Danny Weber
10:33 14-01-2026
© RusPhotoBank
Android kullanıcılarını hedefleyen deVixor, bankacılık truva atı ve fidye yazılımı karışımı: SMS/OTP topluyor, kimlik bilgilerini çalıyor ve ekranı kilitliyor.
Siber güvenlik araştırmacıları, Android sahiplerini hedef alan yeni ve tehlikeli bir tehdidi işaret ediyor: deVixor adlı bir bankacılık truva atı, kurbanların hesaplarından para sızdırmakla kalmıyor, fidye yazılımı yöntemlerine de başvuruyor.
Uzmanlar, 700'den fazla kötü amaçlı dosya örneği tespit etti ve saldırıların Ekim 2025'ten bu yana sürdüğünü belirtiyor. deVixor, tanınmış otomotiv markalarının sayfalarını taklit eden sahte siteler üzerinden yayılıyor; sözde kaçırılmayacak fırsatlar sunuluyor. Ziyaretçilerden, sipariş vermek ya da ayrıntı almak için gerekliymiş gibi gösterilen bir APK indirmeleri isteniyor. Günlük kullanım akışına yerleştirilmiş bu tuzak, masum ve pratik görünmesiyle ikna etmeyi hedefliyor.
Kurulumdan sonra truva atı sessizce yerleşiyor ve Telegram tabanlı bir komuta-kontrol altyapısına dayanarak çalışıyor. Aynı zamanda talimat almak ve çalınan verileri iletmek için Firebase sunucularıyla haberleşiyor. Tanıdık platformların arkasına saklanan bu tercih, trafiği sıradan uygulamalarla karıştırıp tespiti ve engellemeyi bariz biçimde zorlaştırıyor.
Zararlının ana hedefi finansal hırsızlık. Ele geçirilen cihazdaki SMS iletilerini tarayarak bankacılık bildirimlerini ve tek kullanımlık kodları topluyor; kart numaraları ile hesap bakiyelerini de derliyor. Saldırganlar, WebView ve JavaScript enjeksiyonlarını kötüye kullanarak ikna edici, sahte bankacılık sayfaları gösteriyor ve kurbanlar farkında olmadan kimlik bilgilerini giriyor. Bu sahte ara yüzler, dikkatsiz bir bakışta gerçeklerinden ayırt etmeyi zorlaştırıyor.
En tedirgin edici yetenek ise fidye amacı güden modülü. Operatörler tek bir komutla cihazın ekranını kilitleyebiliyor ve belirtilen bir adrese TRON ile 50 TRX gönderilmesini talep eden bir mesaj gösteriyor. Talepler karşılanana kadar telefona erişim engelleniyor; böylece veri hırsızlığı tam teşekküllü bir şantaja dönüşüyor.
deVixor'un ortaya çıkışı, siber suçluların araç setlerini sürekli cilalayıp esnek ve tehlikeli saldırı platformlarına dönüştürdüğünü bir kez daha gösteriyor. Uzmanlar, Android kullanıcılarına uygulamaların kaynağını titizlikle kontrol etmelerini ve özellikle kulağa fazla iyi gelen vaatlerle karşılaşıldığında doğrulanmamış sitelerden APK yüklemekten kaçınmalarını öneriyor. Cazip görünen tekliflere mesafeli kalmak, çoğu zaman en ucuz güvenlik önlemi.