2. [ANDROID ZARARLI YAZILIM ANALİZİ]
BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity
İÇİNDEKİLER
Giriş..................................................................................................................................3
Android Market Bizi Koruyor mu?............................................................................................. 6
İzinleri Kontrol Etmek Bizi Korur mu?........................................................................................ 6
Tespit Edilen Zararlı Uygulamalar ......................................................................................7
Analiz....................................................................................................................................... 9
Manifest Dosyası Analizi........................................................................................................... 9
Atatürk Uygulaması Detaylı Analiz .......................................................................................... 12
Statik Analiz ...................................................................................................................................12
Dinamik Analiz...............................................................................................................................13
Ağ Trafiği Analizi ............................................................................................................................15
Kod Analizi .....................................................................................................................................16
Logcat Kayıtlarının İncelenmesi.....................................................................................................20
Diğer Uygulamalar.................................................................................................................. 21
Sonuç .............................................................................................................................24
3. [ANDROID ZARARLI YAZILIM ANALİZİ]
BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity
Giriş
Günümüz bilgisayar sistemleri ve akıllı cihazları sahip oldukları yetenekler ile kullanıcılarına
fayda sağlarken, kullanıcı bilgilerini çalmak ya da cihazları başka amaçlarda kullanmak için kötü
niyetli kişilerin hedefi olmaktadırlar.
Peki biz kontrolsüz büyümesi ile dünyayı saran, henüz uygulama geliştiricilerinin bile tam
denetim sahibi olamadığı uygulamalara sahip olan ve neredeyse bedenimize yapışık halde
bizimle dolaşan, en mahrem bilgilerimizi bulundurduğumuz mobil cihazlarımızın güvenliklerini
ne kadar önemsiyoruz?
Bu yazıda sadece sizlerin değil, Android marketin bile farkında olmadan telefonunuzun nasıl
kötücül amaçlar için kullanılabileceğinden bahsedilecek, “Play Store” üzerinden geçtiğimiz
hafta indirilmiş, tamamen normal gözüken ve Türk kullanıcıları hedef alan zararlı yazılımların
nasıl çalıştıklarından bahsedilecektir.
Geçtiğimiz hafta itibariyle mağazadan henüz yeni kaldırılan bu uygulamaların, mağazada
bulunduğu sırada bizim tarafımızdan allınmış ekran görüntüleri ve indirilme sayısı aşağıda
verilmiştir. Ayrıca bu iki uygulamaya benzerlik gösteren, geçtiğimiz ay markette yer almış bir
zararlı yazılımdan da inceleme sırasında bahsedilmiştir.
4. [ANDROID ZARARLI YAZILIM ANALİZİ]
BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity
Uygulamalar yüklendikten sonra uygulamalara ait oluşan simgeler ve bu uygulamaların çalışır
durumdaki ekran görüntüleri şu şekildedir.
6. [ANDROID ZARARLI YAZILIM ANALİZİ]
BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity
Android Market Bizi Koruyor mu?
Zararlı yazılımların hedef sisteme bulaşması, büyük bir çoğunlukla bu zararlı uygulamaların
kullanıcılar tarafından indirilip çalıştırılması sonucu bulaşır. Android platform üzerinde de
indirip yüklediğiniz zaman arka planda sizden habersiz işler yapma uğraşında olan sayısız mobil
uygulama mevcuttur.
Bu zararlı uygulamalara Android Market dışında başka sitelerden indirilen ücretli
uygulamaların ücretsiz versiyonu olan uygulamalar da dahildir düşüncesi çoğu kez doğrudur,
ancak “ben Android Market dışarısında başka yerden uygulama indirmiyorum, o yüzden
telefonum güvende” kanısı tamamen yanlıştır. Android Market üzerinde denetim sıkı değildir,
ne yapmak amacında olduğu bilinmeyen, kullanıcı çekebilmek için ön planda normal bir
uygulama görüntüsünde olan zararlı uygulamalar mevcuttur.
Android Market içerisindeki bu zararlı uygulamalar sosyal medya, araçlar, oyunlar gibi
kategorilerde yer alan uygulamalar içerisine gizlenerek akıllı cihazlara bulaşır. Mağaza bu
uygulamalar için kısıtlı güvenlik önlemleri alabilmektedir.
İzinleri Kontrol Etmek Bizi Korur mu?
Zararlı uygulamalar istekleri doğrultusunda çalışabilmek için sizden yüksek izinler talep eder.
Örnek olarak basit bir hesap makinesi uygulamasının sizden telefonunuza gelen SMS
mesajlarını okuyabilmeyi, istediği zaman çağrı yapabilmeyi, kişi listenizi okumayı talep etmesi
uygulamanın zararlı olabileceği yönündeki şüpheleri çok arttırır.
Google, bu tarz uygulamaların tespit edilmesinde kısmen de olsa statik analiz teknikleri ile
zararlı tespiti yapabilmektedir. Ancak mağaza üzerinde bu tarz zararlı yazılımların
bulunmadığı, ya da market üzerinden kaldırılana kadar amacına ulaşmadığı, kurbanlarından
biri sizin olmadığınız anlamına gelmez.
Sayılmış olan sebeplerden ötürü izinleri kontrol etmek önemli, her sıradan kullanıcının dikkat
etmesi gereken bir konudur. Ancak izinleri kontrol etmeniz bizim incelemiş olduğumuz bu
uygulamalar için yeterli bir çözüm değildir.
Yüksek izin talep eden ve zararlı kodu kendi içerisinde barındıran bu sebepten ötürü tespit
edilmesi kısmen kolay olan zararlı yazılımlardan bahsedildi, ayrıca bulaştığı sistemde ve
Android Market üzerinde yakalanma ihtimalini azaltmak veya başka amaçlar için iki bölümden
oluşan zararlı yazılımlar mevcuttur. Birinci bölüm yükleyici (loader) olarak adlandırılan
sistemde ilk olarak çalışan, ikinci bölümün yüklenmesini ve çalıştırılmasını sağlayan bölümdür.
İkinci bölüm ise zararlı yazılımın amacını gerçekleştirdiği, zararlı kodun bulunduğu stage olarak
adlandırılan kısımdır. Stage kısmı Android Market üzerinde bulunmaz, dış kaynaklardan loader
dediğimiz ilk bölüm kullanılarak indirilir. Bu sayede market üzerindeki zararlı yazılımın bir
zararlı olduğu ancak daha gelişmiş davranışsal analiz teknikleri ile tespit edilebilir.
7. [ANDROID ZARARLI YAZILIM ANALİZİ]
BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity
Tespit Edilen Zararlı Uygulamalar
1- Android Market üzerinden masum bir uygulama gibi gözüken ve dropper/loader olarak
adlandırdığımız zararlı yazılım kullanıcılar tarafından indirilir.
2- Bu uygulama C&C Server üzerine stage dedğimiz ikinci bölümü indirmek için bir istek yapar
ve yeni uygulamanın linkini alır.
3- Cihaz üzerine yeni uygulama indirilir ve çalıştırılır. Ancak yeni uygulamanın çalışabilmesi,
uygulama android market üzerinden indirilmediği için cihazın dış kaynaklara izin vermesi ile
gerçekleşir.
4- Başka bir kaynaktan indirilen bu uygulama yüzünden cihaz Botnet ağına dahil olur ve C&C
Servere hizmet etmek için çalışır.
8. [ANDROID ZARARLI YAZILIM ANALİZİ]
BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity
Tespit edilen yeni 2 uygulama ile daha önce mağazada bulunmuş zararlı Atatürk uygulaması
arasındaki benzerlikler şu şekildedir:
Mustafa Kemal Ataturk Ezan Saati ve Solitaire Kart Oyunu
Obfuscation Yoktur Obfuscation Kullanılmıştır.
C&C Server IP’si: Ortak C&C Server IP’si:
91.214.70.163 185.159.129.25
İndirdiği APK: İndirmeye Çalıştığı APK:
Servis Güncelleme 5.0 d3mo.apk
Ezan Saati ve Solitaire Kart Oyunu uygulamalarında da post edilen bilgilerin ve kod işleyişinin eski
uygulama ile aynı olduğu gözlemlenmiştir.
9. [ANDROID ZARARLI YAZILIM ANALİZİ]
BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity
Analiz
İncelenen Android uygulamalar Türk kullanıcılarını hedef almaktadır ve Namaz Vakitleri,
Mustafa Kemal Atatürk Fotoğrafları gibi ön planda manevi değerlerimizi kullanmaktadır.
Teknik analiz sırasında Android ortamı sanallaştırmak adına Genymotion ve Android Studio
içerisinde yer alan Android Device Manager emulatorleri, decompiler/disassambler sürecinde
apktool, d2jar, jd-gui, androguard, JEB programları kullanılmıştır. İlgili programların kurulum
ve kullanımını aşağıdaki linkten incelenebilir.
https://www.slideshare.net/bgasecurity/android-zararl-yazlm-analizi-ve-gvenlik-yaklamlar
Manifest Dosyası Analizi
Zararlı olarak sınıflandırılan uygulamalar apktool programı ile decompile edilerek manifest
dosyaları incelenmiştir.
Manifest dosyası içerisindeki izinlere baktığımızda, ACCESS_NETWORK_STATE,
WAKE_LOCK, RECEIVE_BOOT_COMPLETED, READ_PHONE_STATE, INSTALL_PACKAGES,
INTERNET, WRITE_EXTERNAL_STORAGE izinlerinin üç uygulamada da ortak olduğu tespit
edilmiştir.
ACCESS_NETWORK_STATE izini uygulamanın network durumuna ulaşabilmesini,
WAKE_LOCK izini uygulamanın açıkken kilit ekrana geçmesini engellemeyi,
RECEIVE_BOOT_COMPLETED izini telefon boot edildikten sonra uygulamanın bu bilgiye
“.action.BOOT_COMPLETED” mesajıyla ulaşmasını sağlar,
READ_PHONE_STATE izini telefonun durumu hakkında uygulamanın veri alabilmesine izin
verir,
WRITE_EXTERNAL_STORAGE izini ise sdcard üzerine uygulamanın veri yazabilmesine olanak
sağlar,
INTERNET izini uygulamanın network soketlerine ulaşım sağlayabilmesini,
INSTALL_PACKAGES izini ise uygulamanın paket indirebilmesine olanak sağlar.
Bir Ezan vakitleri uygulaması, bir Atatürk Fotoğrafları uygulaması ya da kart oyunu neden
sizden paket indirmek için ya da SD kartınıza veri yazmak için izin ister? SD kart belki Atatürk
fotoğraflarını kaydetmek için anlamlandırılabilirken, paket indirme izni oldukça dikkat
çekmektedir.
Son olarak Atatürk uygulamasının manifest dosyasında harici olarak aşağıda ekran görüntüsü
verilen izinler bulunmaktadır.
10. [ANDROID ZARARLI YAZILIM ANALİZİ]
BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity
SET_WALPAPER izninin sebebi uygulamanın fotoğrafları duvar kâğıdı olarak kaydettirebilme
özelliği olmasından, bunun içinde SET_WALPAPER izinine ihtiyaç duymasından
kaynaklanmaktadır. Yani zararlı kısımla alakalı değildir.
Manifest dosyalarının geriye kalan kısımlarını incelediğimizde paket ismi, başlangıç aktivitesi
gibi bilgilere daha sonra dönmek üzere geçtiğimizde, üç uygulamada da iki adet service
bulunduğu, bu servislerin receiver çalıştırdığı ve uygulamanın çeşitli aktivitelerden oluştuğu
tespit edilmiştir..
Kısaca activity; ekranda gördüğümüz sayfaları, service; uygulamanın arka planda çalışan
özelliğini, receiver; telefon durumuna göre receive edilen mesajlara ulaşma özelliğidir. Bu
uygulamalarda iki adet service ve bu servislerde çalışan birer adet receiver ve çeşitli aktiviteler
bulunmaktadır. Intent yapısı ise sayfa geçişleri, diğer uygulamalarla etkileşim gibi çeşitli
özellikleri barındıran Android yapısıdır.
Örnek olarak Ezan Vakitleri uygulamasındaki aktivitelerden bazıları aşağıdaki ekran
görüntüsünde verilmiştir.
Aktivite isimlerinin anlamlandırılamadığı, uygulama hakkında fikir yürütmemizi zorlaştırmak
amaçlı obfuscation (karmaşıklaştırma) kullanıldığı gözlemlenmektedir. Aynı şekilde service ve
receiver isimleri tıpkı aktivitelerde olduğu gibi Ezan Vakitleri ve Kart Oyunu uygulamalarında
yorumlanamayan değerler olarak karşımıza çıkmaktadır.
Atatürk uygulamasında yer alan aktivite kısmı ise obfuscation (karmaşıklaştırma)
kullanılmadığı için yorumlanabilir durumdadır.
Uygulama içerisinde ilk başlayan aktivitenin MainActivity olduğu, FullScreen, AdminActivity,
WebActivity gibi aktiviteler barındırdığı gözlemlenir.
11. [ANDROID ZARARLI YAZILIM ANALİZİ]
BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity
Atatürk uygulaması üzerine obfuscation (karmaşıklaştırma) uygulanmamasından faydalanarak
servis isimleri tespit edilebilir.
Ezan Vakitleri uygulamasında admin servisi içerisinde yer alan receiver incelediğimizde Admin
actionlarını tespit edilmiştir.
Mainservice içerisindeki receiver actionlarını gözlemlediğimizde, action.BOOT_COMPLETED
ile telefonun boot edilip edilmediği, action.USER_PRESENT ile kullanıcının telefon başına
geçtiği, action.PACKAGE_ADDED ile de yeni bir uygulamanın telefona yüklenip yüklenmediği
mesajı almasını sağlar.
12. [ANDROID ZARARLI YAZILIM ANALİZİ]
BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity
Atatürk Uygulaması Detaylı Analiz
Mağaza üzerinde tespit edilen yeni uygulamaların nasıl bir işleyişi olabileceğini öngörmek için
geçtiğimiz aylarda mağazada yer almış android uygulamasına göz atalım.
Statik Analiz
Manifest dosyasını okuyarak edindiğimiz bilgileri ve daha fazlasını daha toplu ve kolay elde
etmek için AndroGuard programını kullanılmıştır. ataturk.apk uygulaması için paket ismi,
kullandığı izinler ve aktivite isimleri aşağıdaki gibi alınmıştır.
Daha sonra AndroGuard programı ile APK içerisindeki class isimleri, method isimleri ve
içerisinde geçen stringler gözlemlenerek uygulamanın işleyişi ile alakalı bilgiler elde edilmiştir.
13. [ANDROID ZARARLI YAZILIM ANALİZİ]
BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity
Dinamik Analiz
Uygulamayı Fenymotion Emulatörünü kullanarak çalıştırdıktan belli bir süre sonra şekildeki
uyarı ile karşılaşılır.
Emulatör bilinmeyen kaynaklardan uygulamanın indirildiği ve çalıştırılmak istendiği uyarısı
vermektedir. İptal seçeneğine basıldıktan sonra, aynı uyarının defalarca karşımıza çıktığı,
uygulamanın sürekli yüklenme isteği yaptığını gözlemleriz.
Güvenlik ayarlarında “Unkown Sources” seçeneğini mecburen aktif edilmelidir.
14. [ANDROID ZARARLI YAZILIM ANALİZİ]
BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity
Yüksek izinler isteyen Servis Güncelleme 0.5 isminde bir uygulama ile karşılaşılacaktır
Uygulamanın nasıl çalıştığı hakkında fikir yürütmek içine network bağlantılarına, decompiler
edilmiş kod analizine ve logcat ekranına düşen kayıtlarına bakılabilir.
15. [ANDROID ZARARLI YAZILIM ANALİZİ]
BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity
Ağ Trafiği Analizi
Tcpdump programını çalıştırarak alınmış ağ trafiği, Wireshark programı ile incelenmiştir.
10.0.3.15 IP adresine sahip olan genymotion emülatörünün “91.214.70.163” ve
“195.142.105.22” IP adresleri ile yaptığı bağlantıları tespit edilmiştir.
“195.142.105.22” IP adresi ile HTTP ve TCP bağlantıları yer almaktadır.
Yapılan GET isteklerinden herhangi birine bakıldığında, uygulama içerisindeki Atatürk
fotoğraflarının webview kullanılarak “i.haber7.com” sitesinden alındığını görülmüştür ve bu IP
adresinin zararlı kısımla alakalı olmadığı sonucunu çıkartılmıştır.
Son olarak “91.214.70.163” IP adresi ile geynmotion emülatörü arasında TCP bağlantısı
oluşturulduğu, encrypted edilmiş bir trafik olduğu gözlemlenir.
16. [ANDROID ZARARLI YAZILIM ANALİZİ]
BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity
Kod Analizi
Programın işleyişi hakkında doğru bilgileri edinip, arka planda nelerin döndüğünü anlamak için
obfuscation (karmaşıklaştırma) uygulanmamış uygulamada kod analizi yapılır. Aşağıda
programa ait belli başlı fonksiyonlar incelenmiştir.
Constans.class’ı içerisinde yer alan, set edilen değişkenler incelendiğinde downloads dizini ve
“91.214.70.163” IP adresinin 7227 portu karşımıza çıkmaktadır.
Daha sonra Connection.class içerisinde SERVERS listesi içerisinde yer alan IP adresine
“gate.php” stringi eklenilerek bir server adresi set edilmiştir. Log kayıtlarında da karşımıza
çıkan bu adres “91.214.70.163:7227/gate.php” olarak PHP kodu çalıştırmaktadır.
Connection gerçekleşmeden önce, NetworkTask objesi oluşturularak servere request yapılır.
Daha sonra telefona ait olan imei, uniqnum numarası, model bilgisi ve yapılacak işlem/
serverden gelen bilgiyle orantılı olarak req değeri HashMap içerisine alınarak sunucuya
localNetworkTask.postAdd metodu ile gönderilmektedir.
17. [ANDROID ZARARLI YAZILIM ANALİZİ]
BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity
req_init içerisinde eğer cihaz root yetkilerindeyse, ilk request sırasında servere root bilgisi,
ülke kodu ve işletim versiyonu bilgisi iletilir. actionSet için req değeri 4, noAction için 2,
confirmTask için 3 değeri atanır.
MainReceiver içerisinde cihaz üzerindeki actionlar dinlenir. Bunlar yeni bir görevin olup
olmadığı, cihaz sahibinin aktif olup olmadığı, ekranın kapanıp kapanmadığı ve paketin indirilip
indirilmediği bilgisini gözlemler ve if yapısını kullanılarak uygulama içerisinde gerekli tepkileri
verir.
18. [ANDROID ZARARLI YAZILIM ANALİZİ]
BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity
DB paketi içerisinde Task oluşturulur ve SQLite veritabanında tutulur. Bu sonradan yüklenecek
uygulama için paket ismi gibi bilgileri tutar ve serverden gelen bilgileri içerir.
19. [ANDROID ZARARLI YAZILIM ANALİZİ]
BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity
İndirme işlemini başlatabilmek için bir adet TableTasks objesi oluşturulur. Consants classı
içerisinde tanımladığımız “File” değişkenine atanmış “downloads” dizini kullanılarak
uygulamanın ilgili dizine indirilmesini sağlar.
20. [ANDROID ZARARLI YAZILIM ANALİZİ]
BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity
Logcat Kayıtlarının İncelenmesi
SD Kart mount edilmiş bir android-studio emulatorunde ATATURK.apk programını çalıştırılır
ancak zararlı uygulamayı genymotion emulatöründe olduğu gibi yüklemediğini gözlenir.
Downloads dizininde bir dosyanın bulunmadığı, bundan dolayı programın istenildiği gibi
çalışılmadığı hatasıyla karşılaşılır.
Buradan zararlı yazılımın downloads dizinine indirildiği daha sonra çalıştırıldığı sonucunu
çıkararak dosya ismini base64 decoder kullanarak anlamlandırılır ve karşımıza
“mcvndicwuz.myturyaivrmkovzxjp” stringi çıkar.
İndirilen zararlı yazılımın paket ismini “data/data” klasörünün değişimine bakarak ya da
droidbox gibi programlar kullanarak da elde edebilirsiniz.
Uygulamanın apk’si “/data/app” klasörü içerisinde karşımıza çıkıyor.
adb programı ile emulatör üzerinden uygulamayı pull ederek çıkarıp internette bu apk’nın
geçmişinin olup olmadığını anlamak için virüstotal raporu incelenir.
Bankacılık zararlı yazılımı olduğu bilgisine ulaştığımız bu uygulamanın, servis güncelleme
uygulaması olmadığı, 23 adet güçlü izne sahip olduğu ve telefon üzerindeki bankacılık
uygulamalarına casusluk yaparak bu bilgileri C&C servere ilettiği bilgisini ediniyoruz.
21. [ANDROID ZARARLI YAZILIM ANALİZİ]
BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity
Diğer Uygulamalar
Uygulamaların birbiriyle benzer yönlerine değinelim. Ezan Vakileri ya da Soliatire Kart Oyunu
için aynı M.K.Atatürk uygulamasında yapıldığı gibi tcpdump programı kullanılarak ağ trafiği
dinlenir, wireshark programı ile bu trafik incelenir ve bağlantı kurulan IP adresleri gözlemlenir.
İki uygulama için de 185.159.129.25 IP adresinin ortak olarak bağlantılarda yer aldığı tespit
edilir. Ayrıca aradaki trafiği incelemek istediğimizde encrypt edilmiş benzer trafikler olduğunu
gözlemlenir.
Uygulamalar çalıştırıldığında, SD kart içerisinde paket isimleri ile şekildeki gibi klasör
oluşturdukları gözlemlenir.
İlgili klasörün içerisinde uygulamaya ait log kayıtları o tarihe ait olacak şekilde şekildeki gibi
tutulur.
İlgili dosyanın içerisindeki örnek veriler şekildeki gibidir.
22. [ANDROID ZARARLI YAZILIM ANALİZİ]
BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity
Log dosyası içerisindeki veriler incelendiğinde, her 3 uygulamadaki değişken isimleri, sırası,
php dosya ismi (gate.php), C&C servere gönderilecek request şekli kısacası uygulamaların
zararlı içeren kısımlarına ait kodların aynı olduğu gözlemlenir. Server IPsi değiştirilen yeni
uygulamalarda analiz sırasında tespiti zorlaştırmak amacıyla obfuscation tekniği kullanılmıştır.
Uygulamaların SD kart üzerinde ne gibi değişiklik yaptığını droidbox gibi dinamik analiz araçları
ile öğrenebileceğiniz gibi, şekildeki gibi emülatör üzerinde log tutan basit bir file editör bile bu
örnekte çözüme ulaştırabilir.
İlgili uygulamaların logcat ekranına düşen log kayıtları incelendiğinde
“kafesohbet.org/d3mo.apk” linkinden zararlı yazılım indirdiği geçen hafta gözlemlenmiştir.
23. [ANDROID ZARARLI YAZILIM ANALİZİ]
BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity
İlgili uygulamanın ekran görüntüsü şekildeki gibidir.
…deneme ismine sahip olan bu uygulamanın virüstotal raporu şekildeki gibidir.
…com.mliqzsfefabc.sryrsopsdz paket ismine sahip olan bu uygulama, şuanda ilgili yazılım
çalıştırıldığında indirilememektedir.
Drop edilen zararlı uygulamanın, hangi siteden indirileceği “gate.php” dosyası tarafından task
olarak uygulamaya aktarıldığı bilgisini kod analizinden anladığımız için, set edilen sitenin
backend tarafında php dosyasına sahip olanlar tarafından değiştirilebileceği sonucunu
çıkarırız.
Logcat ekranına düşen veriler incelendiğinde, ilgili kodun ataturk uygulamasıyla aynı olduğu
söylenebilir.
Bağlantı kurulan server IP adresi şekildeki gibi değişiklik göstermiştir.
24. [ANDROID ZARARLI YAZILIM ANALİZİ]
BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity
Logcat ekranında log kayıtlarına bakıldığında imei numarasının 0000000000000 olduğu
gözlemlenir. Php tarafında bunun kontrol edilebilme, bu yüzden serverden aktive task
alamama durumunu engellemek için genymotion emülatörünün “/system/etc” dizini altındaki
“init.androVM.sh” içerisinde yer alan şekilde gösterilen ilgili kısım farkı sayılarla değişirilebilir.
Ama bu zararlı yazılım için emülatörle oluşturulmuş android cihazın imei numarasını
değiştirmek bir çözüm getirmemiştir.
Sonuç
Mağaza üzerinde aynı zararlı yazılım bile farklı uygulamalar arkasına saklanarak ve yeni
yöntemler geliştirerek mağaza üzerindeki yaşam döngüsüne devam edebilmektedir. Sadece
2017 yılında 700.000’den fazla android uygulama zararlı olduğu düşüncesiyle mağazadan
kaldırılmıştır. Mağaza üzerindeki güvenlik önlemlerinin sıkılaştırılması ve bilinçli kullanıcıların
sayısının arttırılması gerekmekte, resmi mağazadan dahi olsa güvendiğiniz uygulamaları tercih
etmelisiniz.
25. [ANDROID ZARARLI YAZILIM ANALİZİ]
BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity
BGA Bilgi Güvenliği A.Ş. Hakkında
BGA Bilgi Güvenliği A.Ş. 2008 yılından bu yana siber güvenlik alanında faaliyet göstermektedir.
Ülkemizdeki bilgi güvenliği sektörüne profesyonel anlamda destek olmak amacı ile kurulan BGA Bilgi
Güvenliği, stratejik siber güvenlik danışmanlığı ve güvenlik eğitimleri konularında kurumlara hizmet
vermektedir.
Uluslararası geçerliliğe sahip sertifikalı 50 kişilik teknik ekibi ile, faaliyetlerini Ankara ve İstanbul ve
USA’da sürdüren BGA Bilgi Güvenliği’nin ilgi alanlarını “Sızma Testleri, Güvenlik Denetimi, SOME, SOC
Danışmanlığı, Açık Kaynak Siber Güvenlik Çözümleri, Büyük Veri Güvenlik Analizi ve Yeni Nesil Güvenlik
Çözümleri” oluşturmaktadır.
Gerçekleştirdiği başarılı danışmanlık projeleri ve eğitimlerle sektörde saygın bir yer edinen BGA Bilgi
Güvenliği, kurulduğu günden bugüne alanında lider finans, enerji, telekom ve kamu kuruluşlarına
1.000'den fazla eğitim ve danışmanlık projeleri gerçekleştirmiştir.
BGA Bilgi Güvenliği, kurulduğu 2008 yılından beri ülkemizde bilgi güvenliği konusundaki bilgi ve
paylaşımların artması amacı ile güvenlik e-posta listeleri oluşturulması, seminerler, güvenlik etkinlikleri
düzenlenmesi, üniversite öğrencilerine kariyer ve bilgi sağlamak için siber güvenlik kampları
düzenlenmesi ve sosyal sorumluluk projeleri gibi birçok konuda gönüllü faaliyetlerde bulunmuştur.
BGA Bilgi Güvenliği AKADEMİSİ Hakkında
BGA Bilgi Güvenliği A.Ş.’nin eğitim ve sosyal sorumluluk markası olarak çalışan Bilgi Güvenliği
AKADEMİSİ, siber güvenlik konusunda ticari, gönüllü eğitimlerin düzenlenmesi ve siber güvenlik
farkındalığını arttırıcı gönüllü faaliyetleri yürütülmesinden sorumludur. Bilgi Güvenliği AKADEMİSİ
markasıyla bugüne kadar “Siber Güvenlik Kampları”, “Siber Güvenlik Staj Okulu”, “Siber Güvenlik Ar-
Ge Destek Bursu”, “Ethical Hacking yarışmaları” ve “Siber Güvenlik Kütüphanesi” gibi birçok gönüllü
faaliyetin destekleyici olmuştur.