Bulut güvenliği firması Zscaler tarafından yayımlanan rapora göre, Google Play üzerinde yer alan yüzlerce zararlı Android uygulaması, Haziran 2024 ile Mayıs 2025 arasında 42 milyon kez indirildi. Rapor, mobil cihazlara yönelik kötü amaçlı yazılımlarda geçen yıla göre yüzde 67 oranında artış yaşandığını ortaya koydu.
Zararlı Yazılımlar Android Ekosisteminde Yayılıyor
Zscaler’ın analizine göre tehdit aktörleri, geleneksel kart dolandırıcılıklarından uzaklaşıp mobil ödeme sistemlerine yöneldi. Saldırganlar, kimlik avı (phishing), kısa mesaj dolandırıcılığı (smishing) ve SIM değişim saldırıları gibi yöntemlerle kullanıcıların finansal verilerini ele geçirmeye çalışıyor. Güvenlik standartlarının güçlenmesi ve mobil ödemelerin yaygınlaşması, siber suçluların sosyal mühendisliğe dayalı saldırılara ağırlık vermesine neden oldu.
Engellenen bankacılık trojan işlemleri
Raporda, kötü amaçlı yazılımların son üç yılda istikrarlı biçimde arttığı belirtildi. 2025 yılı itibarıyla banka truva atı (banking trojan) tabanlı işlemlerin sayısı 4,89 milyona ulaştı. Zscaler, bir önceki yıla göre zararlı uygulama sayısının 200’den 239’a yükseldiğini, bu uygulamaların toplamda 42 milyon kez indirildiğini bildirdi.
Android ekosisteminde en sık rastlanan tehdit türünün reklam yazılımları (adware) olduğu açıklandı. Adware, tüm zararlı yazılımların yüzde 69’unu oluşturdu. Geçen yıl yüzde 38’lik oranla ilk sırada yer alan Joker bilgi hırsızı ise bu yıl yüzde 23’e geriledi. Buna karşın casus yazılımlar (spyware) yüzde 220 oranında artış gösterdi. SpyNote, SpyLoan ve BadBazaar aileleri, izleme, şantaj ve kimlik hırsızlığı amacıyla kullanılan başlıca casus yazılımlar olarak öne çıktı.
En çok etkilenen ilk on ülke
Coğrafi dağılım açısından bakıldığında saldırıların yüzde 55’inin Hindistan, Amerika Birleşik Devletleri ve Kanada’da gerçekleştiği tespit edildi. İtalya ile İsrail’deki saldırı oranlarında ise yüzde 800 ila 4000 arasında artış kaydedildi.
Zscaler raporunda Android kullanıcılarını etkileyen üç öne çıkan zararlı yazılım ailesine dikkat çekildi. Bunlardan ilki, üretkenlik ve araç uygulamaları üzerinden Google Play’e sızan Anatsa adlı banka truva atı oldu. 2020’den bu yana gelişimini sürdüren Anatsa, 831’den fazla finans kuruluşundan veri çalabiliyor ve Almanya ile Güney Kore gibi yeni bölgelerde de etkisini artırıyor.
Xnotice saldırılarına genel bakış
İkinci zararlı yazılım, Android Void (Vo1d) olarak adlandırılan arka kapı yazılımı oldu. Bu kötü amaçlı yazılım, özellikle eski Android Open Source Project (AOSP) sürümlerini kullanan televizyon kutularını hedef alarak Hindistan ve Brezilya’da 1,6 milyon cihazı enfekte etti.
Üçüncü olarak öne çıkan Xnotice adlı uzaktan erişim truva atı (RAT), petrol ve gaz sektöründeki iş arayanları hedef aldı. Xnotice, sahte iş başvuru ve sınav kayıt uygulamaları şeklinde yayılarak kullanıcıların banka bilgilerini, çok faktörlü kimlik doğrulama kodlarını ve SMS mesajlarını ele geçiriyor.
Zscaler, kullanıcıların yalnızca güvenilir yayıncılardan uygulama indirmesini, Erişilebilirlik izinlerini devre dışı bırakmasını, gereksiz uygulamalardan kaçınmasını ve düzenli olarak Play Protect taraması yapmasını önerdi.
Raporda ayrıca, Nesnelerin İnterneti (IoT) cihazlarının da artan oranda hedef alındığı belirtildi. Saldırganlar, yönlendiricilerdeki komut enjeksiyonu açıklarını kullanarak cihazları botnet ağlarına dahil ediyor. En çok saldırı ABD’de görülürken Hong Kong, Almanya, Hindistan ve Çin de hedef ülkeler arasında yer aldı.
Zscaler, kurumların kritik ağlarını korumak için sıfır güven (zero-trust) yapısını benimsemeleri, IoT cihazlarını izlemeleri ve güvenlik önlemlerini donanım seviyesinde güçlendirmeleri gerektiğini vurguladı.
