Araştırmalara Dön
Advisory

Android 'Perseus' Bankacılık Malware'i Not Uygulamalarına Sızıyor

Eresus Security Research TeamYazar
1 Nisan 2026
2 dk okuma

Android işletim sisteminin güvenlik mekanizmalarını aşacak seviyede geliştirilen yeni nesil bir bankacılık zararlısı türü olan Perseus, küresel ölçekte hızla yayılmaya başladı. Geleneksel keylogger (tuş kaydedici) tekniklerinin ötesine geçen bu malware, Android cihazların "Erişilebilirlik" (Accessibility) izinlerini kötüye kullanarak arka planda finansal dolandırıcılık gerçekleştiriyor.

Eresus Security güvenlik araştırmacıları, Perseus'un özellikle parolalarını, cüzdan kurtarma kelimelerini (seed phrases) ve banka şifrelerini açık metin (plain-text) not uygulamalarında saklayan kullanıcıları doğrudan hedef aldığını belirtiyor.

Perseus Nasıl Saldırır?

Perseus, gelişmiş oltalama (phishing) kampanyalarıyla (SMS veya zararlı reklam ağları üzerinden) sisteme dağıtılmaktadır. Malware kendini genelde "Acil Sistem Güncellemesi", "Yerel Vergi Asistanı" ya da meşru bir işlem aracı olarak kamufle eder.

Kurulumun ardından sahte uygulama, kullanıcının cihazına tam erişim sağlamak için "Tüm özellikleri etkinleştir" bahanesiyle Erişilebilirlik (Accessibility) izinlerini açmasını ister. Bu izin verildiği an, cihaz tamamen saldırganların kontrolüne geçer.

Oltalama ve Sömürü Süreci

İzin alır almaz Perseus şunları gerçekleştirir:

  1. Ekran Okuma (Screen Scraping): Açık olan tüm uygulamaları arka planda okur. Öncelikli hedefi Google Keep, Samsung Notes, Evernote gibi Not alma uygulamaları ile finans/kripto şifrelerinin saklandığı yerlerdir. Ekranda okunan tüm finansal kelimeler anında saldırganlara iletilir.
  2. Arayüz Kaplama (Overlay Attack): Kullanıcı meşru bir bankacılık uygulamasını açtığında, Perseus anında bu uygulamanın birebir aynı görünümünde transparan bir pencere örtüsü (overlay) açarak kullanıcının girdiği T.C. Kimlik / Parola ikilisini çalar.
  3. Otomatik Finansal Fraud (ATS): Malware, Otomatik Para Transfer Sistemi (Automated Transfer System) mantığıyla arka planda çalışabilir. Kullanıcının ekranı kilitliyken veya ışığı kasıtlı olarak kısıldığında uygulamalarda gezinebilir, transfer başlatabilir ve SMS ile gelen 2FA kodlarını okuyup otomatik silebilir.

Korunma ve Alınması Gereken Önlemler

Sadece Google Play Protect uyarılarına bel bağlamak artık yeterli değildir. Hem kurumlar hem de son kullanıcılar çok daha katı mobil güvenlik standartları belirlemelidir:

  • Kurumlar İçin: Kurumsal mobil cihazlarda yetkisiz APK kurulumlarını (sideloading) sıkı Mobil Cihaz Yönetimi (MDM) politikalarıyla kesin olarak yasaklayın.
  • Kullanıcılar İçin: Fiziksel bir engeliniz (görme vb.) olmadığı sürece, ve gerçekten güvenmediğiniz hiçbir uygulamaya kesinlikle "Erişilebilirlik (Accessibility)" izni vermeyin. Bankacılık uygulamaları da bu izni asla zorunlu kılmaz.
  • Açık Metin Saklamayın: Asla dijital not uygulamalarında kripto cüzdan kurtarma kelimelerinizi veya şirket parolalarınızı bulundurmayın.

Geliştirdiğiniz veya kurum içinde kullandığınız bankacılık uygulamaları ATS (Yapay/Canlı Para Transferi) saldırılarına karşı güvenli mi? Gelişmiş Mobil Sızma (Pentest) ve Tersine Mühendislik hizmetleri için Eresus Security uzmanlarına danışın.