Yapay zekâ çağında Android tehditlerinin tespiti zorlaşıyor

ESET Research, siber suçluların Android kötü amaçlı kampanyalarını yapay zekâ ile nasıl geliştirdiklerini ortaya koyuyor.

Mevcut yapay zekâ çağında, siber tehditler o kadar hızlı gelişiyor ki birkaç haftalık blog yazıları bile göz açıp kapayıncaya kadar geçerliliğini yitirebiliyor. 2025 Black Friday sırasında Android kullanıcılarını hedef alan yeni tehditler hakkında yazmıştık ve görünüşe göre listeyi güncelleme zamanı geldi.

O zamandan beri ESET araştırmacıları, yeni yapay zekâ destekli tehditlerin yanı sıra bilinen kötü amaçlı yazılım ailelerinin güncellemelerini de tespit etti. Bu iyileştirmeler, Android kötü amaçlı uygulamaların ve kampanyaların hem insanlar hem de otomatik sistemler tarafından tespit edilmesini önemli ölçüde zorlaştırıyor. Ne yazık ki bu tehlikeler sadece yüksek profilli hükümet veya kurumsal hedeflerle sınırlı değil. Günlük Android kullanıcıları, internette gezinirken veya sosyal medyayı kontrol ederken bu tehditlerle karşılaşabilir.

Bu hızla değişen tehdit ortamında, en son teknolojiye sahip yapay zekâ destekli siber güvenlik çözümlerine güvenmek hiç bu kadar önemli olmamıştı… bir nevi ateşe ateşle karşılık vermek gibi. Her şeyden önce, tehditlerin kullanıcıların verilerini veya paralarını çalması öncesinde proaktif koruma sağlamak çok önemlidir.

Bu makalenin ana noktaları: 

• ESET araştırmacıları, siber suçluların yeni yapay zekâ destekli teknikler ve giderek daha sofistike dolandırıcılık yöntemleri geliştirmeleriyle Android tehditlerinde önemli gelişmeler gördüler. 
• ESET araştırmacıları, kısa süre önce, saldırıya uğramış bir cihazda kalıcılığını sürdürmek için üretken yapay zekâ kullanan ve kullanıcının onu kapatmasını veya devre dışı bırakmasını engelleyen ilk bilinen Android kötü amaçlı yazılım vakasını ortaya çıkardı.
• Temassız ödemeler için kullanılan yakın alan iletişimi (NFC) teknolojisini kötüye kullanan NGate saldırı senaryosu hem hacim hem de karmaşıklık açısından giderek artmaktadır. Karmaşık, çok aşamalı dolandırıcılık yöntemleri artık başarı oranlarını artırmak için daha yetenekli kötü amaçlı yazılımlara güvenebilir.
• Sahte hizmet ve ürünleri tanıtmak için deepfake’leri kullanan kötü şöhretli Nomani dolandırıcılıkları, daha gelişmiş yapay zekâ araçlarının manipüle edilmiş içeriğin gerçekçiliğini artırmasıyla tespit edilmesi daha zor hâle geldi.
• Halk, yaygın siber tehditler ve dolandırıcılık göstergeleri konusunda daha bilinçli hâle geldikçe saldırganlar da tipik uyarı işaretlerini tetiklememek için taktiklerini değiştiriyor. Bu gelişen tehditlerle karşı karşıya kalan Android kullanıcıları, yeni saldırı yöntemlerini bile tespit edebilen, güvenilir, yapay zekâ destekli bir siber güvenlik çözümüne ihtiyaç duyuyor.

Yapay zekâ destekli kötü amaçlı yazılımlar ekranınızı anında inceliyor

Kısa süre önce ESET araştırmacıları, ele geçirilmiş bir akıllı telefonun ekran aktivitesini analiz etmek için üretken yapay zekâyı kötüye kullanan ilk bilinen Android kötü amaçlı yazılım vakasını ortaya çıkardı. ESET araştırmacıları, kötü amaçlı yazılımın sahte bir bankacılık uygulaması olarak dağıtılabileceğini tahmin ediyor.

PromptSpy olarak adlandırılan bu kötü amaçlı yazılım ailesi, kilit ekranı verilerini yakalayarak, cihaz bilgilerini toplayarak, ekran görüntülerini alarak, ekran etkinliğini video olarak kaydederek ve daha fazlasını yaparak cihazı gözetler. Saldırganların kurbanın ekranını gerçek zamanlı olarak görüntülemelerine ve sanki fiziksel olarak telefonu ellerinde tutuyormuş gibi uzaktan dokunma, kaydırma ve metin girişi işlemlerini gerçekleştirmelerine olanak tanıyan bir Sanal Ağ Bilgisayarı (VNC) modülü içerir. Bu, kurbanın erişilebilirlik hizmetlerini manuel olarak etkinleştirmeye kandırılması durumunda mümkündür.

Yapay zekâ destekli yönü ise kötü amaçlı uygulamanın çalışmaya devam etmesine yardımcı olur. Kapatılmaktan kaçınmak için kötü amaçlı yazılım “son uygulamalarda uygulamayı kilitle” hareketini gerçekleştirerek kendini son uygulamalar listesinde sabit tutar. Bu hareket cihazlar ve üreticiler arasında farklılık gösteriyor. Bu yüzden evrensel bir kod yazmak zordur ancak yapay zekâ kısmı saldırganların bu sınırlamayı aşmasına yardımcı olur.

Nasıl? PromptSpy, Google Gemini’ye mevcut ekran düzenini, özellikle son kullanılan uygulamalar listesini içeren bir komut gönderir. Ve yapay zekâya metin, tür ve ekrandaki tam konum gibi her kullanıcı arayüzü öğesinin ayrıntılı bir görünümünü sunar. Bu bilgilere dayanarak Gemini, kötü amaçlı yazılıma son kullanılan uygulamalar listesinde sabit kalmak için nereye dokunması gerektiğini belirten kesin, adım adım talimatlar verir.

ESET kıdemli kötü amaçlı yazılım araştırmacısı, bu yeni keşfedilen tehdidi özetler.

Money-stealing saldırıları birden fazla dolandırıcılığı birleştirir 

2024 yazında ESET araştırmacıları, temassız ödemeler için kullanılan yakın alan iletişimi (NFC) teknolojisini kötüye kullanan NGate kötü amaçlı yazılımı ile sosyal mühendisliği birleştiren yeni bir saldırı senaryosu hakkında bir blog yayımladı.

Saldırı, aşağıdaki aşamaları ve teknikleri kullanmasıyla dikkat çekti:

1. Oltalama – Kurbanlar, oltalama web sitesine bir bağlantı içeren vergi iadesi hakkında SMS mesajları aldı.
2. Kimlik hırsızlığı – Web sitesi bir banka kimliğine bürünmüş ve büyük olasılıkla kurbanı, web platform teknolojileri kullanılarak oluşturulmuş bir veri hırsızlığı uygulaması olan Progressive Web App (PWA) yüklemeye ikna etmeye çalışmış.  
3. Kötü amaçlı yazılım – Kurban uygulamayı yükleyip kimlik bilgilerini girdikten sonra, saldırgan anında kurbanın hesabına erişim sağladı.
4. Sahte teknik destek – Saldırgan daha sonra kurbanı arayarak banka çalışanı gibi davranmış ve hesabının ele geçirildiğini bildirmişti. Sorunu “çözmek” için kurbana, benzersiz NGate kötü amaçlı yazılımı içeren başka bir uygulamayı yüklemesini tavsiye etti. 
5. Kötü amaçlı yazılım/veri hırsızlığı – ESET araştırmacıları, NGate uygulamasında kurbanların yeni bir PIN oluşturmak için eski PIN’lerini gireceklerini ve değişikliği doğrulamak veya uygulamak için kartlarını akıllı telefonlarının arkasına yerleştireceklerini ve bu verileri de saldırganlara göndereceklerini düşünüyor.
6. Yürütme – Kart PIN kodları ve NFC verileriyle siber suçlular, kurbanların banka hesaplarından yetkisiz ATM para çekme işlemlerini kolaylaştırabilirler.

Resim 1 2024 NGate kötü amaçlı kampanyasının spesifik saldırı senaryosu

O zamandan beri ESET uzmanları, bu saldırı senaryosunun daha sofistike birçok varyasyonunu gördü.

Aslında en son güncellemelerden biri ESET araştırmacıları tarafından 2025’in sonlarında tespit edildi. Bu sürüm, daha önce bu kötü amaçlı yazılımda belgelenmemiş bir işlev olan kaydedilmiş kişileri de toplayabilir. ESET araştırmacıları, kişi toplamanın sahte destek çağrılarının başarı oranını artırması gerektiğini ve bunun sonucunda NFC ile ilgili yeni saldırı dalgalarının beklendiğini düşünüyor.

Ama hepsi bu kadar değil. En son ESET Tehdit Raporu, ilk olarak ThreatFabric tarafından tespit edilen RatOn kötü amaçlı yazılımını da öne çıkarıyor. Bu mega hibrit kötü amaçlı yazılım, NFC dolandırıcılığını birden fazla kötü amaçlı özellik ile birleştiriyor:

Uzaktan kontrol – Kötü amaçlı yazılım, kurbanları erişilebilirlik hizmeti erişimi, cihaz yönetici ayrıcalığı ve daha fazlasını vermeye ikna ederek saldırganların uzaktan kötü amaçlı eylemler gerçekleştirmesine olanak tanır.  

Erişilebilirlik hizmeti suistimali – Saldırganlar bu erişimi kullanarak, saldırıya uğrayan cihazda kendilerine ek izinler verebilir, örneğin kişileri okuma/yazma ve sistem ayarlarını yönetme gibi.

Overlay saldırıları + fidye yazılımı benzeri yetenekler – Kötü amaçlı yazılım, gerçek ekranın üzerine sahte bir ekran katmanı yerleştirerek kurbana, telefonunun kilidini açmak için 200 dolarlık kripto para fidye ödemesi gerektiğini bildirir.

Otomatik Transfer Sistemi (ATS) yetenekleri – Kötü amaçlı yazılım, kullanıcının bilgisi olmadan meşru bankacılık uygulamaları ve kripto para cüzdanlarıyla doğrudan etkileşime girerek yasa dışı işlemler gerçekleştirebilir.

NFC ile ilgili tehditler, sadece karmaşıklık açısından değil, ölçek açısından da gelişmeye devam ediyor. ESET araştırmacıları, ilk olarak 2025’in ilk yarısında otuz kattan fazla bir artış tespit etti. Tespit edilen sayı hâlâ artmaya devam ediyor. ESET telemetri verileri, 2025’in ilk ve ikinci yarısı arasında tespitlerin %87 arttığını gösteriyor. 

ESET Kıdemli Kötü Amaçlı Yazılım Araştırmacısı Lukáš Štefanko, “Tehdit aktörlerinin NFC teknolojisini istismar etme isteğinin 2026 yılında da artmaya devam edeceğini, NGate veya benzer kötü amaçlı yazılımları kullanarak ve diğer siber suç grupları tarafından kullanılan teknikleri ve sosyal mühendislik yaklaşımlarını benimseyerek devam edeceğini tahmin ediyoruz” diyor. 

Nomani dolandırıcılıkları daha gelişmiş ve tespit edilmesi daha zor

2024 yılında, sosyal medya platformları “gizli” yatırım fırsatlarını, mucizevi besin takviyelerini ve sahte hukuki veya kolluk yardımını tanıtan dolandırıcılık reklamlarıyla doldu. Güvenilirliklerini artırmak için siber suçlular, tanınmış yerel ve küresel şirketlerin markalarını kötüye kullandılar. Ve ünlü kişilerin yer aldığı, yapay zekâ ile üretilmiş deepfake videolar yayımladılar.

Bu dolandırıcılık reklamlarından birinde Elon Musk’ın deepfake videosu “Sadece altı ay içinde ticari hesabınızda bir milyon dolar” iddia ediyor.

Bu dolandırıcıların ana hedefi, kurbanları kişisel bilgileri toplamak için tasarlanmış kimlik avı web sitelerine ve çevrimiçi formlara çekmektir. ESET araştırmacıları, bu dolandırıcılık grubuna “no money” (para yok) kelimesinin kısaltması olan Nomani adını verdiler. Çünkü adından da anlaşılacağı gibi, kurbanlar mucizevi yatırım getirileri elde edemiyor, sadece paralarını kaybediyorlar.

Bir yıl sonra, ESET telemetri verileri bu aldatıcı faaliyetin büyümeye devam ettiğini, bir önceki yıla göre %62 artış gösterdiğini ve dünya çapında yüz binlerce tespit edildiğini, 2025 yılı boyunca 64.000’den fazla benzersiz URL’nin engellendiğini gösteriyor.

ESET Güvenlik Farkındalık Uzmanı Ondrej Kubovič ile birlikte Nomani dolandırıcılığını ortaya çıkarın: Ünlü kişilerin sahte vaatlerde bulunan deepfake versiyonları!

İlk keşfedildiklerinden bu yana, Nomani dolandırıcılıkları birkaç önemli gelişme kaydetti:

• Deepfake’ler artık daha yüksek çözünürlükte, daha az yapay hareketlerle ve daha doğal nefes alıp vermeyle birlikte, iyileştirilmiş ses-video senkronizasyonu ile karşımıza çıkıyor. Tüm bunlar, kullanıcıların bunların sahte olduğunu fark etmesini giderek zorlaştırıyor.
• Reklam içeriği ve ilgili kimlik avı sayfaları artık sık sık güncel olayları ve haber trendlerini yansıtıyor. Bu da bunların alaka düzeyini ve etkisini artırıyor.
• Sosyal medya reklam sistemleri tarafından tespit edilmekten kaçınmak için dolandırıcılar, kampanyalarının ömrünü birkaç saate kadar kısaltıyor. Hedef profille uyuşmayan kullanıcıları, izleme mekanizmaları kullanarak zararsız “gizleme” sayfalarına yönlendiriyor.
• Saldırganlar, harici kimlik avı sitelerine bağlantı vermek yerine, yerleşik formlar ve anketler gibi meşru reklam araçlarını giderek daha fazla kötüye kullanıyor. Böylece izlenebilirliklerini azaltırken hassas verileri toplamaya devam ediyor.
• Kimlik avı web sitesi şablonları da daha rafine bir dil ve tasarımla iyileştirilmiştir. HTML kodlarında yapay zekâ tarafından oluşturulan öğelerin izleri giderek daha fazla görülmektedir.

Yapay zekâ çağında Android akıllı telefonları nasıl koruyabilirsiniz?

Gördüğünüz gibi, sofistike yapay zekâ destekli saldırılar bile bir dereceye kadar insan etkileşimi gerektirir. Bu, ilk savunma hattının insan farkındalığı ve tedbiri olduğu anlamına gelir: 

• “Mucizevi” tekliflere güvenmeyin – bazı şeyler gerçek olamayacak kadar iyidir. Deepfake’ler açıkça gelişiyor ancak içerikleri hâlâ birçok uyarı işareti ile doludur. Ünlü bir kişinin mucizevi bir yatırım, diyet hapı veya hukuki hizmeti tanıtması klasik bir örnektir.
• Beklenmedik veya acil aramalarda sakin olun. Arayanın kimliğini her zaman, temsil ettiğini iddia ettiği kurumla doğrudan doğrulayın. Yüksek baskı taktikleri, hassas verilerin istenmesi veya izlenmesi zor yöntemlerle (kripto para birimleri gibi) ödeme talep edilmesi, dolandırıcılığın güçlü göstergeleridir.
• Resmî uygulama mağazaları dışındaki uygulamaları indirmemeye çalışın. Kötü amaçlı yazılım dağıtan taklit sitelerden kaçınmak için alan adı, iletişim bilgileri, “Hakkımızda” sayfası ve kullanıcı yorumları gibi ayrıntıları iki kez kontrol edin.
• Uygulama izinlerini dikkatlice inceleyin. Bir uygulama, ihtiyaç duymadığı gibi görünen erişim izni (erişilebilirlik ayarları dâhil) talep ettiğinde dikkatli olun (örneğin, bir bankacılık uygulaması kişilerinizin erişim iznini talep etmemelidir); gereksiz izinler genellikle kötü niyetli davranışların işaretidir.
• Cihazınızın güvenliğinin ihlal edildiğinin belirtilerini tanımayı öğrenin. Tekrarlanan ve olağan dışı aşırı ısınma, hızlı pil tüketimi, garip açılır pencereler veya isteyerek yüklemediğiniz uygulamalar, kötü amaçlı yazılım faaliyetinin belirtileri olabilir. 

Kötü amaçlı yazılımlar cihazınıza gizlice girerek dijital hayatınızda ve ötesinde kaosa neden olabilir. Belirtileri nasıl tespit edeceğinizi ve telefonunuzu gelecekteki saldırılardan nasıl koruyacağınızı öğrenin. 

İkinci bir savunma hattı olarak, daha önce hiç görülmemiş tehditleri bile tanıyabilen ve zarar vermeden saldırıları erken aşamada durdurabilen güvenilir bir siber güvenlik korumasına ihtiyacınız vardır. 

ESET Mobile Security for Android, gelişmiş yapay zekâ kötü amaçlı yazılım önleme teknolojilerini kullanır. Yakın zamanda ortaya çıkan PromptSpy gibi yeni kötü amaçlı yazılım aileleri de dâhil ortaya çıkan tehditleri tanımlar ve durdurur.

ESET cihazınızı nasıl koruyabilir?

Yapay Zekâ Destekli Kötü Amaçlı Yazılım Koruması – Dolandırıcılar, kullanıcıları kötü amaçlı yazılımları indirip yüklemeleri için kandırmaya çalışırsa ESET Mobile Security onları kötü amaçlı uygulama yüklemelerine ve diğer kötü amaçlı yazılımlara karşı koruyabilir. Antivirüs, USB On-The-Go bağlantıları üzerinden erişilebilen tüm dosyaları ve cihaz klasörlerini de kontrol edebilir.

Anti-Phishing – ESET Anti-Phishing, en popüler Android tarayıcılarında kötü amaçlı yazılım dağıtan veya kullanıcı adları, parolalar, banka bilgileri veya kredi kartı bilgileri gibi hassas bilgilerinizi ele geçirmeye çalışan kötü amaçlı web sitelerine karşı koruma sağlar.

ESET Anti-Phishing, web tarayıcı koruması, sosyal uygulama koruması, SMS/bildirim koruması ve uygulamalardan gelen kimlik avı bağlantılarını tanıyabilen Link Scanner’ı içerir.

Ödeme Koruması – Bu özellik, Google Pay veya mobil bankacılık uygulamanız gibi uygulamalara ekstra bir güvenlik katmanı ekler. Etkin olduğunda Ödeme Koruması kötü amaçlı uygulamaların korumalı uygulamalarınızın içeriğini okumasını, değiştirmesini veya üzerine yazmasını engeller.

Reklam Yazılımı Algılayıcı – Bu araç, kullanılmadığında bile tam ekran reklamlar görüntüleyen, zararsız uygulamalar (ör. hesap makineleri veya el fenerleri) kılığına giren rahatsız edici reklam yazılımlarını tanımlar.

Çağrı Filtresi – Bu araç, spam ve dolandırıcılık aramalarına karşı ek bir koruma katmanı sağlar. Çağrı Filtresi, kullanıcıların gelen aramaları engellemek ve filtrelemek için özelleştirilmiş kurallar oluşturmasına olanak tanır.

Yapay zekâ Android tehditleri geliştikçe korunmaya devam edin

PromptSpy gibi yeni yapay zekâ destekli kötü amaçlı yazılımlardan giderek daha sofistike hâle gelen NFC tabanlı saldırılara ve tespit edilmesi daha zor Nomani dolandırıcılıklarına kadar, bu gerçek dünya örnekleri siber suçluların kullanıcıları aldatmak ve veri veya para çalmak için çabalarını nasıl artırdığını göstermektedir. 

İnsan farkındalığı ilk savunma hattı olmaya devam ederken daha önce görülmemiş tehditleri tespit edebilen güvenilir bir siber güvenlik çözümüne sahip olmak her zamankinden daha önemlidir.

Sık sorulan sorular (SSS)

Yapay zekâ çağında ortaya çıkan en yeni Android tehditleri nelerdir?

Android cihazları hedef alan siber tehditler hızla gelişmektedir. Bu tehditler, yapay zekâ alanındaki gelişmelerden de beslenmektedir. ESET araştırmacıları, yapay zekâ destekli yeni kötü amaçlı yazılımlar, geliştirilmiş dolandırıcılık teknikleri ve daha sofistike sosyal mühendislik saldırıları tespit etmiştir. Bu tehditler hem kullanıcılar hem de otomatik sistemler tarafından tespit edilmesi daha zordur, bu da proaktif korumayı zorunlu kılmaktadır.

PromptSpy nedir ve neden önemlidir?

PromptSpy, sürekli aktif kalmak için bağlam farkında kullanıcı arayüzü manipülasyonu için üretken yapay zekâyı kötüye kullanan bilinen ilk Android kötü amaçlı yazılımdır. Hassas bilgileri toplar, ekran görüntülerini yakalar, ekranı kaydeder ve daha fazlasını yapar. Yapay zekâ, ekran öğelerini yorumlayarak ve hassas dokunma talimatları oluşturarak onu son uygulamalar listesinde kötü niyetle sabit tutmaya çalışır.

NGate ve RatOn gibi NFC tabanlı saldırılar nasıl çalışır?

NFC ile ilgili dolandırıcılık hem ölçek hem de karmaşıklık açısından giderek artmaktadır. Saldırganlar, kurbanların banka hesaplarına erişmek için genellikle kimlik avı, kimlik sahtekârlığı, sahte teknik destek çağrıları ve kötü amaçlı uygulamalar gibi birden fazla dolandırıcılık yöntemini birleştirir. Buradaki anahtar unsur, yetkisiz ATM para çekimlerini mümkün kılan NFC veri klonlamadır.

Nomani dolandırıcılığı nedir ve neden artık tespit edilmesi daha zor hâle geldi?

Nomani dolandırıcılığı, sahte yatırım fırsatları, mucizevi tedaviler veya hukuki hizmetleri tanıtan aldatıcı çevrimiçi reklamlardır. Bu dolandırıcılıklar, güvenilirlik oluşturmak için sıklıkla yapay zekâ ile üretilmiş ünlülerin deepfake videolarını kullanır. Yüksek kaliteli deepfake’ler, daha iyi tasarlanmış kimlik avı sayfaları, daha kısa reklam ömürleri ve harici bağlantılar yerine yerleşik formlar gibi meşru reklam araçlarının kullanılması nedeniyle bu dolandırıcılıkları tespit etmek giderek zorlaşmaktadır.

Android kullanıcıları bu yapay zekâ destekli tehditlerden kendilerini nasıl koruyabilir?

Farkındalık ilk savunma katmanı olmaya devam ederken Android kullanıcılarının yeni ve bilinmeyen tehditleri tespit edebilen modern güvenlik araçlarına da ihtiyacı vardır. En iyi uygulamalar arasında yalnızca resmî mağazalardan uygulama indirmek, beklenmedik aramaları doğrulamak, uygulama izinlerini incelemek ve cihazın güvenliğinin ihlal edildiğine dair işaretlere dikkat etmek yer alır. ESET Mobile Security for Android gibi çözümler, gelişmiş saldırıları erken aşamada engellemek için yapay zekâ destekli kötü amaçlı yazılım koruması, kimlik avı koruması, ödeme koruması, reklam yazılımı algılama ve çağrı filtreleme özellikleri sunar.