BiznetBiznet

By Fatih Kayran

Alien Bankacılık Zararlı Yazılımı Analizi

Cerberustan Alien’a Geçiş ve Tarihçe

2019 yılında gözlenmeye başlanan Cerberus Android zararlı yazılımı, 2020 yılı Ağustos ayında kaynak kodunun yayınlanması ile birlikte gücünü kaybettiğini gözlemlemeye başladık. Google Play Protect tarafından Cerberus zararlısının kolayca tespit edilebilmesi sebebiyle saldırganlar / dolandırıcılar MaaS (Malware as a Service) olarak adlandırılan kiralık zararlı yazılım servislerinden, yeni ortaya çıkmış olan Alien Bankacılık Zararlı Yazılımına büyük bir yönelim göstermeye başladılar.

Cerberus’un geriye dönük incelemeleriyle beraber Cerberus V1 ve Alien’in kod yapısı arasında birçok benzerliği keşfettik. 2020 yılı Ocak ayında bilinen tehdit aktörlerinden “-ring0-“ yeni bir Android Trojanı geliştirdiğinden bahseden bir gönderi yayınlamıştır.

Kronolojik sıralama olarak olay zincirini incelediğimizde Alien ve Cerberus zararlı yazılımlarının ortak bir zaman dilimindeki etkileşimlerini gözlemleyebilmekteyiz.

  • Haziran 2019 – Cerberus v1 bankacılık zararlı yazılımı MaaS (Malware as a Service) olarak kiralanmaya başladı.
  • 18 Ocak 2020 – Alien bankacılık zararlı yazılımı Maas olarak kiralanmaya başladı. (Alien bu süre zarfında “Authenticator ve 2FA Stealer” özelliklerine sahiptir.)
  • 3 Nisan 2020 – Cerberus V2 zararlı yazılımının piyasaya sürüldü. (Cerberus v1 ve v2 arasındaki en büyük farkların “Authenticator ve 2FA Stealer” olduğu belirlenmiştir.)
  • 10 Ağustos 2020 – Cerberus zararlı yazılımının kaynak kodları yazarları tarafından yayınlandı.

18 Ocakta ortaya çıkmış olan Alien’in “Authenticator ve 2FA Stealer” kapasitesine sahip olması ve aylar sonra Cerberus’un aynı kod parçası ile bu özelliklere sahip olması şüphe uyandırmakta ve gruplar / şahıslar arasında bir bağlantı olduğunu işaret etmektedir. Buna ek olarak “ring0” Cerberus kaynak kodunun çeşitli yerlerinde geçmektedir

Kronolojik sıralama incelendiği zaman Alien zararlı yazılımının yazarının Cerberus zararlısından sorumlu gruba üye olduğu ya da Cerberus kaynak koduna erişimi olduğu düşüncesi güçlenmektedir. Cerberus grubunun dağılmasında “yetersiz eleman” sorununun da olması (forum üzerinden ANDROID kullanıcısı tarafından doğrudan ifade edilmiştir), tehdit aktörünün Cerberus grubunun bir parçası olup sonradan “kendi işini kurmaya karar verdiği” düşüncesini de desteklemektedir.

Şuan ki zaman diliminde Cerberus ve Alien zararlılarının yazarı ve Cerberus grubu arasındaki bağlantı ile ilgili kesin bir yorum yapılamasa da, Cerberus ve Alien zararlılarının kod benzerliğinden yola çıkarak kardeş olduklarını söylemek yanlış bir ifade olmayacaktır.

Alien’ın Özellikleri

Alien bankacılık zararlısının bir başka bankacılık zararlısı olan Cerberus’un önceki versiyonlarından birinin kopyası olduğu kod karşılaştırılması sonucu anlaşılmıştır. Alien’e Cerberus’tan miras kalmış özellikleri incelemek ve detaylı bilgi için Cerberus Banking Trojan Analysis raporumuzu okuyabilirsiniz.

Diğer özelliklerinin ve komuta kontrol sunucusu ile iletişim kurarken kullandığı kelimelerin ve sonucunda gerçekleşenlerin Cerberus ile aynı olduğu görülmüştür. Bu bölümün sonunda bold ile belirtilmiş kelimeler Cerberus zararlısında bulunmamaktadır, Alien’e özgüdür.

Bu kelimelerden clear_cache saldırganın bulaşma sonrasında tercihen uzaktan yüklebileceği yeni kodları ve işlevleri barındıran dosyayı (patch.ring0.run) silmeye yarar. Muhtemelen saldırganın ek zararlı yamasını yüklemesi sırasında oluşabilecek sorunlara karşı bir kaçış komutu olarak eklenmiştir.

add_socks5, run_socks5, stop_socks5, update_socks5 kelimeleri ise saldırganın kurban cihazının iletişim portlarına tünelleme yapabilmesini sağlayan özelliği tetikler. Bu özellik NAT veya güvenlik duvarı arkasındaki kurbanları etkilemeyebilmektedir.

Bağlantınının başarısız olması veya patch.ring0.run paketinin yüklenmemiş olması halinde  saldırgana “Socks connection to server ? is not possible, port ? is busy[143523#]” hata mesajını gönderir. İncelememiz sırasında bu özelliği barındıran “patch.ring0.run” paketini elde edemediğimizden dolayı paketin içeriği incelenememiştir. Saldırgan bu paketi kullanarak ele geçirilmiş cihazdaki zararlı yazılıma sonradan özellik ekleyebilir.

.
.
        if (!((_Utils)object).a((Context)this, ((_Utils)object).j((Context)this, this.b.O), (String)object2, string, string4, string2, string3).equals(this.a("Zjc="))) {
            object = new StringBuilder();
            ((StringBuilder)object).append(this.a("Socks connection to server "));
            ((StringBuilder)object).append(string);
            ((StringBuilder)object).append(this.a(" is not possible, port "));
            ((StringBuilder)object).append(string4);
            ((StringBuilder)object).append(this.a(" is busy[143523#]"));
            object = ((StringBuilder)object).toString();
            this.a.f((Context)this, this.b.Z, (String)object);
            object = this.a;
            ((_Utils)object).h((Context)this, ((_Utils)object).j((Context)this, this.b.O));
            this.stopSelf();
            return;
        }
.
.

“patch.ring0.run”paketi olsun veya olmasın, Alien 45555 portunda çalışacak bir vekil sunucu başlatabilmektedir.

.
.
 public final void run() {
                try {
                    ServerSocket serverSocket = new ServerSocket(45555);
                    Object object = _SOCKS5.this.a;
                    Object object2 = _SOCKS5.this.a("ProxyServer");
                    Object object3 = new StringBuilder();
                    ((StringBuilder)object3).append(_SOCKS5.this.a("Port="));
                    ((StringBuilder)object3).append(serverSocket.getLocalPort());
                    ((_Utils)object).a((String)object2, ((StringBuilder)object3).toString());
                    do {
.
.

Türkiye’de Etkilenebilecek Kurumlar

Alien zararlı yazılımı Cerberus yazılımının kullandığı sahte ekran giydirme sisteminin (zararlı yazılımın geliştiricileri tarafından injection olarak isimlendirilmektedir) aynısını kullanmaktadır. Cihazda kurulu olarak bulunan uygulamaları sorgulayabilecek olan saldırganlar, özel sahte ekranlarını geliştirip cihaza gönderebilmektedir. Injection ekranlarının hazırda olduğu bilinen ve Türkiye’de bulunan kurumların listesi aşağıdaki gibidir.

  • com.akbank.android.apps.akbank_direkt
  • com.albarakaapp
  • com.finansbank.mobile.cepsube
  • com.garanti.cepsubesi
  • com.ingbanktr.ingmobil
  • com.kuveytturk.mobil
  • com.magiclick.odeabank
  • com.mobillium.papara
  • com.paribu.app
  • com.pozitron.iscep
  • com.pttfinans
  • com.teb
  • com.tmobtech.halkbank
  • com.vakifbank.mobile
  • com.ykb.android
  • com.ziraat.ziraatmobil
  • finansbank.enpara
  • tr.com.hsbc.hsbcturkey
  • tr.com.sekerbilisim.mbank

Indicator of Compromise

Not: Bu kısım zararlı yazılımın sistemde veya ağda tespitini kolaylaştırabilecek bilgiler içermektedir. Zararlı yazılım MaaS (Malware-as-a-Service) biçiminde kiralandığından saldırgan veya IOC verileri tüm zararlı yazılımları ortaya çıkarmak için yeterli olmayabilir.

Alınabilecek Önlemler

  • Üçüncü parti kaynaklardan, cihaza uygulamaların yüklenmesi Android ayarlarından devredışı bırakılmalıdır.
  • Anti-malware yazılımı (Google Play Protect gibi) cihazlara kurulmalı, güncel ve çalışır durumda tutulmalıdır.
  • Yüklenen uygulama erişilebilirlik izinleri istiyorsa bu uygulamaya şüpheyle yaklaşılmalıdır. Bankacılık zararlı yazılımları kullanıcıya bu izin ekranlarını sürekli göstererek, kullanıcıları yıldırma yoluyla bu izinleri almaktadırlar.
  • Uygulamalara kullanım sırasında gerekmeyen izinler verilmemelidir. Geçici olarak verilen izinler, ilgili işlemler tamamlandıktan sonra kaldırılmalıdır.
  • Mobil işletim sistemleri güncel tutulmalıdır.
  • Toplu olarak yönetilen cihazlarda, güvenlik önlemleri MDM sunucularında da kontrol edilmelidir.

Android 11 İle Gelen Güvenlik Özellikleri

Google uzun bir beta test sürecinin ardından nihayet Android 11 versiyonu kullanıcıları ile buluşturmuştur. Android bu son versiyonu ile kullanıcılarına hassas verilerinin kontrolü konusunda daha fazla yetki vermektedir. Android 11’in en önemli güvenlik özelliklerinin detayları aşağıdaki gibidir.

One-time Permissions

Bir uygulama aşağıdaki izinlere erişmek istediğinde kullanıcılar sadece bir kerelik o izinleri isteyen uygulamaya verme yetkisine sahiptirler.

  • Konum
  • Mikrofon
  • Kamera

Kullanıcı istenilen izini uygulamaya bir kerelik verdiğinde, uygulama kapanına kadar, uygulama o izne sahip olmaktadır. Eğer uygulama kapatılıp tekrar açılırsa, kullanıcı istenilen izinleri tekrardan vermesi gerekmektedir. Bu özellik sayesinde arka planda çalışan bazı uygulamalar kritik izinlere sahip olamayacaktır.

Blocked Permissions

Kullanıcı bir uygulamanın istediği izinleri iki kere engellerse Android tarafından o uygulamanın izin istemesi engellenmektedir. Uygulamanın düzgün bir şekilde çalışması isteniyorsa kullanıcı ayarlardan o uygulamaya istediği izinleri vermelidir.

Overlay Permissions

Android platformunda en ciddi saldırılardan biri overlay saldırılarıdır. Bu saldırılar gerçek uygulama çalıştırılması için tıklandıktan hemen sonra kullanıcıdan alınan yetki sayesinde webview ile desteklenen sahte bir uygulama ekranıyla kullanıcıların bilgilerinin elde edilmesiyle gerçekleştirilmektedir. Yani kullanıcılar bilgilerini asıl uygulamaya girdiğini zannederken saldırganlar tarafından oluşturulmuş sahte uygulamaya girmektedirler. Bu durum uygulama üzerinde farklı bir ekranın belirmesi özelliğinden kaynaklı gerçekleşmekteydi.

Android 11 ile beraber, uygulamalar bir kullanıcıyı direkt olarak izin ekranına götüremeyecektir. Bir uygulama overlay izni istediğinde kullanıcı tarafından overlay izninin ayarlardan el ile verilmesi gerekmektedir. Böylece herhangi bir zararlı yazılımın gerekli izinleri alması zorlaştırılmıştır. 

Background Location Access

Bir uygulama konum bilgisine erişmek istediğinde, Android 11 bu uygulamanın aktif olarak çalışıp çalışmayacağına göre izin vermektedir. Yani uygulama sadece çalışırken konum izinlerini alabilmektedir. Arka planda çalışarak konum bilgisine erişmek isteyen bir uygulama kullanıcıdan ekstra izin almak zorundadır.

Bu ekstra izin istekleri birkaç adımdan oluşmaktadır. Her adımda birkaç defa “Tamam”, “İzin ver” butonlarına tıklanmak zorundadır. Böylece uygulamanın ihtiyacı olandan fazla veriye erişmesi engellenmektedir.

Eğer kullanıcı arka planda konum izinlerine erişilmesini istiyorsa ayarlardan gerekli işlemleri yapabilmektedir.

Permissions Auto-Reset

Eğer bir uygulama kullanıcı tarafından hassas bilgilere erişim izni aldıysa ve 1 aydan fazla bir süredir kullanılmıyorsa Android bu uygulamnın almış olduğu izinleri iptal etmektedir. Yani kullanıcı tekrardan uygulamaya girip istenilen izinleri vermesi gerekmektedir. Böylelikle bir uygulamanın kurulduktan sonra uzun bir süre kritik izinlere sahip olup zararlı davranışlar sergilemesinin önüne geçilmeye çalışılmıştır.

Scoped Storage

Uygulamalar kendi verilerinin haricinde diğer uygulamalar tarafından oluşturulan verilere erişemeyecektir. Yani her bir uygulama için kendi izole sandbox ortamı oluşturulmuştur. Bir uygulama diğer bir uygulamanın sandbox alanına erişemeyecektir. Dolayısıyla veri sızıntılarına karşı bir kat daha önlem alınmıştır.

Ek olarak bazı iyileştirme ve güncellemeler şöyledir:

  • BiometricPrompt API üzerinde iyileştirmeler
  • Uygulamaların veri paylaşımlarını kolaylaştırmak için güvenli depolama iyileştirmeleri
  • Güvenlik odaklı bazı bileşenlerin sanitizer kullanımında genişletmeler
  • GPS gizliliğinin arttırılması için GnssAntennaInfo sınıfının eklenmesi

Kaynaklar

https://thehackernews.com/2020/09/android-11-security-privacy.html
https://developer.android.com/about/versions/11/privacy
https://developer.android.com/reference/android/location/GnssAntennaInfo
https://www.wired.com/story/android-11-privacy-and-security-features/

Cyberwise Research Task Force

Ali Rıza Şahinkaya – alis@cyberwise.com.tr
Can Atakan Işık – cani@cyberwise.com.tr
Rıdvan Ethem Canavar – ridvanc@cyberwise.com.tr
Fatih Kayran – fatihk@cyberwise.com.tr

By Fatih Kayran

Microsoft 365 ve E-Posta Sunucuları Güvenlik Sıkılaştırmaları Rehberi

Günümüzde hem kamu kurumlarında hem de özel sektörde, operasyonel iletişim süreçleri ağırlıklı olarak e-posta sistemleri ve anlık iletişim uygulamaları üzerinden gerçekleşmektedir. Kurum içi ve dışı anlık iletişim sağlayan e-posta sistemlerinde, güvenliği sağlamak amacıyla gerekli önlemler alınmadığı takdirde, sistemlerdeki hassas bilgilerin açığa çıkmasıyla kurumlar itibar ve maddi kayıplar yaşayabilmektedir.

E-posta sistemlerinde güvenlik ve gizlilik politikalarının kullanılmaması veya yanlış yapılandırılması, saldırganlara çalışan bilgilerini ve kurumsal gizliliği olan hassas bilgileri ele geçirmesi konusunda açık kapılar bırakmaktadır. Güvenli protokollerin kullanılması, sistemlerin düzenli olarak test edilmesi ve çalışan farkındalığının arttırılması saldırganların başarı oranını azaltmaktadır. Günümüzde kullanıcı hesaplarının ele geçirilmesi ve kurumsal sistemlere sızma girişimlerinin, %90 oranında oltalama saldırıları yoluyla gerçekleştirildiği ve bu saldırı yöntemini önlemenin en efektif yolunun çalışan farkındalığı ve eğitimi olduğu görülmektedir.

E-posta sistemlerinin güvenliği hakkında çeşitli standartlar belirlenmiş olsa da kurumların eksik / başarısız standart yönetmesi, saldırganlara zorluktan çok kolaylık sağlamaktadır. E-posta sistemlerinde günümüzde kullanımda olan standartlar, geleneksel koruma sağlasa da saldırganların yeteneklerine ve yeni istismar yöntemlerine karşı, kurumların proaktif savunma yolları uygulaması ve çalışan farkındalığını sağlaması e-posta güvenliğinde atılabilecek kritik bir adımdır.

Özellikle Covid-19 pandemi sürecinde tırmanışa geçen e-posta sahtecilikleri, kurumlara ve kişilere büyük bir tehdit oluşturmaktadır. Bu raporda, e-posta sistemlerinin nasıl çalıştığına, hangi saldırı yüzeylerine sahip olduğuna ve bu saldırıları engelleme metotlarına değinilecektir.

Hazırladığımız bu sıkılaştırma dökümanına PDF olarak bağlantıdan erişebilirsiniz.

By Fatih Kayran

Nesnelerin İnterneti (IoT) Güvenlik Referans Rehberi

Gelişen teknoloji ve iletişim altyapıları ile beraber, üretilen fiziksel teknolojik bileşenler internet veya bölgesel mesh vb. ağlar vasıtasıyla haberleşebilme yetenekleri kazanmaktadır. Literatürde “Nesnelerin İnternet (Internet of Things)” olarak adlandırılan bu kavramda nesne, herhangi bir fiziksel teknolojik bileşen (sensör, aktüatör, bilgisayar, akıllı araba vb.) olabilirken; internet, bu nesnelerin veri iletişimi yapabilme kabiliyetini belirtmektedir. Günlük hayatımızda kullandığımız akıllı telefondan, trafik sinyalizasyon sistemlerine kadar birçok sistem nesnelerin interneti kapsamında değerlendirilmektedir. Gartner, 2015 yılında 6 milyar IoT cihazı kullanıldığını belirtirken, 2025 yılında bu sayının 27 milyar cihaza ulaşmasını öngörmektedir. Bulunduğumuz dönem “Pre IoT Era” olarak adlandırılırken, özellikle 5G ve IPv6 teknolojilerinin yaygınlaşmasıyla beraber IoT cihazlar hayatımızda daha büyük oranda yer kaplamaya başlayacaklardır.

Hayatımızın her alanında yer almaya başlayan IoT cihazlar, siber güvenlik kaygılarını da beraberinde getirmektedirler. İnternete bağlı bir kalp piline veya trafik sinyalizasyon altyapısına yapılabilecek bir siber saldırı ölümcül sonuçlara yol açabilmektedir. Her ne kadar siber güvenlik kaygıları, teknolojinin gelişimini takip etse de; teknolojinin gelişim hızı ve siber güvenlik olgunluğunun oluşum hızı arasında çoğu zaman farklılıklar olmaktadır. Siber güvenlik olgunluğunun gelişim hızı, teknolojinin gelişim hızından yavaş kalmakta ve IT sektörüne kıyasla, IoT siber güvenlik olgunluğu henüz emekleme çağında olarak yorumlanmaktadır.

Gartner, 2013’ten 2020 yılına kadar IoT siber güvenliğine yönelik harcamaların 188.05 milyar dolardan, 840.50 milyar dolara ulaşmasını öngörmektedir ve yıllık bazda ortalama %25 büyüme beklemektedir. IoT siber güvenliğine yönelik artan harcamaların beraberinde, olgunluğu arttırma amacıyla da çeşitli regülasyonlar ve güvenlik referansları yayınlanmıştır. Bu yazı kapsamında enstitüler, uluslararası ve ulusal kuruluşlar tarafından yayınlanmış regülasyonlar ve güvenlik referans dökümanları derlenerek nesnelerin interneti (IoT) güvenlik referans rehberi haline getirilmiştir.

Yazının tamamına bağlantıdan erişebilirsiniz.

By Fatih Kayran

ASP.NET Uygulamalarında Güvenlik Sıkılaştırmaları Rehberi

Yazı kapsamında .NET ekosisteminde genel olarak yer alan konfigürasyon dosyalarının güvenliği ve ASP.NET uygulamalarında bulunan Web.config konfigürasyon dosyası için yapılabilecek sıkılaştırma önerileri yer almaktadır. Giriş bölümünde konfigürasyon dosyaları hakkında temel seviye bilgilere ve Web.config dosyasının yapısı hakkında bilgilere yer verilirken, genel güvenlik önlemleri bölümünde ise temel anlamda alınması gereken önlemler anlatılmıştır. Son bölümde yazılım geliştirme sürecinde uygulanması gereken önlemlere değinilmiştir.

Yazının tamamına bağlantıdan erişebilirsiniz.

Cyberwise Research Task Force

Harun Poyraz – harunp@cyberwise.com.tr
Rıdvan Ethem Canavar – ridvanc@cyberwise.com.tr

By Fatih Kayran

Thiefbot Zararlı Yazılım Analizi

Thiefbot zararlı yazılımı, Cerberus zararlı yazılımına benzer olarak android mobil bankacılık uygulamalarını hedef almaktadır. Mobil cihazda kurulu olan bankacılık uygulamalarını tespit ettikten sonra bu bankacılık uygulamaları gibi sahte notification’lar oluşturup, sahte giriş ekranlarıyla (injections / overlay) kullanıcıların giriş, kredi kartı vb. bilgilerini elde etmeyi amaçlamaktadır.

Thiefbot, Cerberus zararlı yazılımı ile kıyaslandığında daha ilkel bir zararlı yazılım olduğu gözümüze çarpmaktadır. Thiefbot’un satışının yapıldığı forumdan alınan ekran görüntüsünde, bu zararlı yazılımı pazarlayan kullanıcının Türkçe bir nickname’e sahip olduğu görülmektedir.

İncelemelerimiz sırasında komuta kontrol sunucusunun kapalı olması nedeniyle, Thiefbot’tan etkilenen tüm uygulamaların listesi elde edilememiştir. Forumda yer alan bilgilendirmede özellikle Türkiye’de bulunan finans kuruluşlarının hedef alındığı görülmektedir.

Teknik Analiz

İncelenen Thiefbot örneklerinde incelemeyi zorlaştıracak herhangi bir önleme rastlanılmamıştır. Thiefbot, yüklendiği cihazda erişilebilirlik iznini almak için sürekli olarak kullanıcıya notification göndermektedir. Cerberus bankacılık zararlı yazılımına benzer bir şekilde Android’in erişilebilirlik (a11y) özelliklerini de istismar etmeye çalışmaktadır.

Komuta kontrol sunucusuyla iletişiminde AES/CBC/PKCS5Padding şifreleme algoritmalarını ve kaynak kodunda yer alan bir şifreleme anahtarını kullanmaktadır. Bu şifreleme anahtarı, kaynak koda sonradan değiştirilebilecek şekilde yerleştirilmemiştir.

Komuta kontrol sunucusunun tetikleyebileceği komutlar aşağıda listelenmiştir;

  • Screen_Lock : Aşağıda yer alan ekran görüntüsünü kullanıcıya gösterir. Başlangıçta “dblockss.txt” ismli bir dosya oluşturur, çalışmaya devam etmek için bu dosyanın varlığını kontrol eder. Dosya mevcut değilse cihaz rehberini siler.
  • Unlock_Screen : Harici depolamada bulunan “dblockss.txt” dosyasını siler.
  • Send_SMS : Hedeflenen numaraya SMS gönderir.
  • Download_Contacts : Telefon rehberinde yer alan iletişim bilgilerini komuta kontrol sunucusuna iletir.
  • Update_Inject : Uzak sunucudan cihaza dosya indirilmesini sağlar. Cihaza indirilen bu dosya ile sahte bankacılık uygulama ekranları oluşturulması sağlanmaktadır.
  • Flood_SMS : 5 saniyelik aralıklarla hedef telefon numarasına SMS göndermeye başlar.
  • Download_All_SMS : Tüm SMS mesajlarını komuta kontrol sunucusuna iletir.
  • Spam_on_contacts : Telefon rehberinde bulunan numaraların tamamına istenilen içerikte SMS gönderir.
  • Change_SMS_Manager : Varsayılan SMS uygulamasını değiştirebilmek için yetkilendirme sayfasını açar. Kullanıcı yetkiyi onaylayıncaya kadar bu sayfayı ekrana getirir.
  • Run_App Cihaz : üzerinde istenilen uygulamayı çalıştırır.
  • StartSocks : 35800 portundan erişilebilecek bir proxy sunucu başlatır.
  • Run_Message_and_Injection : “Acil” uyarısıyla bildirim mesajı gösterir, ardından komuta kontrol sunucusu tarafından istenilen sahte ekranı kullanıcıya gösterir.
  • Download_All_App : Cihaz üzerinde yüklenmiş uygulamaların listesini komuta kontrol sunucusuna iletir.
  • ReInjection : Kaynak kodunda tanımlı adresten cihaza dosya indirilmesini sağlar. Cihaza indirilen bu dosya ile sahte bankacılık uygulama ekranları oluşturulması sağlanmaktadır.
  • Run_Necessary_Injection : Önceden indirilen sahte uygulama ekranlarından, komuta kontrol sunucusunun belirleyebildiği sahte ekran kullanıcıya gösterilir.
  • Run_Notification : Cihaz üzerinde yüklenmiş uygulamaların sahte ekranlar ile manipüle edilmesi (overlay) uygunluğunu tarar ve overlay işlemini gerçekleştirir.

Aşağıda belirtilen kod parçasının, Thiefbot tarafından kullanılmadığı görülmüştür. Bu kod parçası ile sahte uygulama arayüzlerinin (injection) indirilmesi işlemi cihazın bölge ayarı Rusya olması halinde gerçekleşmemektedir. Özellikle Cerberus’ta yer alan bu özelliğin Thiefbot’ta da pasif bir şekilde bulunması Cerberus kaynak kodlarının yayınlanması sonucunda farklı bankacılık zararlı yazılımları görebileceğimize işaret etmektedir.

 .
 .
 .
     if (this.getResources().getConfiguration().locale.getCountry() == "RU") {
        System.exit(0);
     }
 .
 .
 .

Thiefbot, sahte arayüz ekranlarının (injection) oluşturulmayacağı uygulamaların listesini kaynak kodunda bulundurmaktadır. Analizlerimizde bu uygulamaların arasında Türkiye’den bir bankanın yer alması gözümüze çarpmıştır.

 .
 .
 .
 String[] Not_inject_app = new String[]{"com.android.vending", "com.google.android.gms", "com.skype.raider", "com.viber.voip", "com.ykb.android", "com.google.android.gm"};
 .
 .
 .

Sonuçlar

Anroid 11 ile Cerberus, Thiefbot gibi bankacılık zararlı yazılımlarının overlay amacıyla cihaz üzerine indirdiği sahte ekranların (injection), yeni Anroid güvenlik özellikleri ile çalışmayacağı görülmektedir. Bu nedenle geçtiğimiz aylarda Cerberus, kaynak kodlarını satışa sunmuştur. Cerberus kaynak kodları kullanılarak Thiefbot’a benzer şekilde birçok bankacılık zararlı yazılımlarının türeyeceğini ve Türkiye’de bulunan kullanıcıları hedef alacağını öngörmekteyiz.

Mevcut bankacılık zararlı yazılımlarında bulunan erişilebilirlik izinlerinin kötüye kullanılması mekanizmalarının Anroid 11 ile kullanılamayacağını görmekteyiz. Dolayısıyla önümüzdeki yıllarda saldırganların yeni yaklaşımlar ile farklı türlerde bankacılık zararlı yazılımları geliştirmesine tanık olacağız.

Alınabilecek Önlemler

  • Üçüncü parti kaynaklardan, cihaza uygulamaların yüklenmesi Android ayarlarından devredışı bırakılmalıdır.
  • Anti-malware yazılımı (Google Play Protect gibi) cihazlara kurulmalı, güncel ve çalışır durumda tutulmalıdır.
  • Yüklenen uygulama erişilebilirlik izinleri istiyorsa bu uygulamaya şüpheyle yaklaşılmalıdır. Bankacılık zararlı yazılımları kullanıcıya bu izin ekranlarını sürekli göstererek, kullanıcıları yıldırma yoluyla bu izinleri almaktadırlar.
  • Uygulamalara kullanım sırasında gerekmeyen izinler verilmemelidir. Geçici olarak verilen izinler, ilgili işlemler tamamlandıktan sonra kaldırılmalıdır.
  • Mobil işletim sistemleri güncel tutulmalıdır.
  • Toplu olarak yönetilen cihazlarda, güvenlik önlemleri MDM sunucularında da kontrol edilmelidir.

Indicator of Compromise (IOC)

hxxp[:]//ravangame[.]beget[.]tech
Örnek SHA256: 7bf12ce87f1be65f14289fe4f9a7fe4c79b145ec8dd8b1d88ce3faf9036b1836

hxxp[:]//194[.]32[.]79[.]50
Örnek SHA256: 7ccd22a35efd332504aef9984b70cd9795e44d1f7cfa19271c060fba249ff817

Cyberwise Research Task Force

Ali Rıza Şahinkaya – alis@cyberwise.com.tr
Fatih Kayran – fatihk@cyberwise.com.tr

1 2