geçirilebiliyor.
Cihaz Üzerinde Geniş Yetkiler
Kurulum sonrası uygulama Erişilebilirlik Hizmetleri ve yönetici izinlerini istiyor. Bu yetkiler, saldırganlara SMS’leri okuma ve gönderme, ekran görüntüsü alma gibi kritik imkanlar sağlıyor. Şifre sıfırlama ve cihaz ayarlarını değiştirme gibi adımlar da mümkün hale geliyor. Uzmanlar, bu aşamada verilen izinlerin yazılımı durdurulamaz hale getirdiğini söylüyor. Kontrol kaybı yaşayan kullanıcıların bilgileri kolaylıkla ele geçirilebiliyor.
Banka Hesaplarını Hedef Alan Fidye
RatOn’un en tehlikeli yönü, bankacılık uygulamalarını kopyalayarak sahte giriş ekranları hazırlaması. Bu sayede kullanıcıların finansal verileri çalınabiliyor. Çalınan bilgilerle banka hesapları boşaltılıyor. Ayrıca, ekranda pedofili içerik ile suçlayan sahte mesajlar gösterilip fidye talep ediliyor. Uzmanlar bu yöntemin kullanıcıları psikolojik baskı altına aldığını belirtiyor.
Maa S Ile Yayılan Yeni Tehdit
Uzmanlar, RatOn’un ilk kez Temmuz 2025’te tespit edildiğini ve Ağustos sonunda daha gelişmiş bir sürümünün ortaya çıktığını belirtiyor. Yazılım, artık Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) formatında diğer siber suçlulara kiralanabiliyor ve tehdit daha da yaygınlaşabilir. Bu durum, yazılımın farklı gruplar tarafından daha geniş kitlelere ulaştırılmasına yol açıyor. Kullanıcıların yalnızca resmi uygulama mağazalarına yönelmeleri öneriliyor. Bilinmeyen kaynaklardan APK indirilmemesi gerektiği vurgulanıyor.
