Red Alert 2.0 Truva Atı ve Bankacılık Zararlısı İnceleme Raporu Mobil platformda faaliyet yürüten Red Alert Truva Atının 2.0 olarak adlandırılan yeni versiyonu çeşitli mecralarda dağıtılmaya başlanmıştır. Zararlının arkasında bulunan grup ilgili zararlının dağıtımını sıkça kullanılan uygulamalar, sistem güncellemesi ya da VPN uygulamalar görünümünde yapmaktadır. İlgili uygulamaların dağıtımının yapıldığı web adresleri ilk görünüşte uygulama marketi görünümünde olmakla beraber içerisinde bulunan uygulamalar da yukarıda belirtildiği gibi gerçek uygulamalara benzeyen zararlıyı barındırmaktadır. Dağıtımın yapıldığı web adreslerini raporun son kısmında bulabilirsiniz. Aşağıda incelemesi yapılacak olan sahte WhatsApp uygulamasının yanı sıra, Red Alert 2.0 tarafından kullanılan sahte uygulamaların listesi aşağıdaki gibidir: WhatsApp Viber OneCoin Wallet Flash Player Pornhub Tactic FlashLight Finanzonline VPN Proxy Master 1) Teknik İnceleme İncelenen sahte WhatsApp uygulaması Android 4.1 sürüm bir sanal cihaza yüklenmek istediğinde Secured Protection ismini taşıdığı fakat WhatsApp ikonu bulunduğu görülmektedir.
Görsel 1 Zararlı Kurulum Ekranı İlgili uygulamanın VirusTotal sonuçları aşağıdaki gibidir. Uygulama hali hazırda pek çok güvenlik çözümü tarafından zararlı olarak nitelendirilmektedir. Google Uygulama Mağazası dışından indirilen üçüncü parti uygulamaların telefona kurulmadan önce zararlı yazılım olup olmayacağı hususunda en azından bir fikir edinebilmek adına VirusTotal taramasından geçirilmesi önerilmektedir. Unutulmamalıdır ki, VirusTotal sonucu temiz olan fakat zararlı davranış sergileyebilen uygulamalar da mevcuttur. Anti-virüs gibi çözümlere tamamıyla güvenmemek gereklidir.
Görsel 2 Zararlı Yazılımın VirusTotal Sonuçları Sahte WhatsApp uygulamasının istediği izinler aşağıdaki gibidir.
Görsel 3 İstenen İzinler Normal WhatsApp uygulamasının istemediği izinleri istemesinin yanı sıra, istenen izinlerin tehlikeli kategorisinde bulunan izinler olduğu görülmektedir. Android işletim sistemi içerisinde uygulama tarafından istenen izinler hakkında daha fazla bilgi edinmek için https://developer.android.com/guide/topics/permissions/overview adresini ziyaret edebilirsiniz. Zararlı uygulamanın strings dosyası içerisinde görüldüğü üzere uygulamanın iletişime geçtiği adres bilgisi açıkça görülebilmektedir.
Görsel 4 Kaynak Kod İçerisindeki Strings.xml Dosya Değerleri Zararlının kaynak kodları incelendiğinde, telefon açıldığında belirli aralıklarla alarm kurduğu ve belirli işlemler icra ettiği görülmektedir. Görsel 5 Zararlı Davranış: Belirli Aralıklarla Alarm Kurulumu
Görsel 6 Zararlı Davranış: İcra Edilen Kontroller İlgili fonksiyonlar incelendiğinde açık olan aktif uygulama listesi bilgilerine eriştiği görülmektedir. İlgili kontrolün yapılması sonucunda ilgili uygulamadan kimlik bilgisi çalınıp çalınamayacağı belirlenmektedir. Ayrıca, ilgili kontrol sonucunda zararlı, gerçek uygulamanın üzerine kendi arayüzünü koyarak bilgi çalabileceği uygulamaları da tespit etmektedir. Zararlı ilgili listeye erişebilmek için aşağıdaki iki adet yöntemi denemektedir.
Görsel 7 Zararlı Davranış: Uygulama Listesi Kontrolü Görsel 8 Zararlı Davranış: Uygulama Listesi Kontrolü
Ayrıca, uygulamanın cihaza DEVICE_ADMIN kaydı yaptığı görülmektedir. DEVICE_ADMIN hakkında detaylı bilgil edinmek için https://developer.android.com/guide/ topics/admin/device-admin adresini ziyaret edebilirsiniz. Görsel 9 Zararlı Davranış: DEVICE_ADMIN Ekleme İşlemi Zararlının komuta kontrol sunucusu ile iletişime geçmek için yaptığı bağlantılar aşağıda görülmektedir. Zararlının komuta kontrol sunucusu ile iletişime geçemediği durumlarda kontrolü twitter üzerinden yapmaya çalıştığı görülmektedir. İletişime geçtiği durumlarda komuta kontrol sunucusundan bilgi çalınacak banka uygulama ekranının üzerine koyulacak sahte ekran indirilmektedir. Görsel 10 Zararlı Davranış: Komuta Kontrol Sunucusu ile İletişim
Görsel 11 Zararlı Davranış: Komuta Kontrol Sunucusu ile İletişim Zararlı, kurulduğu telefon içerisinde bulunan SMS, rehber, arama listesi bilgilerini komuta kontrol sunucusuna iletmesinin yanı sıra, güncel komuta kontrol sunucusu bilgisini de veritabanında bulundurmaktadır. Komuta kontrol sunucusu ile arka kapı iletişimi komutlar aracılığıyla gerçekleşmektedir. İletişime geçilen format aşağıda görülebilir { os":", model":", hash":" ","imei":","iccid":" ","control_number":"delete later,"number":","type":","lang":" }
2) Zararlı Hakkında Bilgiler Zararlının iletişime geçtiği IP adresleri 103.239.30.126:7878 146.185.241.29:7878 146.185.241.42:7878 185.126.200.3:7878 185.126.200.12:7878 185.126.200.15:7878 185.126.200.18:7878 185.165.28.15:7878 185.243.243.241:7878 185.243.243.244:7878 185.243.243.245:7878 Zararlının iletişime geçtiği domain bilgileri free-androidvpn.date free-androidvpn.download free-androidvpn.online free-vpn.date free-vpn.download free-vpn.online Tespit edilen zararlı uygulamaların hash değerleri 22fcfce096392f085218c3a78dd0fa4be9e67ed725bce42b965a27725f671cf 55292a4dde8727faad1c40c914cf1be9dfdcf4e67b515aa593bcd8d86e824372 be92a751e5abbcd24151b509dbb4feb98ea46f367a99d6f86ed4a7c162461e31 5c4d666cef84abc2a1ffd3b1060ef28fa3c6c3bb4fad1fa26db99350b41bea4c
06081ab7faa729e33b9397a0e47548e75cbec3d43c50e6368e81d737552150a5 753999cb19a4346042f973e30cf1158c44f2335ab65859d3bfa16bca4098e2ef 3) Tavsiyeler Üçüncü parti uygulama mağazalarından uygulama indirilmemesi şiddetle önerilmektedir. İlgili zararlının iletişime geçtiği IP adresleri ve domain bilgileri anlamında kurum telefonlarının iletişimi gözden geçirilmeli, ilgili IP ve domainler engellenmelidir.