Exobot Bankacılık Zararlısı İnceleme Raporu

Benzer belgeler
Red Alert 2.0 Truva Atı ve Bankacılık Zararlısı İnceleme Raporu

Google Play Zararlısı İnceleme Raporu

Trickbot Zararlı Yazılımı İnceleme Raporu

2000 li yıllardan itibaren teknolojinin hızlı gelişiminden belki de en büyük payı alan akıllı telefon ve tabletler gibi kablosuz iletişim olanağı

SİBER ESPİYONAJ FAALİYETLERİ VE TÜRKİYE

2- Kontrol Sil En Öne Getir En Arkaya Gönder Resim Özellikler: Genel Özellikler...

Öğrencilerin Canlı derslere katılması, * Sisteme giriş

dmags Türkiye nin En Büyük Dijital Dergi Mağazası

GLOBAL SİBER ATAK GÖRSELLEŞTİRME SİSTEMLERİ

Anti-Virüs Atlatma 3. Kurulum

Mobil Güvenlik ve Denetim

Bireysel İnternet Şubesi

Mobil uygulama kullanıcı kılavuzu

CİSCO ANY CONNECT UYGULAMASI İLE İÇ KAYNAKLARA ERİŞİMİ KLAVUZU

BİLGİ GÜVENLİĞİ FARKINDALIK EĞİTİMİ NASIL OLMALI? 28/04/2015 SUNA KÜÇÜKÇINAR İBRAHİM ÇALIŞIR / 9. ULAKNET ÇALIŞTAYI 2015 KUŞADASI - AYDIN 1

MOBİL CİHAZLARDA KULLANIM REHBERİ

Elbistan Meslek Yüksek Okulu GÜZ Yarıyılı. Öğr. Gör. Murat KEÇECĠOĞLU

Mobil Uygulama Kullanma Kılavuzu

1. MobilePASS nedir? MobilePASS, SafeWord Kartınızın mobil uygulama versiyonudur. Güvenlik Yöneticiniz, MobilePASS ı CitiDirectBE haklarınıza ekler

27 Kasım Ekran 1: ETA:SQL Yazılım Güncelleme Uygulaması

MUDDYWATER / PROXYRAT SİSTEM SIKILAŞTIRMA ÖNERİLERİ

Siber Suçlarla Mücadele Şube Müdürlüğümüz, ilimiz Derince ilçesinde bulunan İl Emniyet Müdürlüğü yerleşkesinde faaliyet göstermektedir.

Wolvox Kapı Ekranı. AKINSOFT Wolvox Kapı Ekranı Yardım Dosyası. Doküman Versiyon :

Ağ Üzerinde MATLAB kurulum rehberi (Sunucu makine)

CHECKPOINT VPN KULLANIM KILAVUZU

YENİ INTERRA-MOBILE.APK KURULUM VE UYGULAMA NOTLARI

Sahil Güvenlik. Komutanlığı. Sahil Güvenlik. Mobil Uygulaması

OverDrive Formatları. İçerik Genç erişkin ve çocuklar için heyecan verici yeni içerik

BDDK ELEKTRONİK BELGE VE ARŞİV YÖNETİM SİSTEMİ

RPMNET WOLVOX REPORTER

Bireysel İnternet Şubesi

Şekil 1- CryptoLocker Tarafından Kullanıcılara Gönderilen Eposta

Radio Player Kullanım Kılavuzu

BEUN VPN Hizmeti. VPN Nedir?

Gökhan AKIN. ĐTÜ/BĐDB Ağ Grubu Başkanı ULAK-CSIRT Güvenlik Grubu Üyesi.

MİLPA TİCARİ VE SINAİ ÜRÜNLER PAZARLAMA SANAYİ VE TİCARET A.Ş. MİLPA GİZLİLİK POLİTİKASI

İstanbul Büyükşehir Belediyesi

MÜŞTERİLER ŞUBEYE GELMEDEN ÖNCE SIRAMATİK'TEN NUMARA ALABİLİR...

Biz Kimiz? Şirketimiz 2015 de kurulmuş olup, sermayesi 2017 yılında TL çıkarılmıştır.

SAHANINYILDIZLARI SATIŞ TEMSI LCI SI (FSM) ODULLENDIRME PORTALI

TNB KAYITLI ELEKTRONİK POSTA HİZMET SAĞLAYICILIĞI VE TİCARET A.Ş.


[SUB-TITLE 1] Özellikler

TachoMobile Web Uygulaması v1.00.

Tedarikçi Portalı, sitede bulunan tedarikçiye ait ürünlerin verilen yetkiler dahilinde tedarikçiye kullanım hakkı tanıyan bir portaldır.

İÇİŞLERİ BAKANLIĞI KAYITÇI KULLANIM TALİMATI

BAY.t ENTEGRE PRO e-fatura ÇÖZÜMÜ

EPKAS. (ELEKTRONİK PROJE KONTROL ve ARŞİVLEME SİSTEMİ) WEB KULLANIM KILAVUZU

SEÇKİN ONUR. Doküman No: Rev.Tarihi Yayın Tarihi Revizyon No 01 OGP 09 SEÇKİN ONUR BİLGİ GÜVENLİĞİ POLİTİKASI

S.O.S Günışığı Lojistik Saha Operasyon Sistemi

SELÇUKLU BELEDİYESİ.

Anketlerinizi SMS ve mail yöntemleri ile yapın, sonuçlara hızlı ulaşın.

SİBER TEHDİT DURUM RAPORU

İşletmeniz için en etkili tanıtım aracıdır. Düşük maaliyetli ve yüksek kalitelidir.

ZİRVEDRİVE IOS YAZILIMI KULLANIM KILAVUZU

Ekin SAFE TRAFFIC Güvenli Trafik Yönetim Sistemleri

SMARTOXY. Deteksiyon Parametreleri

YAYINLANAN RAPORLAR FORMU EĞİTİM DOKÜMANI

: 36 milyon Euro çalan malware Eurograbber

LST TIPON KURULUM KILAVUZU

Tekirdağ Büyükşehir Belediyesi E-Hizmet Sitesi (ehizmet.tekirdag.bel.tr) Sistemin Genel Özellikleri

ZİRVEDRİVEWEB YAZILIMI KULLANIM KILAVUZU

EKLER EK 12UY0106-5/A4-1:

DOĞAN EGMONT YAYINCILIK VE YAPIMCILIK TİCARET A.Ş. GİZLİLİK POLİTİKASI

Honda Civic Smart. Varlığı toplum tarafından istenen bir marka olmak...

İstemci Tabanlı Saldırı Türleri. Ozan UÇAR

Bugün. Ülke Güvenlik Analizi (DDoS, Botnetler, Spam vs.) Sosyal Ağ Güvenliği Büyük Veri ve Bulut Güvenliği. Siber Güvenlik ve Farkındalık Eğitimi

Network üzerinde MATLAB kurulması

Android Telefonlarla Yol Bozukluklarının Takibi: Kitle Kaynaklı Alternatif Çözüm

Ortak Dersler Sanal Sınıf Sistemi Kullanım Kılavuzu

TİYADER KARİYER MOBİL UYGULAMASI ÇALIŞMA SİSTEMİ

Kullanım kılavuzunuz F-SECURE MOBILE SECURITY 6 FOR ANDROID

AYDES PROJESİ HIZLI RAPORLAR FORMU EĞİTİM DOKÜMANI

Başlangıç Ayarları.

ORTA DOĞU TEKNİK ÜNİVERSİTESİ BİLGİ İŞLEM DAİRE BAŞKANLIĞI. Güvenlik ve Virüsler. ODTÜ BİDB İbrahim Çalışır, Ozan Tuğluk, Cengiz Acartürk

Zirve e-fatura Portal Paketi V. 1.0.xx

ÖĞRENCİLER İÇİN UZAKTAN EĞİTİM SİSTEMİ (MOODLE) KULLANIM KILAVUZU

BLM401 Mobil Cihazlar için ANDROİD İşletim Sistemi GÜVENLİK VE İZİNLER. BLM401 Dr.Refik SAMET

Secure Networks Capabilities Dragon Network Defense

OPARWEB VE MMWEB YENİ B2B SİSTEMLERİ

İSTANBUL TEKNİK ÜNİVERSİTESİ ELEKTRİK-ELEKTRONİK FAKÜLTESİ. AKILLI FİYAT ARAMA MOTORU TiLQi.NET

İşletim Sistemi Nedir?

GİB Portal deki Faturaları efinans Portal e Taşıma

e-imzatr Kurulum Klavuzu

ANTİVİRÜS KURULUM ADIMLARI

İMZAGER PROGRAMI İLE UZUN DÖNEM İMZA TİPİNDE ELEKTRONİK İMZALI BELGE OLUŞTURMA

Bireysel İnternet Şubesi

Donanım Hizmetleri Şube Müdürlüğü 1

ELEKTRONİK BELGE VE ARŞİV YÖNETİM SİSTEMİ EBYS NİN GÜVENİLEN SİTELERE EKLENMESİ

ÜNİTE İÇERİK YÖNETİM SİSTEMİ İÇİNDEKİLER. Okt. Mustafa AKBUĞA HEDEFLER WORDPRESS KURULUMU

TSOFT FACEBOOK STORE UYGULAMASI

T.C. KONAK BELEDİYE BAŞKANLIĞI ELEKTRONİK BELGE VE ARŞİV YÖNETİM SİSTEMİ EBYS NİN GÜVENİLEN SİTELERE EKLENMESİ

ProQuest E-Book Central (Elektronik Kitap Veri Tabanı) KULLANIM KILAVUZU. KÜTÜPHANE ve DOKÜMANTASYON DAİRE BAŞKANLIĞI

Selahattin Esim CEO

İÇERİK YÖNETİM SİSTEMİ (CMS) Bir web sitesi yayınlamak için yapılması gerekenler:

PINGPONG. Kurumsal Sunum / Aplikasyon Tanıtım

Uzaktan Eğitim Uygulama Ve Araştırma Merkezi. İstanbul Rumeli Üniversitesi UZEM Kullanma Klavuzu

Transkript:

Exobot Bankacılık Zararlısı İnceleme Raporu Mobil platformda yaygın olan zararlı tiplerinden birisi olan bankacılık zararlıları yazarları, gün geçtikçe faaliyetlerini geliştirerek ve değiştirerek devam etmektedir. Exobot olarak bilinen bankacılık zararlısı Google Uygulama Mağaza kontrollerini aşarak mağazaya yükledikleri çeşitli uygulamalar aracılığıyla yayılmaktadır. Uygulama mağazasından indirilen, görünüşte zararsız, uygulama arka planda asıl zararlıyı indirerek görünüşte zararsız bir uygulama görünümü vererek kullanıcıları tuzağına düşürmektedir. Exobot bankacılık zararlısı ilk faaliyetlerine 2016 tarihinde başlamıştır. Android takma ismini taşıyan bir aktör tarafından geliştirilen Exobot, bankacılık uygulamalarını hedef alan ve ilgili bankacılık uygulamalarının ekranlarının üzerine ekstra ekran koyarak (overlay attack olarak bilinmektedir) kullanıcıların bankacılık bilgilerini çalmayı hedefleyen bir zararlıdır. 2017 yılında exoandroidbot[.]net isimli internet sitesinden Exobotv2 olarak satılmaya başlanmıştır. İlgili versiyon ilk versiyonun gelişmiş ve bankacılık sektörü tarafından kullanılan sahtekarlık tespiti atlatma yöntemleriyle donatılmış halidir. 2017 yılının sonlarına doğru Exobot kaynak kodu geliştiricisi tarafından satılmıştır. Exobot satıldıktan sonraki aylarda ortaya çıkan zararlı uygulamaların yeni hedef odaklarından birisi de Türkiye olmuştur. Exobot zararlısından etkilenen ve Exobot tarafından oluşturulan botnet ağı Türkiye içerisinden binlerce telefonu bünyesinde barındırmakta ve mevcut botnet ağının sahiplerinin Türk asıllı aktörler olduğu düşünülmektedir. Bu botnetlerden bir tanesinin isminin usveryfood olduğu görülmektedir. Yakın zamanda Google Uygulama Mağazası içerisinde yer alan ve Exobot zararlısını indiren uygulamalar tespit edilmiştir. Tespit edilen bu uygulamalardan bir tanesi Mustafa Kemal ATATÜRK ismini taşıdığı için öne çıkmakta ve merak uyandırmaktadır. Uygulama görünüş itibariyle Mustafa Kemal ATATÜRK görsellerinin, videolarının ve sözlerinin yer aldığı bir uygulama gibi görünerek kullanıcıların milli duygularını sömürme üzerine tasarlanmıştır. Aşağıda incelemesi yapılacak olan Mustafa Kemal ATATÜRK uygulaması gibi arka planda Exobot zararlısını indiren uygulamaların listesi aşağıdaki gibidir: Mustafa Kemal ATATÜRK Canlı Borsa Finans Kur Altın Döviz Uygulaması

1) Teknik İnceleme İncelenen ve görünürde zararsız olan uygulama mobil cihaza yüklenip açıldığında aşağıdaki gibi görünmektedir. Görsel 1: Uygulama Ekranı İlgili uygulamanın VirusTotal sonuçları aşağıdaki gibidir. Google Uygulama Mağazasından indirilmiş olsa dahi bir uygulamanın güvenli olup olmadığından tam emin olunamıyorsa, uygulamanın telefona kurulmadan önce zararlı yazılım olup olmayacağı hususunda en azından bir fikir edinebilmek adına VirusTotal taramasından geçirilmesi önerilmektedir. Fakat unutulmamalıdır ki; VirusTotal sonucu temiz olan fakat zararlı davranış sergileyebilen uygulamalar da mevcuttur. Anti-virüs gibi çözümlere tamamıyla güvenmemek gereklidir.

Görsel 2: Uygulamanın VirusTotal Sonuçları

İlgili uygulamanın istediği izinler aşağıdaki gibidir. Görsel 3: İstenen İzinler Görsel, video ve söz içerikli bir uygulamanın SD Card içerisine yazma ve okuma yetkisi istemesi olağandışı bir durumdur. Amacı dışında izinler isteyen her uygulamaya şüpheyle yaklaşmak gereklidir. İlgili uygulamanın kaynak kodları incelendiğinde, telefon hakkında bilgiler topladığı görülmektedir. Görsel 4: Toplanan Bilgiler Model numarası, IMEI ve ülke bilgisi gibi bilgiler uzak sunucuya yollanmaktadır.

İlgili işlemlere paralel olarak zararlı Exobot uygulaması indirilmektedir. Bu indirme işlemi için uzak sunucudan Exobot indirme linki istenmektedir. Görsel 5: Zararlı İndirme Davranışı Zararlı yazılımda kullanıldığı tespit edilen Utils adlı sınıf incelendiğinde uygulamanın arkada indirdiği uygulamayı kurmak için yazıldığı görülmektedir. Görsel 6: Uygulamanın Özellikleri

Zararlı uygulamanın telefona yüklenebilmesi için telefon içerisinde güvenilir olmayan kaynaklardan uygulama kurma opsiyonunun açık olması gerekmektedir. Bunun sebebi zararlı uygulamanın Google Uygulama Mağazasından indirilmemesi ve telefon tarafından üçüncü parti uygulama olarak nitelendirilmesidir. Mustafa Kemal ATATÜRK tarafından indirilen zararlı uygulamanın VirusTotal bilgileri aşağıdaki gibidir. Görsel 7: Exobot VirusTotal Sonuçları

Zararlı uygulamanın istediği izinler aşağıda görülebilir. Görsel 8: Zararlı Uygulamanın İstediği izinler Servis Güncelleme 0.5 adı altında yüklenen uygulamanın telefon içerisinden kritik bilgiler çalabilecek nitelikte izinler istediği görülmektedir. Kaynak kod incelemesi yapıldığında zararlının çeşitli yöntemlerle uygulama kontrolü yaptığı görülmektedir. Bu yöntemlerden bir tanesi aşağıda görülebilir.

Görsel 9: Uygulama Kontrolü

Zararlı emulatör üzerinde çalışıp çalışmadığını anlamak için aşağıdaki şekilde kontroller yapmaktadır. Görsel 10: Emulatör Kontrolleri Zararlının içerisinde bulunan bazı string değerlerinin karmaşıklaştırılmak için **Kwm** ekleriyle karıştırıldığı görülmektedir. İlgili string değerlerinin ayıklanması ve incelemesiyle bankacılık işlemlerine müdahale etmek adına işlemler yaptığı tespit edilmiştir. Aynı stringler içerisinde telefon içerisinde erişilen bilgiler de görülmektedir.

Görsel 11: Exobot Tarafından Toplanan Bilgiler Görsel 12: Exobot Tarafından Kullanılan Stringler

Zararlı uygulamanın botnet operasyonları için yolladığı istek ve isteğin yollandığı domain bilgileri aşağıda görülebilir. Görsel 13: Botnet İletişim Trafiği 2) Tehdit Vektörü Göstergeleri (Indicator of Compromises) a) Zararlının iletişime geçtiği IP ve domain bilgileri hxxps://hepayriyollarda[.]at hxxps://cilginlargibi[.]at hxxps://hangimizsevmedik[.]at hxxps://91[.]217[.]70[.]163[:]7227 b) Zararlının hedef aldığı bankacılık uygulamaları biz.mobinex.android.apps.cep_sifrematik com.akbank.android.apps.akbank_direkt com.akbank.android.apps.akbank_direkt_tablet com.akbank.softotp com.finansbank.mobile.cepsube com.garanti.cepbank com.garanti.cepsubesi tr.com.sekerbilisim.mbank com.htsu.hsbcpersonalbanking com.ykb.android com.ykb.android.mobilonay com.ykb.androidtablet com.ingbanktr.ingmobil com.intertech.mobilemoneytransfer.activity com.kuveytturk.mobil

com.magiclick.odeabank com.pozitron.albarakaturk com.pozitron.iscep com.pozitron.vakifbank com.softtech.isbankasi com.teb com.tmob.denizbank com.tmob.tabletdeniz com.tmobtech.halkbank com.vakifbank.mobile com.ziraat.ziraatmobil com.ziraat.ziraattablet finansbank.enpara c) Zararlıyı İndiren Uygulamalar Ve İndirilen Zararlı Exobot Hash Bilgileri 3) Tavsiyeler com.m.k.ataturk 46f5f841e678706b785a2f375c75ffdbf206a69b6657477d8bc8ffb82a73cf02 İndirilen Exobot zararlısı 6523272efc4e34f0154b4ea53386bd28c66b461918d59fc87b0e6f90f4acc2c8 com.canli.doviz.borsa 686e0a60a8df7ae504eaf0f6e8c4af58a50b5f7ef2e1c64660eab6b475242677 İndirilen Exobot zararlısı 6523272efc4e34f0154b4ea53386bd28c66b461918d59fc87b0e6f90f4acc2c8 com.dovix e0d0650077a08d1f2feb7181b8376af24f8ef8a36c006d897aea5e710cb1b152 İndirilen Exobot zararlısı 2d78ae6c68b5eb5ad6f79025be917acf3e9c9ad07b5a5b9e2cfd6141c86db0d5 Google Uygulama Mağazası bünyesinden uygulama indirirken sahte uygulamalara dikkat edilmelidir. Bu bağlamda uygulama yazarının güvenilir olduğuna ve uygulamanın adının doğru olduğundan emin olunmalıdır. İlgili zararlının iletişime geçtiği IP adresleri ve domain bilgileri anlamında kurum telefonlarının iletişimi gözden geçirilmeli, ilgili IP ve domainler engellenmelidir.

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim