Google Play Zararlısı İnceleme Raporu Günümüzde akıllı telefonlara olan ilginin ve akıllı telefon kullanım oranının artması ile birlikte mobil platformlar saldırganların ilgisini giderek çekmeye başlamıştır. Google Uygulama Mağazası içerisine zararlı yazılım koymayı başarabilen saldırganlar, bu yollarla kullanıcıların çeşitli bilgilerini çalarak satmayı hedeflemektedir. Daha ileri düzey zararlılar ise kullanıcıların kart bilgilerine göz dikmektedir. Android platform söz konusu olduğunda üçüncü parti uygulama mağazalarına kesinlikle güvenilmemesi vurgulanırken artık Google Uygulama Mağazasında geliştiricisini tanımadığınız ve güvenmediğiniz uygulamaları indirmeyin uyarısı da günümüzün en yaygın tavsiyelerinden olmaya başlamıştır. 1) Teknik İnceleme İncelenen zararlı Google Play Store uygulaması Android 4.1 sürüm bir sanal cihaza yüklenmek istenildiğinde, ilk kurulum ve çalışma anlarında aşağıdaki görsellerdeki gibi çalışmaya başladığı görülmüştür. Görsel 1: Zararlının açılış ekranları
İlgili zararlıya ait VirusTotal sonuçları aşağıdaki gibidir. Uygulama hali hazırda pek çok güvenlik çözümü tarafından zararlı olarak nitelendirilmektedir. Görsel 2: Zararlının VirusTotal sonuçları İlgili uygulamanın cihaz üzerinde talep ettiği izinler aşağıdaki gibidir. Arka planda çalışan uygulamaları kapatma ve gelen SMS leri okuma gibi pek çok izin istediği görülmektedir.
Görsel 3: Zararlının istediği izinler Zararlı tarafından talep edilen izinlerin tehlikeli kategorisinde bulunan izinler olduğu görülmektedir. Android işletim sistemi içerisinde uygulama tarafından istenen izinler hakkında daha fazla bilgi edinmek için https://developer.android.com/guide/topics/permissions/overview adresini ziyaret edebilirsiniz. Gerçekleştirilen analiz neticesinde ve zararlının talep ettiği izinlerden de yola çıkılarak, ilgili zararlıya ait nitelikler aşağıda listelenmiştir. Device Admin yetkisine ulaşma SMS yakalama ve gönderme Arama işlemi gerçekleştirebilme Harici karta dosya yazabilme Arama kaydı bilgilerine erişebilme USSD kod çalıştırabilme Klavye erişimi engelleyebilme Screen Injection (Overlay Attack)
Görsel 4: Zararlı Davranış Zararlının komuta kontrol sunucusu ile iletişime geçmek için yaptığı bağlantılar incelendiğinde, kurulum aşamasının ardından cihaza ait IMEI, IMSI, model, işletim sistemi ve ülke bilgilerinin komuta kontrol sunucusuna gönderildiği görülmüştür. Görsel 5: Komuta Kontrol Sunucusuna Gönderilen Bilgiler Zararlının iletişime geçtiği komuta kontrol sunucusu poltabletki[.]ru olarak belirlenmiştir. Ayrıca zararlının, hedef kullanıcılardan elde edilen kart bilgilerini komuta kontrol sunucusuna gönderdiğine dair görsele aşağıda yer verilmiştir.
Görsel 6: Çalınan Bilgiler Zararlı, cihaz üzerinde Arama Yönlendirme özelliğini kapatmaktadır. Görsel 7: Arama Yönlendirmenin Kapatılması Zararlının SMS ve çağrı trafiğine erişebildiği görülmüştür. İlgili kod parçalarına ait görsellere aşağıda yer verilmiştir.
Görsel 8: Çağrılara Erişim Görsel 9: SMS Bilgilerine Erişim Görsel 10: SMS Bilgilerine Erişim
[ SİBER FÜZYON MERKEZİ ] Tarih: 6 Eylül 2018 Yapılan incelemelerde ilgili zararlının, ButterKnife isimli bir kütüphane kullandığı görülmüştür. ButterKnife kütüphanesi View Injector kütüphanesi olarak isimlendirilmektedir. Bu kütüphane sayesinde ön yüzde kullanılan android bileşenleri, annottationlar kullanılarak uygulama üzerinde direkt olarak erişilebilmesine olanak sağlanılmaktadır. ButterKnife kütüphanesi kullanılarak gerçekleştirilen kart bilgilerini alma işlemine ait kod parçalarına aşağıda yer verilmiştir. Görsel 11: Kart Bilgisi Alma İşlemi Zararlı tarafından gerçekleştirilen SMS yakalama ve arama çağrısı gerçekleştirebilme işlemlerine ait detayların, uygulamanın kurulu olduğu dizinde shared_preferences altında app_settings.xml dosyasında yer aldığı görülmektedir.
Görsel 12: Zararlının Kaydettiği İşlem Detayları İlgili zararlının gerçekleştirdiği faaliyetler arasında USSD kod çalıştırabilme özelliğinin olduğu tespit edilmiştir. Çalıştırılan USSD kodlara ait kod parçasına aşağıdaki görselde yer verilmiştir.
Görsel 13: Zararlının USSD Özellikleri Zararlının komuta kontrol sunucusu ile kurduğu iletişim incelendiğinde cihaza ait install-id, telefon numarası, ICCID, IMEI, IMSI, model, işletim sistemi, API ve ülke bilgilerine ait detayların gönderildiği görülmüştür. Görsel 14: Zararlının Komuta Kontrol Sunucusu ile İletişimi
2) Sunucu İncelemesi İlgili zararlı örneklerine ait komuta kontrol sunucuları incelendiğinde, sunucuların Rusya üzerinde host edildiği görülmüştür. Ayrıca kaynak kod üzerinde yapılan incelemeler doğrultusunda, zararlının geliştirilme sürecinde kullanılan metotlar internet üzerinde araştırıldığında rus tabanlı web sitelerinde tartışmaların yer aldığı görülmüştür. Bu durum saldırganların Rusya çıkışlı olduğunu düşündürmektedir fakat kanıtlanamamıştır. Görsel 15: Zararlının Komuta Kontrol Sunucusu Bilgileri
3) Tehdit Vektörü Göstergeleri (Indicator of Compromises) a) Zararlının iletişime geçtiği IP ve domain bilgileri poltabletki[.]ru 178[.]208[.]83[.]35 b) Zararlıya ait paket ismi bilgisi o.scc (Google Play Update) c) Tespit edilen zararlılara ait hash bilgileri 1 f6b5a9523a0f10e85a5c18f4e49e45fce1b3660b989a075001e5b84f63d9c0b6 2 d5bf472056ad400c7633f1d634518bb940af2375243093797ddaeea3c8d4cab3 3 9833bb6851524b50e66b64cd0135a9a4856b0a8a70ac7c59a8eadf481ce545b6 4 c351032578f774dff51d167e382abfaf921018aaa69b509f2d7fe882e05e9918 5 29864c21b35a83bb13683eab5d03c1fd78f95e39da47bb5c30272103d6233431 6 d0bd16d80af005de0f199a2c918fb446eb1fe55e1559ea0ace02f048f8222880 7 f250c0e77d430cd84e548e272260b309aacc345f6b9499ba563301cdc95f01b5 8 97334d89aa19d9d88c4f0e60147f0c9011325f4a224242f2bbb9c6ce227d5f76 9 00537301c6e6efd7565f7f4c1ecbe6aea1d911e389dd4958990dd8177593d5f5 10 4f468a2efcdd0f4a3822bf343ca8eb308d0373957c7d317730f2ca147d8cab0c d) Tespit edilen zararlılara ait domain bilgileri ftere1ak[.]beget[.]tech/api/ erhtetrhert434[.]gq/api androidfofrukt[.]ru/api/ moneyotjim[.]ru/api/ bestscrypt[.]ru/api www[.]htm-php-studio[.]ru
e) Tespit edilen zararlılara ait IP bilgileri 5.101.152.212 141.8.224.221 95.183.8.107 37.143.15.154 37.143.14.128 178.57.218.132 4) Tavsiyeler İlgili zararlı üzerinde yapılan analiz ve incelemeler sonucunda, zararlının kullanıcılara ait kart bilgilerini çalmayı hedefleyen zararlı android uygulaması olduğu tespit edilmiştir. Zararlının geliştirilme aşamasında kullanılan ButterKnife kütüphanesi dikkat çekmekte ve geliştirme aşamasında android geliştiricilerin geliştirme süreçleri incelenip buna göre zararlı uygulamanın geliştirildiği düşünülmektedir. Geliştiriciler için kolaylık sağlayan ve sıkça kullanılan bu tarz kütüphanelerin zararlı amaçlar için de kullanılabileceği ihtimali unutulmamalıdır. Google Uygulama Mağazası bünyesinden uygulama indirirken sahte uygulamalara dikkat edilmeli. Uygulama yazarının güvenilir olduğuna ve uygulamanın adının doğru olduğundan emin olunmalıdır. İlgili zararlının iletişime geçtiği IP adresleri ve domain bilgileri anlamında kurum telefon ve cihazlarının iletişimi gözden geçirilmeli, ilgili IP ve domain adresleri kara listeye alınarak engellenmelidir.