EresusSecurity
Araştırmalara Dön
Advisory

Android 'Perseus' Bankacılık Malware'i Not Uygulamalarına Sızıyor

Mevlüt YıldırımSOC Analisti
1 Nisan 2026
Güncellendi: 26 Nisan 2026
7 dk okuma
GuideMobile Security

Android işletim sisteminin güvenlik mekanizmalarını aşacak seviyede geliştirilen yeni nesil bir bankacılık zararlısı türü olan Perseus, küresel ölçekte hızla yayılmaya başladı. Geleneksel keylogger (tuş kaydedici) tekniklerinin ötesine geçen bu malware, Android cihazların "Erişilebilirlik" (Accessibility) izinlerini kötüye kullanarak arka planda finansal dolandırıcılık gerçekleştiriyor.

Eresus Security güvenlik araştırmacıları, Perseus'un özellikle parolalarını, cüzdan kurtarma kelimelerini (seed phrases) ve banka şifrelerini açık metin (plain-text) not uygulamalarında saklayan kullanıcıları doğrudan hedef aldığını belirtiyor.

Perseus Nasıl Saldırır?

Perseus, gelişmiş oltalama (phishing) kampanyalarıyla (SMS veya zararlı reklam ağları üzerinden) sisteme dağıtılmaktadır. Malware kendini genelde "Acil Sistem Güncellemesi", "Yerel Vergi Asistanı" ya da meşru bir işlem aracı olarak kamufle eder.

Kurulumun ardından sahte uygulama, kullanıcının cihazına tam erişim sağlamak için "Tüm özellikleri etkinleştir" bahanesiyle Erişilebilirlik (Accessibility) izinlerini açmasını ister. Bu izin verildiği an, cihaz tamamen saldırganların kontrolüne geçer.

Oltalama ve Sömürü Süreci

İzin alır almaz Perseus şunları gerçekleştirir:

  1. Ekran Okuma (Screen Scraping): Açık olan tüm uygulamaları arka planda okur. Öncelikli hedefi Google Keep, Samsung Notes, Evernote gibi Not alma uygulamaları ile finans/kripto şifrelerinin saklandığı yerlerdir. Ekranda okunan tüm finansal kelimeler anında saldırganlara iletilir.
  2. Arayüz Kaplama (Overlay Attack): Kullanıcı meşru bir bankacılık uygulamasını açtığında, Perseus anında bu uygulamanın birebir aynı görünümünde transparan bir pencere örtüsü (overlay) açarak kullanıcının girdiği T.C. Kimlik / Parola ikilisini çalar.
  3. Otomatik Finansal Fraud (ATS): Malware, Otomatik Para Transfer Sistemi (Automated Transfer System) mantığıyla arka planda çalışabilir. Kullanıcının ekranı kilitliyken veya ışığı kasıtlı olarak kısıldığında uygulamalarda gezinebilir, transfer başlatabilir ve SMS ile gelen 2FA kodlarını okuyup otomatik silebilir.

Korunma ve Alınması Gereken Önlemler

Sadece Google Play Protect uyarılarına bel bağlamak artık yeterli değildir. Hem kurumlar hem de son kullanıcılar çok daha katı mobil güvenlik standartları belirlemelidir:

  • Kurumlar İçin: Kurumsal mobil cihazlarda yetkisiz APK kurulumlarını (sideloading) sıkı Mobil Cihaz Yönetimi (MDM) politikalarıyla kesin olarak yasaklayın.
  • Kullanıcılar İçin: Fiziksel bir engeliniz (görme vb.) olmadığı sürece, ve gerçekten güvenmediğiniz hiçbir uygulamaya kesinlikle "Erişilebilirlik (Accessibility)" izni vermeyin. Bankacılık uygulamaları da bu izni asla zorunlu kılmaz.
  • Açık Metin Saklamayın: Asla dijital not uygulamalarında kripto cüzdan kurtarma kelimelerinizi veya şirket parolalarınızı bulundurmayın.

Geliştirdiğiniz veya kurum içinde kullandığınız bankacılık uygulamaları ATS (Yapay/Canlı Para Transferi) saldırılarına karşı güvenli mi? Gelişmiş Mobil Sızma (Pentest) ve Tersine Mühendislik hizmetleri için Eresus Security uzmanlarına danışın.

Temel Değerlendirme

Mobil tehditler artık sadece zararlı APK veya exploit zinciri değildir; kimlik avı, erişilebilirlik izni, overlay, oturum ele geçirme, API suistimali ve kullanıcı davranışı aynı kampanyada birleşebilir. Mobil güvenlik bu yüzden uygulama, cihaz, backend API ve fraud sinyallerini birlikte okumalıdır.

Bu Konu Neden Önemli?

  • Mobil uygulama güvenliği kullanıcı cihazı kadar backend API ve oturum mimarisine de bağlıdır.
  • Erişilebilirlik, overlay ve phishing teknikleri teknik zafiyet olmadan da hesap ele geçirmeye yol açabilir.
  • Finans, kripto ve kurumsal uygulamalarda mobil fraud doğrudan iş kaybına dönüşür.

Güvenlik ekipleri açısından değer, tekil bir bulgunun adından çok bulgunun hangi veriye, kullanıcıya, sisteme veya iş sürecine temas ettiğini gösterebilmekten gelir.

Bu nedenle değerlendirme yapılırken sadece teknik kontrol listesi değil, gerçek saldırı yolu, istismar kanıtı, operasyonel etki ve düzeltme önceliği birlikte ele alınmalıdır.

Pratik Örnek

Bir bankacılık uygulaması sertifika pinning kullanıyor olabilir; ancak saldırgan overlay ile kimlik bilgisini alıp backend API’de zayıf cihaz bağlama veya risk skoru nedeniyle oturum açabiliyorsa gerçek risk devam eder. Test, cihaz tarafı kadar API ve fraud kontrollerine de bakmalıdır.

Yanlış Bilinenler

  • Mobil pentesti sadece APK statik analizi sanmak.
  • Backend API testini mobil kapsamın dışında bırakmak.
  • Kullanıcı izniyle gerçekleşen saldırıları güvenlik problemi değil destek problemi gibi görmek.

Karar Tablosu

| Durum | Risk | Ne Yapılmalı? | | --- | --- | --- | | Sistem hassas veriye erişiyor | Veri sızıntısı veya yetki aşımı | Kapsamlı güvenlik testi planlanmalı | | Sadece demo ortamında çalışıyor | Düşük ama büyüyebilir risk | Mimari ve veri akışı şimdiden belgelenmeli | | Üretime yakın entegrasyon var | Zincirleme etki ve operasyon riski | Assessment, remediation ve retest takvimi çıkarılmalı |

Uygulanabilir Kontrol Listesi

  • Varlık, veri ve kullanıcı rolleri açıkça listelendi mi?
  • Kritik akışlar gerçek kullanıcı senaryolarıyla test edildi mi?
  • Yetki sınırları hem başarılı hem başarısız isteklerle doğrulandı mı?
  • Log, hata mesajı ve izleme sistemleri hassas veri sızdırıyor mu?
  • Bulgu çıktıları iş etkisi ve remediation sahibiyle birlikte yazıldı mı?
  • Düzeltme sonrası retest kriteri önceden belirlendi mi?

Profesyonel Destek Ne Zaman Gerekir?

Mobil uygulama ödeme, kimlik, sağlık, kripto, müşteri verisi veya kurumsal erişim içeriyorsa profesyonel mobil pentest ve tersine mühendislik incelemesi gerekir.

Profesyonel destek gerektiren en net sinyal, riskin tek bir ekip tarafından tamamen görülememesidir. Ürün, güvenlik, DevOps, veri ve hukuk ekipleri aynı soruya farklı cevap veriyorsa bağımsız assessment işi hızlandırır.

Eresus Yaklaşımı

Eresus Security bu tip konularda yalnızca bulgu listesi üretmez; saldırı yolunu, iş etkisini, kanıtı, önerilen düzeltmeyi ve retest koşulunu birlikte verir.

Çalışma çıktısı teknik ekip için uygulanabilir, yönetim için anlaşılır ve satış/uyum görüşmeleri için kanıt niteliği taşıyacak şekilde hazırlanır.

Eresus Security, mobil uygulama pentestlerinde client güvenliği, backend API, oturum yönetimi ve fraud senaryolarını birlikte değerlendirir. Kritik mobil akışlarınızı release öncesi test edebiliriz.

Saha Kontrol Soruları

  1. Uygulama root/jailbreak sinyalini nasıl ele alıyor?
  2. API cihaz bağlama kontrolü yapıyor mu?
  3. Overlay saldırıları için risk sinyali var mı?
  4. Erişilebilirlik kötüye kullanımı izleniyor mu?
  5. Oturum tokenı güvenli saklanıyor mu?
  6. Deep link doğrulaması yeterli mi?
  7. Sertifika pinning bypass testi yapıldı mı?
  8. Finansal işlemde ek doğrulama var mı?
  9. Fraud sistemi davranış anomalisi görüyor mu?
  10. Hassas veri clipboard’a düşüyor mu?
  11. Loglar PII içeriyor mu?
  12. Push bildirimleri gizli bilgi taşıyor mu?
  13. Offline cache şifreli mi?
  14. Backend API mobil rolünü doğruluyor mu?
  15. Release öncesi tersine mühendislik testi var mı?

Sık Sorulan Sorular

Android 'Perseus' Bankacılık Malware'i Not Uygulamalarına Sızıyor için ilk bakılması gereken şey nedir?

İlk bakılması gereken şey sistemin hangi veriye, hangi kimlikle ve hangi aksiyon yetkisiyle eriştiğidir. Teknik araç seçimi bundan sonra anlam kazanır.

Bu çalışma yalnızca otomatik araçlarla yapılabilir mi?

Otomatik araçlar iyi bir başlangıçtır ama iş mantığı, yetki sınırı, zincirleme etki ve gerçek istismar kanıtı için manuel güvenlik analizi gerekir.

Çıktı nasıl aksiyona dönüşür?

Her bulgu için etki, kanıt, önerilen düzeltme, sorumlu ekip ve retest kriteri yazılır. Böylece rapor sadece okunmaz, sprint veya güvenlik backlog’una girer.

Eresus bu konuda nasıl destek verir?

Eresus Security kapsam çıkarma, teknik test, risk önceliklendirme, remediation danışmanlığı ve retest aşamalarını tek bir çalışma akışıyla destekler.

Uygulama Planı

1. Kapsamı Netleştir

  • Mobil client, backend API, oturum, cihaz sinyali, fraud kuralı ve kullanıcı akışı birlikte çıkarılır.
  • Erişilebilirlik, overlay, deep link, token storage ve network trafiği ayrı başlıklar olarak test edilir.
  • Kritik finansal veya kimlik akışlarında server-side kontrol varlığı doğrulanır.

2. Kanıt Üret

  • Client tarafındaki zayıflığın backend etkisi gösterilir; yalnızca ekran görüntüsüyle yetinilmez.
  • Oturum, cihaz bağlama ve fraud sinyalleri test sırasında kayıt altına alınır.
  • Reverse engineering bulguları iş etkisiyle ilişkilendirilir.

3. Düzeltmeyi Takip Edilebilir Hale Getir

  • Hassas veri saklama, token ömrü ve API yetkilendirme sınırları güçlendirilir.
  • Riskli aksiyonlara server-side doğrulama ve davranış anomalisi kontrolü eklenir.
  • Mobil release öncesi client ve API retest takvimi belirlenir.

Raporlama Formatı

  • Bulgu adı kısa ve teknik olarak net yazılmalı.
  • Etkilenen varlık, kullanıcı rolü ve veri sınıfı belirtilmeli.
  • İstismar adımları tekrar üretilebilir ama gereksiz saldırı detayı içermeyecek şekilde verilmeli.
  • İş etkisi, teknik etkiden ayrı açıklanmalı.
  • Önerilen düzeltme, sorumlu ekip ve retest kriteri aynı blokta yer almalı.
  • Yazı ilgili hub sayfasına bağlanmalı.
  • Aynı pillar içindeki iki destekleyici bloga bağlantı verilmelidir.
  • Hizmet sayfasına giden CTA, okuyucunun bulunduğu karar aşamasına uygun olmalıdır.
  • Advisory veya araştırma içeriği varsa güven sinyali olarak ikincil bağlantı şeklinde kullanılmalıdır.

Sonraki Adım

Bu yazıdan sonra mobil uygulama pentest, API güvenliği ve sosyal mühendislik/fraud içerikleri birlikte ele alınmalıdır.

Güvenlik Doğrulaması

Bu riski kendi sisteminizde test ettirdiniz mi?

Eresus Security; sızma testi, AI ajan güvenliği ve kırmızı takım operasyonlarıyla gerçek istismar kanıtı üretir.

Pilot test talep et

İlgili Araştırmalar

Threat Intelligence

Derin Sahtecilik (Deepfake) Suçları ve Vishing: AI Destekli Yeni Nesil Oltalama

Yapay zeka ses klonlama (Vishing) ve Deepfake teknolojilerinin kurumsal dolandırıcılıklarda nasıl kullanıldığını ve bunlara karşı savunma stratejilerini...

Insights

İnsanları Hacklemek: Sosyal Mühendislik ve Psikolojisi

Sosyal mühendislik çalışmaları genellikle en heyecan verici ve kalp atışlarını hızlandıranlardır. Bu sadece yaka kartı okuyucusunda veya resepsiyonda başlamaz. Erişim asıl bir insan karar verdiğinde gerçekleşir.

Offensive Security

BOLA ve IDOR Zafiyetinin Derinlikleri: REST ve GraphQL API'leri Nasıl Sömürülür?

Broken Object Level Authorization (BOLA/IDOR) zafiyeti nedir? Fintek ve e-ticaret API''lerindeki yetki atlama açıkları otonom ajanlarla nasıl tespit...