TRUVA ATI ANALİZİ
APK (Android Package Kit), Android içerisinde çalışan uygulamaları dağıtmak ve yüklemek için kullanılan bir dosya formatıdır.
Google Play’den bir uygulama yüklendiğinde arka planda gerçekleşen kurulum işlemlerine dair ayrıntılar tam olarak görülmez, ancak el ile bir APK nasıl kuruluyorsa Google Play’de arka olanda aynı işlemleri gerçekleştirir. Yani Google Play, kurulmak istenen uygulamanın APK dosyasını indirir ve kurulum işlemini kullanıcıya bırakmadan otomatik olarak grçekleştirilir.
APK dosyaları, Android kullanıcılarının fazlalığı ve internet ortamında kolay erişilebilir olduklarından dolayı kötü niyetli aktörlerin kullandıkları enstrümanlardan biri olmuştur.
Bu yazıda, Android kullanıcılarına yönelik oluşturulan bir banka truva atı olan ve Türk kullanıcıları hedef alan Güncelleme.apk adlı Android zararlısının incelemesi yapılmıştır. Kurbanlarına, ziyaret ettikleri bir site aracılığıyla indirtilen bu zararlı APK’nın analizi aşağıdaki gibidir.
Uygulama, ilk yüklendiği an erişilebilirlik seçeneklerinin açılmasını talep etmektedir.
Zararlı, bunun dışında da alt görseldeki gibi çeşitli izinler de istemektedir.
Zararlının, yüklendiği andan itibaren ikonunu gizlediği görülmüştür.
“Ayarlar > Uygulamalar” bölümüne gidildiğinde ise söz konusu zararlının, Google Play Store ikonunu kullandığı anlaşılmıştır.
Söz konusu zararlı uygulama, silinmek istenildiğinde normal yollar ile silme işlemi gerçekleştirilememiştir. Uygulamanın silme ekranına gidildiğinde her seferinde otomatik olarak silme sayfasından çıktığı görülmüştür.
MOBSF kullanılarak uygulamaya dair edinilen genel bilgiler aşağıdaki gibidir.
Uygulamanın paket adı, gas.glide.unkown ana aktivitesi ise true.party.tool.ymdorgiozy olarak tespit edilimştir.
Zararlının AndroidManifest.xml dosyası incelendiğinde, cihaz içerisinde neredeyse her işlemi yapabilecek yetkide olduğu anlaşılmıştır. Güncelleme.apk tarafından kullanılan izinler aşağıdaki gibidir.
Üst görselde de görüldüğü üzere söz konusu zararlının cihazdaki verileri okuma izni, ses kaydı, sms gönderme, hesapları görüntüleme, rehbere erişme gibi bir çok önemli işlemi yapabilme yetkisine sahip olduğu anlaşılmıştır.
Uygulamanın içinde yapılan inceleme sonucu bir banka truva atıı olduğu anlaşılmıştır ve alttaki görsel de bu bulguyu desteklemektedir.
Zararlının haberleşmesi Burp Suite ile analiz edilmiş ve incelenen trafikte http://mollasdal.digital adresine şifreli veri gönderildiği anlaşılmıştır.
Zararlının içerisindeki data/data/gas.glide.unkown/shared_prefs dizininin içindeki dosyalar aşağıdaki görselde yer almaktadır.
Zararlının içerisindeki data/data/gas.glide.unkown/shared_prefs dizininin içindeki dosyalar aşağıdaki görselde yer almaktadır.
Görüldüğü üzere şifreli veriyi çözmek için kullanılan key değeri ring0.xml içerisinde bulunmuştur. Bu key ile, giden şifreli veriyi çözmek mümkündür.
Çözülen şifreli verinin içeriği alttaki görselde görülmektedir.
{“ID”:”0s60-z1ub-k513-5ojj”,”LG”:”Blocked attempt to disable accessibility service[143523#]Blocked attempt to disable accessibility service[143523#]Blocked attempt to remove bot[143523#]”,”DT”:”2022-7-3 3:21″}
Zararlı, sanal bir cihazda yüklü olduğu için istenilen bazı verileri iletememiş ve hata mesajları döndermiştir.
İncelenen bu APK dosyasının zararlı olup olmadığını öğrenmenin en kısa yollarından biri de o dosyayı VirusTotal’a taratmaktır. VirusTotal, dosyaların zararlı olup olamadığını tespit etmek için kullanılan bir web sitesidir. Ücretsiz dosya taratmaya izin vermekle beraber ücretli abonelikleri de mevcuttur. Kendi içerisinde 60 küsür antivirüs yazılımı barındırmaktadır. VirusTotal, her zararlıyı bulamaz ve sadece ifşa edilmiş zararlıları tespit edebilir.
Söz konusu APK’nın VirusTotal çıktısı da aşağıdaki gibidir ve artık elimizdeki APK’nın zararlı olduğu tam anlamıyla kesinleşmiştir.
Kullanıcıların cihazlarına her türlü zararlı yazılımın bulaşması oldukça muhtemeldir ve bu zararlıların büyük bir bölümünü antivirüs programları dahi tespit edememektedir. Bu sebeplerden ötürü, kullanıcıların cihazlarına bulaşan zararlıları ve bu zararlıların arka planda neler gerçekleştirdiğini bulmanın en garanti yolu iyi bir adli bilişim analizidir.
Yazar: Düzgün Küçük
