Google Play Zararlısı İnceleme Raporu

Transkript

1 Google Play Zararlısı İnceleme Raporu Günümüzde akıllı telefonlara olan ilginin ve akıllı telefon kullanım oranının artması ile birlikte mobil platformlar saldırganların ilgisini giderek çekmeye başlamıştır. Google Uygulama Mağazası içerisine zararlı yazılım koymayı başarabilen saldırganlar, bu yollarla kullanıcıların çeşitli bilgilerini çalarak satmayı hedeflemektedir. Daha ileri düzey zararlılar ise kullanıcıların kart bilgilerine göz dikmektedir. Android platform söz konusu olduğunda üçüncü parti uygulama mağazalarına kesinlikle güvenilmemesi vurgulanırken artık Google Uygulama Mağazasında geliştiricisini tanımadığınız ve güvenmediğiniz uygulamaları indirmeyin uyarısı da günümüzün en yaygın tavsiyelerinden olmaya başlamıştır. 1) Teknik İnceleme İncelenen zararlı Google Play Store uygulaması Android 4.1 sürüm bir sanal cihaza yüklenmek istenildiğinde, ilk kurulum ve çalışma anlarında aşağıdaki görsellerdeki gibi çalışmaya başladığı görülmüştür. Görsel 1: Zararlının açılış ekranları

2 İlgili zararlıya ait VirusTotal sonuçları aşağıdaki gibidir. Uygulama hali hazırda pek çok güvenlik çözümü tarafından zararlı olarak nitelendirilmektedir. Görsel 2: Zararlının VirusTotal sonuçları İlgili uygulamanın cihaz üzerinde talep ettiği izinler aşağıdaki gibidir. Arka planda çalışan uygulamaları kapatma ve gelen SMS leri okuma gibi pek çok izin istediği görülmektedir.

3 Görsel 3: Zararlının istediği izinler Zararlı tarafından talep edilen izinlerin tehlikeli kategorisinde bulunan izinler olduğu görülmektedir. Android işletim sistemi içerisinde uygulama tarafından istenen izinler hakkında daha fazla bilgi edinmek için adresini ziyaret edebilirsiniz. Gerçekleştirilen analiz neticesinde ve zararlının talep ettiği izinlerden de yola çıkılarak, ilgili zararlıya ait nitelikler aşağıda listelenmiştir. Device Admin yetkisine ulaşma SMS yakalama ve gönderme Arama işlemi gerçekleştirebilme Harici karta dosya yazabilme Arama kaydı bilgilerine erişebilme USSD kod çalıştırabilme Klavye erişimi engelleyebilme Screen Injection (Overlay Attack)

4 Görsel 4: Zararlı Davranış Zararlının komuta kontrol sunucusu ile iletişime geçmek için yaptığı bağlantılar incelendiğinde, kurulum aşamasının ardından cihaza ait IMEI, IMSI, model, işletim sistemi ve ülke bilgilerinin komuta kontrol sunucusuna gönderildiği görülmüştür. Görsel 5: Komuta Kontrol Sunucusuna Gönderilen Bilgiler Zararlının iletişime geçtiği komuta kontrol sunucusu poltabletki[.]ru olarak belirlenmiştir. Ayrıca zararlının, hedef kullanıcılardan elde edilen kart bilgilerini komuta kontrol sunucusuna gönderdiğine dair görsele aşağıda yer verilmiştir.

5 Görsel 6: Çalınan Bilgiler Zararlı, cihaz üzerinde Arama Yönlendirme özelliğini kapatmaktadır. Görsel 7: Arama Yönlendirmenin Kapatılması Zararlının SMS ve çağrı trafiğine erişebildiği görülmüştür. İlgili kod parçalarına ait görsellere aşağıda yer verilmiştir.

6 Görsel 8: Çağrılara Erişim Görsel 9: SMS Bilgilerine Erişim Görsel 10: SMS Bilgilerine Erişim

7 [ SİBER FÜZYON MERKEZİ ] Tarih: 6 Eylül 2018 Yapılan incelemelerde ilgili zararlının, ButterKnife isimli bir kütüphane kullandığı görülmüştür. ButterKnife kütüphanesi View Injector kütüphanesi olarak isimlendirilmektedir. Bu kütüphane sayesinde ön yüzde kullanılan android bileşenleri, annottationlar kullanılarak uygulama üzerinde direkt olarak erişilebilmesine olanak sağlanılmaktadır. ButterKnife kütüphanesi kullanılarak gerçekleştirilen kart bilgilerini alma işlemine ait kod parçalarına aşağıda yer verilmiştir. Görsel 11: Kart Bilgisi Alma İşlemi Zararlı tarafından gerçekleştirilen SMS yakalama ve arama çağrısı gerçekleştirebilme işlemlerine ait detayların, uygulamanın kurulu olduğu dizinde shared_preferences altında app_settings.xml dosyasında yer aldığı görülmektedir.

8 Görsel 12: Zararlının Kaydettiği İşlem Detayları İlgili zararlının gerçekleştirdiği faaliyetler arasında USSD kod çalıştırabilme özelliğinin olduğu tespit edilmiştir. Çalıştırılan USSD kodlara ait kod parçasına aşağıdaki görselde yer verilmiştir.

9 Görsel 13: Zararlının USSD Özellikleri Zararlının komuta kontrol sunucusu ile kurduğu iletişim incelendiğinde cihaza ait install-id, telefon numarası, ICCID, IMEI, IMSI, model, işletim sistemi, API ve ülke bilgilerine ait detayların gönderildiği görülmüştür. Görsel 14: Zararlının Komuta Kontrol Sunucusu ile İletişimi

10 2) Sunucu İncelemesi İlgili zararlı örneklerine ait komuta kontrol sunucuları incelendiğinde, sunucuların Rusya üzerinde host edildiği görülmüştür. Ayrıca kaynak kod üzerinde yapılan incelemeler doğrultusunda, zararlının geliştirilme sürecinde kullanılan metotlar internet üzerinde araştırıldığında rus tabanlı web sitelerinde tartışmaların yer aldığı görülmüştür. Bu durum saldırganların Rusya çıkışlı olduğunu düşündürmektedir fakat kanıtlanamamıştır. Görsel 15: Zararlının Komuta Kontrol Sunucusu Bilgileri

11 3) Tehdit Vektörü Göstergeleri (Indicator of Compromises) a) Zararlının iletişime geçtiği IP ve domain bilgileri poltabletki[.]ru 178[.]208[.]83[.]35 b) Zararlıya ait paket ismi bilgisi o.scc (Google Play Update) c) Tespit edilen zararlılara ait hash bilgileri 1 f6b5a9523a0f10e85a5c18f4e49e45fce1b3660b989a075001e5b84f63d9c0b6 2 d5bf472056ad400c7633f1d634518bb940af ddaeea3c8d4cab bb b50e66b64cd0135a9a4856b0a8a70ac7c59a8eadf481ce545b6 4 c f774dff51d167e382abfaf921018aaa69b509f2d7fe882e05e c21b35a83bb13683eab5d03c1fd78f95e39da47bb5c d d0bd16d80af005de0f199a2c918fb446eb1fe55e1559ea0ace02f048f f250c0e77d430cd84e548e272260b309aacc345f6b9499ba563301cdc95f01b d89aa19d9d88c4f0e60147f0c f4a224242f2bbb9c6ce227d5f c6e6efd7565f7f4c1ecbe6aea1d911e389dd dd d5f5 10 4f468a2efcdd0f4a3822bf343ca8eb308d c7d317730f2ca147d8cab0c d) Tespit edilen zararlılara ait domain bilgileri ftere1ak[.]beget[.]tech/api/ erhtetrhert434[.]gq/api androidfofrukt[.]ru/api/ moneyotjim[.]ru/api/ bestscrypt[.]ru/api www[.]htm-php-studio[.]ru

12 e) Tespit edilen zararlılara ait IP bilgileri ) Tavsiyeler İlgili zararlı üzerinde yapılan analiz ve incelemeler sonucunda, zararlının kullanıcılara ait kart bilgilerini çalmayı hedefleyen zararlı android uygulaması olduğu tespit edilmiştir. Zararlının geliştirilme aşamasında kullanılan ButterKnife kütüphanesi dikkat çekmekte ve geliştirme aşamasında android geliştiricilerin geliştirme süreçleri incelenip buna göre zararlı uygulamanın geliştirildiği düşünülmektedir. Geliştiriciler için kolaylık sağlayan ve sıkça kullanılan bu tarz kütüphanelerin zararlı amaçlar için de kullanılabileceği ihtimali unutulmamalıdır. Google Uygulama Mağazası bünyesinden uygulama indirirken sahte uygulamalara dikkat edilmeli. Uygulama yazarının güvenilir olduğuna ve uygulamanın adının doğru olduğundan emin olunmalıdır. İlgili zararlının iletişime geçtiği IP adresleri ve domain bilgileri anlamında kurum telefon ve cihazlarının iletişimi gözden geçirilmeli, ilgili IP ve domain adresleri kara listeye alınarak engellenmelidir.