Android Bankacılık Casus Yazılımı

Nisan ayı başı gibi bazı banka müşterilerine SMS ile banka_adi.şüpheli_adres.com adında mesajlar gönderilmeye başlandı. Siteye Android akıllı cihazı ile bağlanan kullanıcıları, bankaya aitmiş gibi görünen güzel bir görsel karşılıyor ve kullanıcının bankanın mobil bankacılık hizmetinden yararlanabilmesi için ilgili uygulamayı kurması isteniyordu.

Android Banking Malware


Siteyi masa üstü internet tarayıcısı ile ziyaret edenler ise bankanın ana sayfasına yönlendiriliyordu. Zararlı yazılımın zaman içinde birden fazla sürümüne erişme imkanım olduğu için ilk sürümü ile 2 ve 3. sürümlerini kıyaslama imkanım olmuştu.

İlk sürümde kod gizlemesi (obfuscation) gerçekleştirilmediği için zararlı yazılım, kaynak koda çevridiğinde bunun rehber, arama kaydı ve sms bilgilerini çalan, anahtar kelime ile sms yönlendirmesi yapabilen ve Türkiye’de 185.50.69.100 ip adresi ile 4444 numaralı bağlantı noktasından haberleşen bir casus yazılım olduğu rahatlıkla anlaşılıyordu.

Android Banking Malware

Yazılımı geliştiren kişinin kaynak kodun bir yerinde servis adı olarak isim.soyad bilgisine yer vermesi, kodun ya çalıntı ya da dikkatsizce başka bir koddan kopyalandığına işaret ediyordu.

Android Banking Malware
Android Banking Malware

İlerleyen sürümlerde ise bu zararlı yazılım haberleştiği ip adresi, kod gizleme yöntemi ile gizlendiği görülebiliyordu.

Android Banking Malware

Yeri gelmişken bu tür zararlı yazılımlar ile karşılaşıldığı zaman, son kullanıcı da olsanız, güvenlik uzmanı da olsanız, Ulusal Siber Olaylara Müdahale Merkezi‘ni (USOM) ihbar formu üzerinden bilgilendirmenin, ulusal ve kurumsal güvenlik adına oldukça önemli olduğunun altını çizmek isterim.

USOM’un hızla güncellediği zararlı bağlantılar listesi ve koordinasyon ile sektörel ve kurumsal SOME’lerin, güvenlik üreticilerinin kısa süre içinde bu zararlı adreslerden haberdar olarak, kullanıcıların mağdur olmasını kısa bir süre içinde engellediklerini unutmayın.

Devlet kurumudur, oldukça yavaş işler, hiç zahmet etmeyeyim gibi ön yargıları bir kenara koyabilirsiniz çünkü USOM’a yapmış olduğum bir bildirimin 2 saat gibi kısa bir süre içinde zararlı bağlantılar listesine eklendiğini geçtiğimiz günlerde tecrübe ettiğimi söyleyebilirim.

Daha önceki yazılarımdan da bildiğiniz üzere Android platformu için geliştirilen uygulamalar kolaylıkla bayt koduna ve kaynak koduna çevrilebilmektedir. Kaynak kodunun bu örnekte olduğu gibi okunaklı olmadığı durumlarda bayt kodunu analiz etmek tercih edeceğiniz en akıllıca yöntemlerden biri olacaktır.

Android Banking Malware

Zararlı yazılımı apk-tool aracı ile bayt koduna (smali) çevirdikten sonra smali\com\googleandroid\listener\items\receivers\ klasörü içinde yer alan ProgramStartReceiver.smali dosyası dikkatimi çekti. Dosyayı incelediğimde şifrelenen komuta kontrol merkezi adresinin bu dosya içinde çözüldüğünü (decryption) gördüm.

Bu gibi (okunaklı olmayan kaynak kodu) durumlarda bayt kod üzerinde değişiklik yaparak programın akışını değiştirebilme imkanına sahip olduğunuz için ben de şifresi çözülmüş olan değişkeni aşağıdaki ekran görüntüsünde yer aldığı şekliyle LogCat‘e yönlendirmeye karar verdim. Değişikliği yaptıktan sonra tekrar apk-tool aracı ile paketi derleyip, imzaladıktan sonra Android Emulator’e yükledim ve ardından gizlenmiş olan komuta kontrol merkezinin ip adresini görebildim.

Android Banking Malware
Android Banking Malware

Bu zararlı yazılımda olduğu gibi siz de kod gizleme yönteminden (obfuscation) faydalanan zararlı yazılımları analiz etmek istediğinizde benzer şekilde bayt kodu üzerinden ilerlemeyi alternatif bir yol olarak değerlendirebilirsiniz.

Bir sonraki yazıda görüşmek dileğiyle herkese güvenli günler dilerim.

image_pdfShow this post in PDF formatimage_printPrint this page
13 comments
  1. merhaba,

    netwrok trafigini inceledigim bir apk da telefona proxy girerek fiddler programina yonlendirdim. programda arama islemi yaptirdigimda fiddler uzerinde birsey gozukmuyor fakat promgram arama sonucunda bilgileri cekip listeyi guncelliyor. daha sonra fiddler calistirdigim bilgisayarda wireshark programinida calistirdim ve paketleri yakaladi. fiddler neden paketleri gostermiyor. android telefon network trafigini dinlemek icin hangi programi onerirsiniz.

    tesekkurler.

  2. Teşekkürler Mert Hocam,
    Ne zamandır teknik bir yazıya hasret kalmıştım :) güzel bir yazı olmuş her zamanki gibi.
    Bu arada obfuscation ‘a dikkat çekmek istediğinizi yorumlarda gördüm.
    Ama yine de bir sormak isterim.
    Acaba windows ta olduğu gibi netstat -nab gibi bir komutla android ortamında application ‘ın bağlantı kurduğu yeri tespit edebilir miyiz, yoksa rootkit yazılımlarında olduğu gibi android sistemlerde de bu bağlantı kurulan portların gizlenme ihtimali var mı?

    1. Rica ederim :)
      Uygulama root yetkisi ile çalışmadığı sürece veya kernel üzerinde bir zafiyeti istismar edip root yetkisine sahip olmadığı sürece bağlantı kurulan adresleri normal şartlarda gizleyemez.
      Evet netstat vb. araçlar ile bunu tespit etme imkanı var.

  3. merhaba,

    en sonda ip adresini gormek icin kaynak kodu degistirip bulmak yerine emulatore proxy girerek fiddler yardimiyla daha kolay goremezmiydiniz.

    1. Görebilirdim ancak sondan bir önceki paragrafta da (aşağıdadır) belirttiğim üzere yazıda dikkat çekmeye çalıştığım nokta, gizleme (obfuscation) tekniği kullanan zararlı yazılımlarda bayt kodu üzerinde değişiklik yaparak gizlenmiş veriye ulaşabilecek olmanızdır. IP adresi değil de sunucuya gönderilen veri şifrelenmiş olsaydı o zaman Fiddler çare olmayacak bu yöntemden faydalanmanız bir alternatif yol olacaktı.

      “Bu zararlı yazılımda olduğu gibi siz de kod gizleme yönteminden (obfuscation) faydalanan zararlı yazılımları analiz etmek istediğinizde benzer şekilde bayt kodu üzerinden ilerlemeyi alternatif bir yol olarak değerlendirebilirsiniz.”

  4. Sayın Mert Sarıca;

    Verdiğiniz aydınlatıcı bilgiler için tekrar teşekkür ederim. Cevabı çok hızlı verdiniz. Telefonumda neyse ki zararlı yazılımlara karşı antivirüs programı mevcut ve zamanında güncelliyorum .https://www.usom.gov.tr/ihbar-bildir.html) adresini artık unutmam .Bu arada yazınızda USOM adı geçiyor ama web sitesi adını ha^lâ göremedim. Tekrar teşekkürler.İyi çalışmalar.

    İyi çalışmalar.

    Sayın Mert Sarıca;

    Aydınlatıcı yazınız için teşekkürler. Konuyla ilgili bir sunumunuzu da XIX.Türkiye İç Denetim Kongresi’nde dinlemiştim.Android ya da I-Phone gelen bu tür kötü yazılımlar e-maille mi geliyor?Nasıl farkedeceğiz?Apple store da yüklediğimiz programlar sanırım zararlı değildir. Her biri lisanslı diye biliyorum. Peki fark ettiğimiz anda USOM İhbar Formu’nu nereden sağlayıp dolduracağız?İnternnetten bulup web sitesine girip doldurmamız yeterli mi? Güvenilir mi?Bu formu ilk kez duyuyorum. Biz kullanıcılar da bu tür önemli farkındalıkların artması dileğiyle.
    Teşekkürler.

    1. “Yeri gelmişken bu tür zararlı yazılımlar…” ile başlayan paragrafta geçen “Ulusal Siber Olaylara Müdahale Merkezi” ‘ne tıklarsanız, sizi resmi sitelerine yönlendirmektedir.

  5. Sayın Mert Sarıca;

    Aydınlatıcı yazınız için teşekkürler. Konuyla ilgili bir sunumunuzu da XIX.Türkiye İç Denetim Kongresi\’nde dinlemiştim.Android ya da I-Phone gelen bu tür kötü yazılımlar e-maille mi geliyor?Nasıl farkedeceğiz?Apple store da yüklediğimiz programlar sanırım zararlı değildir. Her biri lisanslı diye biliyorum. Peki fark ettiğimiz anda USOM İhbar Formu\’nu nereden sağlayıp dolduracağız?İnternnetten bulup web sitesine girip doldurmamız yeterli mi? Güvenilir mi?Bu formu ilk kez duyuyorum. Biz kullanıcılar da bu tür önemli farkındalıkların artması dileğiyle.
    Teşekkürler.

    1. Rica ederim.
      Bu örnekte salgın, sahte bir SMS ile başlıyor ancak e-posta ile başladığı vakalar da mevcut. Bu tür zararlı yazılımlara karşı mobil cihazınızda, mobil güvenlik ürünleri (örnek: Mobile Security & Antivirus) kullanabilirsiniz. Bu tür zararlı yazılımlara karşı ayrıca bu tür şüpheli e-postaları, smsleri dikkate almadan önce sorgulamak (örneğin bankayı arayıp sormak) faydalı olacaktır.
      Yazıda aslında ihbar formunun adresine yer vermiştim yine de tekrar paylaşıyorum. USOM ihbar formuna buradan (https://www.usom.gov.tr/ihbar-bildir.html) ulaşabilirsiniz.
      Bu yazıda bahsi geçen zararlı yazılım Google Play’de yer almamaktadır.

Leave a Reply

Your email address will not be published. Required fields are marked *

You May Also Like
Read More

e-Devlet Hacklendi mi?

If you are looking for an English version of this article, please visit here. Öncelikle yazının sonunda söyleyeceğimi başta söyleyeyim, “Hayır, hack-len-me-di!” Peki bu durumda vatandaş olarak rahat bir nefes alabilir misiniz ? Maalesef hayır. Bunun sebebini de yazının devamında okuyabilirsiniz. Zaman zaman hortlayan “e-Devlet Hacklendi!”, “e-Devlet verileri çalındı!”, “85…
Read More
Read More

WhatsApp Dolandırıcıları

If you are looking for an English version of this article, please visit here. Başlangıç Son günlerde hemen hemen WhatsApp uygulaması kullanan herkesi rahatsız eden yabancı cep telefonu numaralarından gelen çağrılardan, mesajlardan ben de yakın zamanda nasibimi aldım ve tabii ki diğer dolandırıcılıklarla ilgili yazılarımda (Kripto Para Dolandırıcıları, LinkedIn Dolandırıcıları,…
Read More
Read More

LinkedIn Dolandırıcıları

If you are looking for an English version of this article, please visit here. Uzun yıllardan beri sosyal ağları ve medyayı etkin kullanan bir siber güvenlik araştırmacısı olarak bağlantılarım arasında yer alanlarınız özellikle hafta içi LinkedIn ve Twitter üzerinden okuduğum ve beğendiğim siber güvenlik makalelerini, haberleri paylaştıklarımı farkediyorlardır. Twitter hesabımın…
Read More
Read More

Profilime Kim Baktı?

If you are looking for an English version of this article, please visit here. 23 Eylül 2020 tarihinde Twitter’da siber güvenlik ile ilgili haberlere göz gezdirirken gündem olan başlıklarda #profilimekimbaktı etiketi dikkatimi çekti. Beni oldukça şüphelendiren bu etiketin gündem olmasının arkasında yatan sebebi bulmak için bu etiketi paylaşan hesaplara göz…
Read More