Sahte Google Güvenlik Kontrolü Sayfası, Tarayıcı Tabanlı Casus Yazılım Dağıtıyor

05.03.2026 Bot 5 Techolay
Sahte Google Güvenlik Kontrolü Sayfası, Tarayıcı Tabanlı Casus Yazılım Dağıtıyor

Siber güvenlik şirketi Malwarebytes, Google Hesap güvenlik kontrolü gibi görünen sahte bir web sayfası üzerinden dağıtılan son derece gelişmiş bir tarayıcı tabanlı casus yazılım hakkında uyarıda bulundu.

Sahte Güvenlik Kontrolü ile Başlayan Casus Yazılım Saldırısı

Malwarebytes’ın analizine göre saldırı, Google’ın resmi güvenlik kontrol sayfasını taklit eden bir web sitesiyle başlıyor. Sayfa, Google’ın tasarımına benzeyen bir arayüz ve resmi gibi görünen bir alan adı kullanarak kullanıcıları kandırıyor.

Kullanıcıdan daha sonra “güvenlik yazılımı” yüklemesi isteniyor. Bu yazılım aslında Progressive Web App (PWA) olarak sunulan zararlı bir uygulama. Kurulum süreci dört adımda ilerlerken saldırganlara bildirim erişimi, kişi listesi erişimi, gerçek zamanlı GPS konumu, pano içeriği ve tarayıcı bildirimleri gibi izinlerin verilmesi sağlanıyor. Bu izinler verildiğinde saldırganlar, kurbanın cihazı üzerinde kapsamlı veri toplama faaliyetleri gerçekleştirebiliyor.

Zararlı uygulama, çalışırken kullanıcı panosunu sürekli izleyerek tek kullanımlık doğrulama kodları (OTP) ve kripto para cüzdanı adreslerini ele geçirmeye çalışıyor. Ayrıca mobil cihazlarda SMS doğrulama kodlarını yakalayabilen bir mekanizma da içeriyor. Malwarebytes’a göre uygulama, saldırganlardan gelen komutları almak için her 30 saniyede bir sunucuya bağlanarak yeni görevleri kontrol ediyor.

Kullanıcı tarayıcı sekmesini kapatsa bile tehlike tamamen ortadan kalkmıyor. Çünkü zararlı uygulama, “service worker” adı verilen arka plan bileşenini kullanarak çalışmaya devam edebiliyor.

Bu yapı sayesinde saldırganlar; arka planda veri çalmaya devam edebiliyor, bildirim izni varsa uygulamayı uzaktan yeniden tetikleyebiliyor ve internet bağlantısı yoksa çalınan verileri cihazda saklayıp bağlantı geri geldiğinde gönderebiliyor. Malwarebytes, kullanıcı uygulamayı yeniden açtığında veri toplama faaliyetlerinin anında yeniden başladığını belirtiyor.

Zararlı yazılımın bir diğer dikkat çekici özelliği ise WebSocket tabanlı bir HTTP proxy gibi çalışabilmesi. Bu sayede kullanıcının tarayıcısı üzerinden internet trafiği yönlendirilerek kurumsal ağlara erişim sağlanabiliyor. Araştırmacılara göre saldırganlar, bu yöntemle IP tabanlı erişim kontrollerini aşarak sanki kurbanın kendi ağından bağlantı kuruyormuş gibi davranabiliyor.

Android cihazlarda ise saldırı daha da ileri gidiyor. Kullanıcılara “kritik güvenlik güncellemesi” gibi görünen bir APK dosyası indirtiliyor. Bu uygulama; tuş vuruşlarını kaydedebilen özel klavye, bildirim takibi ile 2FA kodlarını yakalama, ekran içeriğini izleyebilen erişilebilirlik servisi, otomatik doldurma verilerini ele geçirme ve mikrofon üzerinden ses kaydetme gibi özelliklere sahip.

Malwarebytes, söz konusu zararlı yazılımın Windows, macOS ve Android cihazları hedef alabilen “en kapsamlı tarayıcı tabanlı gözetleme araçlarından biri” olabileceğini belirtiyor. Şirket, kullanıcıların sahte güvenlik uyarılarına karşı dikkatli olması ve özellikle web sitelerinden indirilen uygulamalara izin verirken temkinli davranması gerektiğini vurguluyor.

Kaynak: pcgamer.com

Kaynak: Techolay

Blog'a dön Kaynağı Gör