Exobot Bankacılık Zararlısı İnceleme Raporu Mobil platformda yaygın olan zararlı tiplerinden birisi olan bankacılık zararlıları yazarları, gün geçtikçe faaliyetlerini geliştirerek ve değiştirerek devam etmektedir. Exobot olarak bilinen bankacılık zararlısı Google Uygulama Mağaza kontrollerini aşarak mağazaya yükledikleri çeşitli uygulamalar aracılığıyla yayılmaktadır. Uygulama mağazasından indirilen, görünüşte zararsız, uygulama arka planda asıl zararlıyı indirerek görünüşte zararsız bir uygulama görünümü vererek kullanıcıları tuzağına düşürmektedir. Exobot bankacılık zararlısı ilk faaliyetlerine 2016 tarihinde başlamıştır. Android takma ismini taşıyan bir aktör tarafından geliştirilen Exobot, bankacılık uygulamalarını hedef alan ve ilgili bankacılık uygulamalarının ekranlarının üzerine ekstra ekran koyarak (overlay attack olarak bilinmektedir) kullanıcıların bankacılık bilgilerini çalmayı hedefleyen bir zararlıdır. 2017 yılında exoandroidbot[.]net isimli internet sitesinden Exobotv2 olarak satılmaya başlanmıştır. İlgili versiyon ilk versiyonun gelişmiş ve bankacılık sektörü tarafından kullanılan sahtekarlık tespiti atlatma yöntemleriyle donatılmış halidir. 2017 yılının sonlarına doğru Exobot kaynak kodu geliştiricisi tarafından satılmıştır. Exobot satıldıktan sonraki aylarda ortaya çıkan zararlı uygulamaların yeni hedef odaklarından birisi de Türkiye olmuştur. Exobot zararlısından etkilenen ve Exobot tarafından oluşturulan botnet ağı Türkiye içerisinden binlerce telefonu bünyesinde barındırmakta ve mevcut botnet ağının sahiplerinin Türk asıllı aktörler olduğu düşünülmektedir. Bu botnetlerden bir tanesinin isminin usveryfood olduğu görülmektedir. Yakın zamanda Google Uygulama Mağazası içerisinde yer alan ve Exobot zararlısını indiren uygulamalar tespit edilmiştir. Tespit edilen bu uygulamalardan bir tanesi Mustafa Kemal ATATÜRK ismini taşıdığı için öne çıkmakta ve merak uyandırmaktadır. Uygulama görünüş itibariyle Mustafa Kemal ATATÜRK görsellerinin, videolarının ve sözlerinin yer aldığı bir uygulama gibi görünerek kullanıcıların milli duygularını sömürme üzerine tasarlanmıştır. Aşağıda incelemesi yapılacak olan Mustafa Kemal ATATÜRK uygulaması gibi arka planda Exobot zararlısını indiren uygulamaların listesi aşağıdaki gibidir: Mustafa Kemal ATATÜRK Canlı Borsa Finans Kur Altın Döviz Uygulaması
1) Teknik İnceleme İncelenen ve görünürde zararsız olan uygulama mobil cihaza yüklenip açıldığında aşağıdaki gibi görünmektedir. Görsel 1: Uygulama Ekranı İlgili uygulamanın VirusTotal sonuçları aşağıdaki gibidir. Google Uygulama Mağazasından indirilmiş olsa dahi bir uygulamanın güvenli olup olmadığından tam emin olunamıyorsa, uygulamanın telefona kurulmadan önce zararlı yazılım olup olmayacağı hususunda en azından bir fikir edinebilmek adına VirusTotal taramasından geçirilmesi önerilmektedir. Fakat unutulmamalıdır ki; VirusTotal sonucu temiz olan fakat zararlı davranış sergileyebilen uygulamalar da mevcuttur. Anti-virüs gibi çözümlere tamamıyla güvenmemek gereklidir.
Görsel 2: Uygulamanın VirusTotal Sonuçları
İlgili uygulamanın istediği izinler aşağıdaki gibidir. Görsel 3: İstenen İzinler Görsel, video ve söz içerikli bir uygulamanın SD Card içerisine yazma ve okuma yetkisi istemesi olağandışı bir durumdur. Amacı dışında izinler isteyen her uygulamaya şüpheyle yaklaşmak gereklidir. İlgili uygulamanın kaynak kodları incelendiğinde, telefon hakkında bilgiler topladığı görülmektedir. Görsel 4: Toplanan Bilgiler Model numarası, IMEI ve ülke bilgisi gibi bilgiler uzak sunucuya yollanmaktadır.
İlgili işlemlere paralel olarak zararlı Exobot uygulaması indirilmektedir. Bu indirme işlemi için uzak sunucudan Exobot indirme linki istenmektedir. Görsel 5: Zararlı İndirme Davranışı Zararlı yazılımda kullanıldığı tespit edilen Utils adlı sınıf incelendiğinde uygulamanın arkada indirdiği uygulamayı kurmak için yazıldığı görülmektedir. Görsel 6: Uygulamanın Özellikleri
Zararlı uygulamanın telefona yüklenebilmesi için telefon içerisinde güvenilir olmayan kaynaklardan uygulama kurma opsiyonunun açık olması gerekmektedir. Bunun sebebi zararlı uygulamanın Google Uygulama Mağazasından indirilmemesi ve telefon tarafından üçüncü parti uygulama olarak nitelendirilmesidir. Mustafa Kemal ATATÜRK tarafından indirilen zararlı uygulamanın VirusTotal bilgileri aşağıdaki gibidir. Görsel 7: Exobot VirusTotal Sonuçları
Zararlı uygulamanın istediği izinler aşağıda görülebilir. Görsel 8: Zararlı Uygulamanın İstediği izinler Servis Güncelleme 0.5 adı altında yüklenen uygulamanın telefon içerisinden kritik bilgiler çalabilecek nitelikte izinler istediği görülmektedir. Kaynak kod incelemesi yapıldığında zararlının çeşitli yöntemlerle uygulama kontrolü yaptığı görülmektedir. Bu yöntemlerden bir tanesi aşağıda görülebilir.
Görsel 9: Uygulama Kontrolü
Zararlı emulatör üzerinde çalışıp çalışmadığını anlamak için aşağıdaki şekilde kontroller yapmaktadır. Görsel 10: Emulatör Kontrolleri Zararlının içerisinde bulunan bazı string değerlerinin karmaşıklaştırılmak için **Kwm** ekleriyle karıştırıldığı görülmektedir. İlgili string değerlerinin ayıklanması ve incelemesiyle bankacılık işlemlerine müdahale etmek adına işlemler yaptığı tespit edilmiştir. Aynı stringler içerisinde telefon içerisinde erişilen bilgiler de görülmektedir.
Görsel 11: Exobot Tarafından Toplanan Bilgiler Görsel 12: Exobot Tarafından Kullanılan Stringler
Zararlı uygulamanın botnet operasyonları için yolladığı istek ve isteğin yollandığı domain bilgileri aşağıda görülebilir. Görsel 13: Botnet İletişim Trafiği 2) Tehdit Vektörü Göstergeleri (Indicator of Compromises) a) Zararlının iletişime geçtiği IP ve domain bilgileri hxxps://hepayriyollarda[.]at hxxps://cilginlargibi[.]at hxxps://hangimizsevmedik[.]at hxxps://91[.]217[.]70[.]163[:]7227 b) Zararlının hedef aldığı bankacılık uygulamaları biz.mobinex.android.apps.cep_sifrematik com.akbank.android.apps.akbank_direkt com.akbank.android.apps.akbank_direkt_tablet com.akbank.softotp com.finansbank.mobile.cepsube com.garanti.cepbank com.garanti.cepsubesi tr.com.sekerbilisim.mbank com.htsu.hsbcpersonalbanking com.ykb.android com.ykb.android.mobilonay com.ykb.androidtablet com.ingbanktr.ingmobil com.intertech.mobilemoneytransfer.activity com.kuveytturk.mobil
com.magiclick.odeabank com.pozitron.albarakaturk com.pozitron.iscep com.pozitron.vakifbank com.softtech.isbankasi com.teb com.tmob.denizbank com.tmob.tabletdeniz com.tmobtech.halkbank com.vakifbank.mobile com.ziraat.ziraatmobil com.ziraat.ziraattablet finansbank.enpara c) Zararlıyı İndiren Uygulamalar Ve İndirilen Zararlı Exobot Hash Bilgileri 3) Tavsiyeler com.m.k.ataturk 46f5f841e678706b785a2f375c75ffdbf206a69b6657477d8bc8ffb82a73cf02 İndirilen Exobot zararlısı 6523272efc4e34f0154b4ea53386bd28c66b461918d59fc87b0e6f90f4acc2c8 com.canli.doviz.borsa 686e0a60a8df7ae504eaf0f6e8c4af58a50b5f7ef2e1c64660eab6b475242677 İndirilen Exobot zararlısı 6523272efc4e34f0154b4ea53386bd28c66b461918d59fc87b0e6f90f4acc2c8 com.dovix e0d0650077a08d1f2feb7181b8376af24f8ef8a36c006d897aea5e710cb1b152 İndirilen Exobot zararlısı 2d78ae6c68b5eb5ad6f79025be917acf3e9c9ad07b5a5b9e2cfd6141c86db0d5 Google Uygulama Mağazası bünyesinden uygulama indirirken sahte uygulamalara dikkat edilmelidir. Bu bağlamda uygulama yazarının güvenilir olduğuna ve uygulamanın adının doğru olduğundan emin olunmalıdır. İlgili zararlının iletişime geçtiği IP adresleri ve domain bilgileri anlamında kurum telefonlarının iletişimi gözden geçirilmeli, ilgili IP ve domainler engellenmelidir.