Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
TASNİF DIŞI Mobil Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih: 6 Eylül 2018 Rapor No : ZF2018-06A-0023
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2018. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
Google Play Zararlısı İnceleme Raporu
Günümüzde akıllı telefonlara olan ilginin ve akıllı telefon kullanım oranının artması ile birlikte
mobil platformlar saldırganların ilgisini giderek çekmeye başlamıştır. Google Uygulama Mağazası
içerisine zararlı yazılım koymayı başarabilen saldırganlar, bu yollarla kullanıcıların çeşitli bilgilerini
çalarak satmayı hedeflemektedir. Daha ileri düzey zararlılar ise kullanıcıların kart bilgilerine göz
dikmektedir. Android platform söz konusu olduğunda üçüncü parti uygulama mağazalarına kesinlikle
güvenilmemesi vurgulanırken artık Google Uygulama Mağazasında geliştiricisini tanımadığınız ve
güvenmediğiniz uygulamaları indirmeyin uyarısı da günümüzün en yaygın tavsiyelerinden olmaya
başlamıştır.
1) Teknik İnceleme
İncelenen zararlı Google Play Store uygulaması Android 4.1 sürüm bir sanal cihaza yüklenmek istenildiğinde, ilk kurulum ve çalışma anlarında aşağıdaki görsellerdeki gibi çalışmaya başladığı görülmüştür.
Görsel 1: Zararlının açılış ekranları
TASNİF DIŞI Mobil Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih: 6 Eylül 2018 Rapor No : ZF2018-06A-0023
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2018. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
İlgili zararlıya ait VirusTotal sonuçları aşağıdaki gibidir. Uygulama hali hazırda pek çok güvenlik çözümü tarafından zararlı olarak nitelendirilmektedir.
Görsel 2: Zararlının VirusTotal sonuçları
İlgili uygulamanın cihaz üzerinde talep ettiği izinler aşağıdaki gibidir. Arka planda çalışan uygulamaları kapatma ve gelen SMS’leri okuma gibi pek çok izin istediği görülmektedir.
TASNİF DIŞI Mobil Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih: 6 Eylül 2018 Rapor No : ZF2018-06A-0023
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2018. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
Görsel 3: Zararlının istediği izinler
Zararlı tarafından talep edilen izinlerin ‘tehlikeli’ kategorisinde bulunan izinler olduğu görülmektedir. Android işletim sistemi içerisinde uygulama tarafından istenen izinler hakkında daha fazla bilgi edinmek için https://developer.android.com/guide/topics/permissions/overview adresini ziyaret edebilirsiniz. Gerçekleştirilen analiz neticesinde ve zararlının talep ettiği izinlerden de yola çıkılarak, ilgili zararlıya ait nitelikler aşağıda listelenmiştir.
• Device Admin yetkisine ulaşma
• SMS yakalama ve gönderme
• Arama işlemi gerçekleştirebilme
• Harici karta dosya yazabilme
• Arama kaydı bilgilerine erişebilme
• USSD kod çalıştırabilme
• Klavye erişimi engelleyebilme
• Screen Injection (Overlay Attack)
TASNİF DIŞI Mobil Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih: 6 Eylül 2018 Rapor No : ZF2018-06A-0023
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2018. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
Görsel 4: Zararlı Davranış Zararlının komuta kontrol sunucusu ile iletişime geçmek için yaptığı bağlantılar incelendiğinde, kurulum aşamasının ardından cihaza ait IMEI, IMSI, model, işletim sistemi ve ülke bilgilerinin komuta kontrol sunucusuna gönderildiği görülmüştür.
Görsel 5: Komuta Kontrol Sunucusuna Gönderilen Bilgiler Zararlının iletişime geçtiği komuta kontrol sunucusu poltabletki[.]ru olarak belirlenmiştir. Ayrıca zararlının, hedef kullanıcılardan elde edilen kart bilgilerini komuta kontrol sunucusuna gönderdiğine dair görsele aşağıda yer verilmiştir.
TASNİF DIŞI Mobil Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih: 6 Eylül 2018 Rapor No : ZF2018-06A-0023
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2018. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
Görsel 6: Çalınan Bilgiler
Zararlı, cihaz üzerinde Arama Yönlendirme özelliğini kapatmaktadır.
Görsel 7: Arama Yönlendirmenin Kapatılması Zararlının SMS ve çağrı trafiğine erişebildiği görülmüştür. İlgili kod parçalarına ait görsellere aşağıda yer verilmiştir.
TASNİF DIŞI Mobil Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih: 6 Eylül 2018 Rapor No : ZF2018-06A-0023
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2018. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
Görsel 8: Çağrılara Erişim
Görsel 9: SMS Bilgilerine Erişim
Görsel 10: SMS Bilgilerine Erişim
TASNİF DIŞI Mobil Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih: 6 Eylül 2018 Rapor No : ZF2018-06A-0023
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2018. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
Yapılan incelemelerde ilgili zararlının, ButterKnife isimli bir kütüphane kullandığı görülmüştür. ButterKnife kütüphanesi View Injector kütüphanesi olarak isimlendirilmektedir. Bu kütüphane sayesinde ön yüzde kullanılan android bileşenleri, annottationlar kullanılarak uygulama üzerinde direkt olarak erişilebilmesine olanak sağlanılmaktadır. ButterKnife kütüphanesi kullanılarak gerçekleştirilen kart bilgilerini alma işlemine ait kod parçalarına aşağıda yer verilmiştir.
Görsel 11: Kart Bilgisi Alma İşlemi Zararlı tarafından gerçekleştirilen SMS yakalama ve arama çağrısı gerçekleştirebilme işlemlerine ait detayların, uygulamanın kurulu olduğu dizinde shared_preferences altında app_settings.xml dosyasında yer aldığı görülmektedir.
TASNİF DIŞI Mobil Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih: 6 Eylül 2018 Rapor No : ZF2018-06A-0023
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2018. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
Görsel 12: Zararlının Kaydettiği İşlem Detayları
İlgili zararlının gerçekleştirdiği faaliyetler arasında USSD kod çalıştırabilme özelliğinin olduğu tespit edilmiştir. Çalıştırılan USSD kodlara ait kod parçasına aşağıdaki görselde yer verilmiştir.
TASNİF DIŞI Mobil Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih: 6 Eylül 2018 Rapor No : ZF2018-06A-0023
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2018. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
Görsel 13: Zararlının USSD Özellikleri Zararlının komuta kontrol sunucusu ile kurduğu iletişim incelendiğinde cihaza ait install-id, telefon numarası, ICCID, IMEI, IMSI, model, işletim sistemi, API ve ülke bilgilerine ait detayların gönderildiği görülmüştür.
Görsel 14: Zararlının Komuta Kontrol Sunucusu ile İletişimi
TASNİF DIŞI Mobil Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih: 6 Eylül 2018 Rapor No : ZF2018-06A-0023
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2018. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
2) Sunucu İncelemesi İlgili zararlı örneklerine ait komuta kontrol sunucuları incelendiğinde, sunucuların Rusya üzerinde host edildiği görülmüştür. Ayrıca kaynak kod üzerinde yapılan incelemeler doğrultusunda, zararlının geliştirilme sürecinde kullanılan metotlar internet üzerinde araştırıldığında rus tabanlı web sitelerinde tartışmaların yer aldığı görülmüştür. Bu durum saldırganların Rusya çıkışlı olduğunu düşündürmektedir fakat kanıtlanamamıştır.
Görsel 15: Zararlının Komuta Kontrol Sunucusu Bilgileri
TASNİF DIŞI Mobil Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih: 6 Eylül 2018 Rapor No : ZF2018-06A-0023
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2018. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
3) Tehdit Vektörü Göstergeleri (Indicator of Compromises)
a) Zararlının iletişime geçtiği IP ve domain bilgileri
poltabletki[.]ru
178[.]208[.]83[.]35
b) Zararlıya ait paket ismi bilgisi
o.scc (Google Play Update)
c) Tespit edilen zararlılara ait hash bilgileri
1 f6b5a9523a0f10e85a5c18f4e49e45fce1b3660b989a075001e5b84f63d9c0b6 2 d5bf472056ad400c7633f1d634518bb940af2375243093797ddaeea3c8d4cab3 3 9833bb6851524b50e66b64cd0135a9a4856b0a8a70ac7c59a8eadf481ce545b6 4 c351032578f774dff51d167e382abfaf921018aaa69b509f2d7fe882e05e9918 5 29864c21b35a83bb13683eab5d03c1fd78f95e39da47bb5c30272103d6233431 6 d0bd16d80af005de0f199a2c918fb446eb1fe55e1559ea0ace02f048f8222880 7 f250c0e77d430cd84e548e272260b309aacc345f6b9499ba563301cdc95f01b5
8 97334d89aa19d9d88c4f0e60147f0c9011325f4a224242f2bbb9c6ce227d5f76
9 00537301c6e6efd7565f7f4c1ecbe6aea1d911e389dd4958990dd8177593d5f5
10 4f468a2efcdd0f4a3822bf343ca8eb308d0373957c7d317730f2ca147d8cab0c
d) Tespit edilen zararlılara ait domain bilgileri
ftere1ak[.]beget[.]tech/api/
erhtetrhert434[.]gq/api
androidfofrukt[.]ru/api/
moneyotjim[.]ru/api/
bestscrypt[.]ru/api
www[.]htm-php-studio[.]ru
TASNİF DIŞI Mobil Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih: 6 Eylül 2018 Rapor No : ZF2018-06A-0023
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2018. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz. TASNİF DIŞI
e) Tespit edilen zararlılara ait IP bilgileri
5.101.152.212
141.8.224.221
95.183.8.107
37.143.15.154
37.143.14.128
178.57.218.132
4) Tavsiyeler
İlgili zararlı üzerinde yapılan analiz ve incelemeler sonucunda, zararlının kullanıcılara ait kart bilgilerini çalmayı hedefleyen zararlı android uygulaması olduğu tespit edilmiştir. Zararlının geliştirilme aşamasında kullanılan ButterKnife kütüphanesi dikkat çekmekte ve geliştirme aşamasında android geliştiricilerin geliştirme süreçleri incelenip buna göre zararlı uygulamanın geliştirildiği düşünülmektedir. Geliştiriciler için kolaylık sağlayan ve sıkça kullanılan bu tarz kütüphanelerin zararlı amaçlar için de kullanılabileceği ihtimali unutulmamalıdır. Google Uygulama Mağazası bünyesinden uygulama indirirken sahte uygulamalara dikkat edilmeli. Uygulama yazarının güvenilir olduğuna ve uygulamanın adının doğru olduğundan emin olunmalıdır. İlgili zararlının iletişime geçtiği IP adresleri ve domain bilgileri anlamında kurum telefon ve cihazlarının iletişimi gözden geçirilmeli, ilgili IP ve domain adresleri kara listeye alınarak engellenmelidir.