Android kullanıcıları 2025 yılını her zamankinden daha ince bir ip üzerinde yürüyerek geçirdi; kötü amaçlı yazılımlar, veri hırsızlığı yapan uygulamalar ve SMS yoluyla yapılan dolandırıcılıklar hızla artarken, saldırganlar da mobil veri ve erişim etrafındaki iş modellerini geliştirdi.

Geriye baktığımızda, 2025'i, tek seferlik dolandırıcılıkların yerini koordineli, iyi yapılandırılmış saldırı çerçevelerinin aldığı yıl olarak görebiliriz.

Aralık 2024 ile Mayıs 2025 ve Haziran ile Kasım 2025 arasındaki iki eşit altı aylık dönemi karşılaştırdığımızda, verilerimiz Android reklam yazılımı tespitlerinin neredeyse iki katına çıktığını (%90 artış), istenmeyen program tespitlerinin yaklaşık üçte iki oranında ve kötü amaçlı yazılım tespitlerinin ise yaklaşık %20 oranında arttığını göstermektedir.

Haziran ayında dikkat çektiğimiz SMS tabanlı saldırılardaki güçlü artış, 2025'in kazanç yılı olacağını gösteriyor. Tek kullanımlık şifreleri çalma yetenekleri artık deneysel değil; büyük ölçekli kampanyalara entegre ediliyor.

 Rahatsızlık verici olaylardan ciddi suçlara doğru geçiş

2024 yılının tamamına bakıldığında, kötü amaçlı yazılımlar ve potansiyel olarak istenmeyen programlar (PUP'lar) birlikte Android tespitlerinin neredeyse %90'ını oluştururken, kötü amaçlı yazılımlar toplamın yaklaşık %43'üne, potansiyel olarak istenmeyen programlar (PUP'lar) ise %45'ine yükseldi; reklam yazılımları ise yaklaşık %12'ye geriledi.

Bu karışım önemli bir hikaye anlatıyor: Saldırganlar artık gürültülü ve rahatsız edici uygulamalara daha az, sessizce veri toplayabilen, mesajları ele geçirebilen veya hesapların tamamen ele geçirilmesine olanak sağlayan araçlara daha çok yatırım yapıyorlar.

Ama bu, reklam yazılımlarının ve istenmeyen programların sayısının azaldığı anlamına gelmiyor.

Malwarebytes'ın Yapay Zeka ve Dolandırıcılık Araştırmaları Başkanı Şahak Shalev şunları belirtti: 

Tatil sezonu yeni başlamış olabilir, ancak siber suçlular başarılı Android kötü amaçlı yazılım kampanyaları için aylardır zemin hazırlıyorlar. 2025'in ikinci yarısında mobil tehditlerde açık bir artış gözlemledik. MobiDash gibi agresif aileler tarafından yönlendirilen reklam yazılımlarının hacmi neredeyse iki katına çıkarken, istenmeyen program (PUP) tespitleri de arttı; bu da saldırganların yeni dağıtım mekanizmaları denediğini gösteriyor. Tatil boyunca herkesin dikkatli olmasını ve sponsorlu reklamlara, açılır pencerelere tıklamaya veya sosyal medya üzerinden alışveriş yapmaya kalkışmamasını rica ediyorum. Bir teklif gerçek olamayacak kadar iyi görünüyorsa, genellikle öyledir.”  

Yıllardır Android/Adware.MobiDash , Android'deki en yaygın istenmeyen uygulamalardan biri olmuştur. MobiDash, geliştiricilerin (veya yeniden paketleyicilerin) kullanıcıları kısa bir gecikmeden sonra açılır pencerelerle boğmak için normal uygulamalara eklediği bir reklam yazılımı geliştirme kiti (SDK) olarak gelir. 2025 yılında bile istatistiklerimizde her ay binlerce tespit ile karşımıza çıkmaya devam ediyor; sadece MobiDash ailesi altında binlerce vaka kaydedildi.

Dolayısıyla, MobiDash gibi tehditler tamamen ortadan kalkmış değil, ancak artık daha ciddi ve göze çarpan tehditler karşısında giderek arka planda kalıyorlar.

Aynı Aralık-Mayıs ve Haziran-Kasım dönemine bakıldığında, reklam yazılımı tespitleri neredeyse iki katına çıkarken, istenmeyen program (PUP) tespitleri yaklaşık %75, kötü amaçlı yazılım tespitleri ise yaklaşık %20 arttı.

Reklam yazılımları grubunda, MobiDash tek başına 2025 yılının başından sonuna kadar aylık tespit hacmini %100'den fazla artırdı; oysa reklam yazılımları genel olarak Android tehditlerinin azınlık payını oluşturmaya devam etti. Sadece son üç ayda, MobiDash etkinliği yaklaşık %77 oranında arttı ve tespitler Eylül'den Kasım'a kadar istikrarlı bir şekilde yükseldi.

Daha organize bir yaklaşım

Siber suçluların tek bir tehdit sunmaya güvenmek yerine, dropper'lar, casusluk modülleri ve bankacılık yükleri gibi bileşenleri, her kampanya için karıştırılıp eşleştirilebilen esnek araç setleri halinde bir araya getirdiklerini tespit ettik.

Bu değişimi endişe verici kılan şey, bilgi hırsızlarının artık topladığı verilerin kapsamının genişliğidir. Çağrı kayıtları ve konumun ötesinde, birçok örnek mesajlaşma uygulamalarını, tarayıcı etkinliğini ve finansal etkileşimleri izlemek üzere ayarlanmıştır ve bu da birden fazla dolandırıcılık planında yeniden kullanılabilen ayrıntılı davranış profilleri oluşturmaktadır. Bu veriler yeraltı pazarlarında paraya çevrilebilir kaldığı sürece, bu gözetim ekosistemlerinin çalışmaya devam etme teşviki yalnızca artacaktır.

ThreatDown 2025 Kötü Amaçlı Yazılım Durumu raporunun da belirttiği gibi :

“Tıpkı kimlik avı e-postaları gibi, kimlik avı uygulamaları da kullanıcıları kandırarak kullanıcı adlarını, şifrelerini ve iki faktörlü kimlik doğrulama kodlarını ele geçirir. Çalınan kimlik bilgileri satılabilir veya siber suçlular tarafından değerli bilgileri çalmak ve kısıtlı kaynaklara erişmek için kullanılabilir.”

SpyLoan ve Albiriox gibi yırtıcı finans uygulamaları genellikle hızlı nakit, düşük faizli krediler ve minimum kontroller vaat ederek sosyal mühendislik (bazen yapay zeka destekli) yöntemlerini kullanır. Yüklendikten sonra, taciz, şantaj veya platformlar arası kimlik suistimali için kullanılabilecek iletişim bilgilerini, mesajları ve cihaz tanımlayıcılarını toplarlar. SMS ve bildirimlere erişimle birleştiğinde, bu veriler operatörlerin kurbanların gerçek borçlarını, banka bakiyelerini ve özel konuşmalarını yönetmelerini izlemelerine olanak tanır.

Bu daha organize yaklaşımın en açık örneklerinden biri, Android için uzun ömürlü bir uzaktan erişim Truva atı (RAT) olan Triada'dır. Aralık 2024 ile Mayıs 2025 arasındaki verilerimizde, Triada nispeten düşük ancak sürekli seviyelerde ortaya çıktı. Ardından Haziran-Kasım döneminde tespitleri iki katından fazla arttı ve yılın sonlarında belirgin bir artış gösterdi.

Triada'nın rolü, saldırganlara cihazda kalıcı bir dayanak noktası sağlamaktır: Kurulduktan sonra, ek zararlı yazılımların indirilmesine veya başlatılmasına, uygulamaların manipüle edilmesine ve cihaz içi dolandırıcılığın desteklenmesine yardımcı olabilir; bu da tek seferlik enfeksiyonları sürekli operasyonlara dönüştüren uzun vadeli 'altyapı' davranışının tam da örneğidir.

Triada gibi eski bir tehdidin, yeni bankacılık kötü amaçlı yazılımlarıyla aynı dönemde yükselişe geçmesi, 2025 yılının, uzun süredir kullanılan mobil araçların ve yeni dolandırıcılık araçlarının saldırganlar için aynı anda kazanç sağlamaya başladığı yıl olduğunu gösteriyor.

Eğer kötü amaçlı yazılımlar, bilgi hırsızları ve SMS dolandırıcılığı iskele ise, bankacılık Truva atları da huninin dibindeki para kasasıdır. Erişilebilirlik suistimali, cihaz içi dolandırıcılık ve canlı ekran akışı, işlemlerin klonlanmış bir sitede değil, kurbanın kendi bankacılık oturumu içinde gerçekleşmesini sağlayabilir. Bu yaklaşım, cihaz parmak izi alma ve bazı çok faktörlü kimlik doğrulama (MFA) biçimleri gibi birçok savunmayı atlatır . Bu değişimler, istatistiklerimizdeki daha geniş trendde de kendini gösteriyor; daha fazla tespit, katmanlı, uçtan uca dolandırıcılık hatlarına işaret ediyor.

2024 yılındaki temel verilere kıyasla, kimlik avı yapabilen Android uygulamaları ve tek kullanımlık şifre (OTP) hırsızları birlikte tüm Android tespitlerinin yalnızca küçük bir bölümünü oluştururken, 2025 verileri, özellikle büyük dolandırıcılık sezonlarında, bazı aylarda paylarının onlarca puan arttığını gösteriyor.

Android kullanıcılarının şimdi yapması gerekenler

Bu bağlamda, Android kullanıcılarının mobil güvenliğe masaüstü ve sunucu ortamlarıyla aynı ciddiyeti göstermeleri gerekiyor. Bunu tekrarlamakta fayda var, çünkü Malwarebytes araştırması, insanların telefonlarında bir bağlantıya tıklama olasılığının dizüstü bilgisayarlarına göre %39 daha yüksek olduğunu gösteriyor.

 Birkaç pratik adım gerçek bir fark yaratır:

·         Resmi uygulama mağazalarını tercih edin, ancak onlara körü körüne güvenmeyin. Özellikle hassas izinler isteyen finansal ve "yardımcı" uygulamalar için geliştirici itibarını, yorumları ve indirme sayılarını dikkatlice inceleyin.

·         Bilgi hırsızlığı, bankacılık Truva atları ve OTP çalma kampanyalarında tekrar tekrar karşımıza çıkan SMS erişimi, bildirim erişimi, Erişilebilirlik ve "Diğer uygulamaların üzerinde görüntüle" gibi izinler konusunda son derece dikkatli olun.

·         Kesinlikle gerekli olmadıkça, yan yükleme ve gri pazar yazılımlarından kaçının. Mümkün olduğunca, net bir güncelleme politikasına sahip cihazları tercih edin ve güvenlik yamalarını derhal uygulayın.

·         Beklenmedik metin mesajlarını ve özellikle ödemeler, teslimatlar veya acil hesap sorunlarıyla ilgili olanları, aksi ispatlanana kadar düşmanca olarak değerlendirin ve asla bu mesajlardan gelen bağlantılara tıklamayın veya doğrudan uygulama yüklemeyin.

·         Hesabınızın tamamen ele geçirilmesine yol açmadan önce zararlı uygulamaları tespit edebilen, bilinen kötü amaçlı bağlantıları engelleyebilen ve şüpheli SMS etkinliklerini işaretleyebilen, güncel ve gerçek zamanlı mobil güvenlik yazılımı kullanın.

2025'te mobil tehditler artık arka plan gürültüsü veya yalnızca ileri düzey kullanıcıların ve meraklıların alanı değil. Birçok insan için telefon artık ana saldırı yüzeyi ve paralarına, kimliklerine ve kişisel yaşamlarına açılan ana kapı.

Biz sadece telefon güvenliği hakkında haber yapmıyoruz, aynı zamanda güvenlik hizmeti de sunuyoruz.

Siber güvenlik riskleri asla manşetlerin ötesine geçmemeli. Malwarebytes'ı iOS ve Android için hemen indirerek mobil cihazlarınızdaki tehditleri uzak tutun  .