ESET’in CallPhantom adını verdiği  uygulamalar, herhangi bir telefon numarasının arama geçmişine, SMS kayıtlarına ve hatta WhatsApp arama kayıtlarına erişim sağladığını iddia ediyor. Bu sözde özelliği etkinleştirmek için kullanıcılardan ödeme yapmaları isteniyor ancak karşılığında aldıkları tek şey rastgele oluşturulan veriler. ESET’in araştırması, toplamda 7,3 milyondan fazla kez indirilmiş 28 adet bu tür sahte uygulamayı tespit etti.  ESET App Defense Alliance ortağı olarak bulgularını Google’a bildirdik ve Google, bu raporda tespit edilen tüm uygulamaları Google Play’den kaldırdı. 

 CallPhantom uygulamaları, ağırlıklı olarak Hindistan ve daha geniş Asya Pasifik bölgesindeki Android kullanıcılarını hedef alıyor. Uygulamaların çoğunda Hindistan’ın +91 ülke kodu, önceden seçili olarak geliyor ve bu uygulamalar, esas olarak Hindistan’da kullanılan bir ödeme sistemi olan UPI’yi destekliyor.

CallPhantom dolandırıcılığını ortaya çıkaran ESET araştırmacısı Lukáš Štefanko şu açıklamayı yaptı: “Kasım 2025’te, Google Play’de bulunan Call History of Any Number adlı bir uygulamayı tartışan bir Reddit gönderisiyle karşılaştık. Beklendiği gibi analizimiz bu uygulama tarafından sağlanan ‘arama geçmişi’ verilerinin tamamen uydurma olduğunu gösterdi — uygulama rastgele telefon numaraları oluşturuyor ve bunları doğrudan koda gömülmüş sabit isimler, arama saatleri ve arama süreleriyle eşleştiriyor.”

Genel olarak, CallPhantom uygulamaları basit bir kullanıcı arayüzüne sahip ve müdahaleci veya hassas izinler talep etmez — buna gerek yoktur. Tesadüfen, bu uygulamalar gerçek arama, SMS veya WhatsApp verilerini alabilecek herhangi bir işlev içermez.

ESET’in analiz ettiği CallPhantom uygulamalarında araştırmacılar, üç farklı ödeme yönteminin kullanıldığını gördü; bunlardan ikisi Google Play’in ödeme politikasını ihlal ediyor. Bazı uygulamalar, Google Play’in resmî faturalandırma sistemi üzerinden aboneliklere dayanıyordu. Diğerleri ise üçüncü taraflar aracılığıyla yapılan ödemelere dayanıyordu; bazı durumlarda, ödeme kartı ödeme formları doğrudan CallPhantom uygulamalarına dâhil edilmişti.

Sahte hizmet için talep edilen ücretler, uygulamalar arasında büyük farklılıklar gösteriyor. Uygulamalar ayrıca haftalık, aylık veya yıllık hizmetler gibi farklı abonelik paketleri sunuyor gibi görünüyor; talep edilen en yüksek fiyat 80 ABD doları. En düşük “abonelik kademesi” için talep edilen ortalama fiyat 5 Euro.

Genel olarak, resmî Google Play faturalandırma sistemi üzerinden satın alınan abonelikler iptal edilebilir. Bu blog gönderisinde açıklanan 28 uygulama için uygulamalar Google Play’den kaldırıldığında mevcut abonelikler iptal edildi. Bazı durumlarda, Google Play satın alımları için geri ödeme yapılabilir. Satın alma işlemi Google Play dışında gerçekleştirildiyse — örneğin, uygulama içinden ödeme kartı bilgilerinin girilmesi veya üçüncü taraf hizmetler aracılığıyla ödeme yapılması gibi — Google aboneliği iptal edemez veya para iadesi yapamaz; bu durumda kullanıcıların ödeme sağlayıcılarıyla iletişime geçmesi gerekir.

Arama kayıtları sahte, ödemeler gerçek yazısı ilk önce En Gazete üzerinde ortaya çıktı.

Şubat 2026 itibarıyla Kaspersky mobil güvenlik çözümleri, Keenadu bulaşmış 13.000’den fazla cihaz tespit etti.  En fazla etkilenen ülkeler arasında Rusya, Japonya, Almanya, Brezilya, Hollanda ve Türkiye yer alıyor. Bununla birlikte birçok farklı ülke de bu durumdan etkilenmiş durumda.

Doğrudan Aygıt Yazılımına (Firmware) Entegre Ediliyor

Kaspersky’nin 2025 yılında tespit ettiği Triada arka kapısına (backdoor) benzer şekilde, Keenadu’nun bazı sürümlerinin tedarik zinciri aşamasında çeşitli Android tablet modellerinin aygıt yazılımına sızdırıldığı anlaşıldı. Bu varyantta Keenadu, saldırganlara cihaz üzerinde sınırsız kontrol imkanı sunan tam işlevli bir arka kapı olarak faaliyet gösteriyor. Cihazda yüklü olan her uygulamaya bulaşabilen yazılım, APK dosyaları üzerinden istenilen uygulamayı yükleyebiliyor ve bunlara tüm sistem izinlerini tanımlayabiliyor. Sonuç olarak; medya dosyaları, mesajlar, bankacılık bilgileri ve konum verileri dahil olmak üzere cihazdaki tüm hassas bilgiler tehlikeye giriyor. Yazılımın, kullanıcının Chrome tarayıcısı üzerinden gizli sekmede (incognito) yaptığı aramaları bile takip ettiği saptandı.

Aygıt yazılımına entegre edilen bu zararlı, belirli koşullara göre farklı davranışlar sergiliyor: Cihaz dili Çince lehçelerinden birine ayarlıysa veya saat dilimi Çin olarak seçilmişse yazılım aktifleşmiyor. Ayrıca, cihazda Google Play Store ve Google Play Hizmetleri yüklü değilse yine çalışmıyor.

Sistem Uygulamalarına Sızıyor

Bu varyantta Keenadu’nun işlevselliği nispeten daha kısıtlı olsa da, normal uygulamalara kıyasla yüksek yetkilere sahip bir sistem uygulamasının içinde barındığı için kullanıcıdan habersiz uygulama yüklemeye devam edebiliyor. Kaspersky uzmanları, Keenadu’nun cihazın yüz tanıma kilidinden sorumlu bir sistem uygulamasına gömüldüğünü keşfetti; bu durum saldırganların potansiyel olarak kullanıcıların biyometrik yüz verilerine erişebileceği anlamına geliyor. Bazı vakalarda ise yazılımın, ana ekran arayüzünü yöneten “launcher” uygulamasına sızdığı görüldü.

Android Uygulama Mağazaları Üzerinden Dağıtılan Uygulamalara Gömülü Varyant

Kaspersky uzmanları, Google Play’de yer alan bazı uygulamaların da Keenadu ile enfekte olduğunu ortaya çıkardı. Özellikle akıllı ev kameraları için geliştirilen ve 300.000’den fazla indirilen bu uygulamalar, raporun yayınlandığı tarih itibarıyla Google Play’den kaldırıldı. Bu uygulamalar çalıştırıldığında, saldırganlar arka planda kullanıcıya görünmeyen tarayıcı sekmeleri açarak çeşitli web sitelerinde gizlice gezinebiliyor. Daha önce farklı siber güvenlik araştırmacıları tarafından yapılan çalışmalar da benzer enfekte uygulamaların bağımsız APK dosyaları veya farklı uygulama mağazaları üzerinden dağıtıldığını doğrulamıştı.

Kaspersky Güvenlik Araştırmacısı Dmitry Kalinin konuya ilişkin şunları söyledi: “Son araştırmamız, ön yüklü zararlı yazılımların Android ekosisteminde ne kadar ciddi bir tehdit haline geldiğini gösteriyor. Kullanıcı hiçbir hatalı işlem yapmasa dahi cihaz kutusundan virüslü çıkabiliyor. Bu riskin bilincinde olmak ve bu tür tehditleri engelleyebilecek güvenlik çözümleri kullanmak kritik önem taşıyor. Yazılım kendini yasal bir sistem bileşeni gibi kamufle ettiği için muhtemelen üreticiler de tedarik zincirindeki bu sızmanın farkında değildi. Cihaz yazılımlarının enfekte olmadığından emin olmak için üretim sürecinin her aşamasının titizlikle denetlenmesi şart.”

Daha fazla bilgi için Securelist’te yayımlanan blog yazısına göz atabilirsiniz.

Kullanıcılara Yönelik Öneriler:

• Cihazınızdaki tehditlerden anında haberdar olmak için etkin bir güvenlik çözümü kullanın.
• Eğer cihazınızda enfekte bir aygıt yazılımı (firmware) varsa, üreticinin sunduğu güncellemeleri kontrol edin. Güncelleme sonrası cihazınızı mutlaka tam kapsamlı bir güvenlik taramasından geçirin.
• Bir sistem uygulamasının enfekte olması durumunda, uygulamayı kullanmayı bırakın ve devre dışı bırakın. Varsayılan başlatıcı (launcher) uygulaması enfekteyse, devre dışı bırakarak üçüncü taraf bir başlatıcı kullanın.

Kaspersky, Yeni Android Zararlı Yazılımı Keenadu’nun Tedarik Zinciri Yoluyla Yayılabildiğini Tespit Etti yazısı ilk önce En Gazete üzerinde ortaya çıktı.