Android Bankacılık Casus Yazılımı

  • 2 minute read

Nisan ayı başı gibi bazı banka müşterilerine SMS ile banka_adi.şüpheli_adres.com adında mesajlar gönderilmeye başlandı. Siteye Android akıllı cihazı ile bağlanan kullanıcıları, bankaya aitmiş gibi görünen güzel bir görsel karşılıyor ve kullanıcının bankanın mobil bankacılık hizmetinden yararlanabilmesi için ilgili uygulamayı kurması isteniyordu.

Android Banking Malware


Siteyi masa üstü internet tarayıcısı ile ziyaret edenler ise bankanın ana sayfasına yönlendiriliyordu. Zararlı yazılımın zaman içinde birden fazla sürümüne erişme imkanım olduğu için ilk sürümü ile 2 ve 3. sürümlerini kıyaslama imkanım olmuştu.

İlk sürümde kod gizlemesi (obfuscation) gerçekleştirilmediği için zararlı yazılım, kaynak koda çevridiğinde bunun rehber, arama kaydı ve sms bilgilerini çalan, anahtar kelime ile sms yönlendirmesi yapabilen ve Türkiye’de 185.50.69.100 ip adresi ile 4444 numaralı bağlantı noktasından haberleşen bir casus yazılım olduğu rahatlıkla anlaşılıyordu.

Android Banking Malware

Yazılımı geliştiren kişinin kaynak kodun bir yerinde servis adı olarak isim.soyad bilgisine yer vermesi, kodun ya çalıntı ya da dikkatsizce başka bir koddan kopyalandığına işaret ediyordu.

Android Banking Malware
Android Banking Malware

İlerleyen sürümlerde ise bu zararlı yazılım haberleştiği ip adresi, kod gizleme yöntemi ile gizlendiği görülebiliyordu.

Android Banking Malware

Yeri gelmişken bu tür zararlı yazılımlar ile karşılaşıldığı zaman, son kullanıcı da olsanız, güvenlik uzmanı da olsanız, Ulusal Siber Olaylara Müdahale Merkezi‘ni (USOM) ihbar formu üzerinden bilgilendirmenin, ulusal ve kurumsal güvenlik adına oldukça önemli olduğunun altını çizmek isterim.

USOM’un hızla güncellediği zararlı bağlantılar listesi ve koordinasyon ile sektörel ve kurumsal SOME’lerin, güvenlik üreticilerinin kısa süre içinde bu zararlı adreslerden haberdar olarak, kullanıcıların mağdur olmasını kısa bir süre içinde engellediklerini unutmayın.

Devlet kurumudur, oldukça yavaş işler, hiç zahmet etmeyeyim gibi ön yargıları bir kenara koyabilirsiniz çünkü USOM’a yapmış olduğum bir bildirimin 2 saat gibi kısa bir süre içinde zararlı bağlantılar listesine eklendiğini geçtiğimiz günlerde tecrübe ettiğimi söyleyebilirim.

Daha önceki yazılarımdan da bildiğiniz üzere Android platformu için geliştirilen uygulamalar kolaylıkla bayt koduna ve kaynak koduna çevrilebilmektedir. Kaynak kodunun bu örnekte olduğu gibi okunaklı olmadığı durumlarda bayt kodunu analiz etmek tercih edeceğiniz en akıllıca yöntemlerden biri olacaktır.

Android Banking Malware

Zararlı yazılımı apk-tool aracı ile bayt koduna (smali) çevirdikten sonra smali\com\googleandroid\listener\items\receivers\ klasörü içinde yer alan ProgramStartReceiver.smali dosyası dikkatimi çekti. Dosyayı incelediğimde şifrelenen komuta kontrol merkezi adresinin bu dosya içinde çözüldüğünü (decryption) gördüm.

Bu gibi (okunaklı olmayan kaynak kodu) durumlarda bayt kod üzerinde değişiklik yaparak programın akışını değiştirebilme imkanına sahip olduğunuz için ben de şifresi çözülmüş olan değişkeni aşağıdaki ekran görüntüsünde yer aldığı şekliyle LogCat‘e yönlendirmeye karar verdim. Değişikliği yaptıktan sonra tekrar apk-tool aracı ile paketi derleyip, imzaladıktan sonra Android Emulator’e yükledim ve ardından gizlenmiş olan komuta kontrol merkezinin ip adresini görebildim.

Android Banking Malware
Android Banking Malware

Bu zararlı yazılımda olduğu gibi siz de kod gizleme yönteminden (obfuscation) faydalanan zararlı yazılımları analiz etmek istediğinizde benzer şekilde bayt kodu üzerinden ilerlemeyi alternatif bir yol olarak değerlendirebilirsiniz.

Bir sonraki yazıda görüşmek dileğiyle herkese güvenli günler dilerim.

image_pdfShow this post in PDF formatimage_printPrint this page
Total
0
Shares
Tweet 0
Share 0
Share 0
Share 0
Share 0
Related Tags

Mert is a well-known and respected Cyber Security Researcher, Speaker and Blogger. He has been living and pursuing his career in the United States with an Alien of Extraordinary Ability visa (EB-1A), an employment-based green card, since October 2022.

As of February 2023, Mert has been working at SOCRadar® Extended Threat Intelligence as the Head of Security Research & Operations. SOCRadar is a cybersecurity company committed to democratizing threat intelligence and providing superior cybersecurity solutions to thousands of companies in hundreds of countries. SOCRadar's mission is to provide organizations of all sizes with the tools to counter cyber threats.

In his current position, Mert has been advising the CEO on strategic decisions that align with the company's mission, objectives, and overall goals.

He has often overseen strategic initiatives by working closely with various departments, such as product development, sales, and marketing. Also, he has been managing the day-to-day operations of the Security Analyst, Support, and Professional Services teams to ensure efficiency, quality, service, and cost-effective management of resources.

In addition, he has been driving innovation across the product by promoting new ideas and features.

Besides that, he has been managing, mentoring, and supporting a cadre of threat researchers, threat hunters, security analysts, and technical content writers who research cyber threats, vulnerabilities, and trends.

From October 2020 to September 2022, Mert demonstrated his expertise as an Executive Vice President / CISO of IT Security & Risk Management Group which incorporates Cyber Defense Center, Cyber Security Technologies, Cyber Security Architecture, Information Security & Risk Management teams (40 HCs) at Intertech. Intertech is an Information Technology subsidiary of DenizBank, owned by Emirates NBD

From January 2018 to September 2020 as the Vice President, Mert was responsible for the management of Akbank's Cyber Defence Center (CDC) which incorporates Vulnerability Management, Threat Detection, Threat Response & Intel, and Security Engineering teams. (26 HCs)

From 2007 to 2017 Mert was responsible for performing and managing penetration tests, malware analysis, security incident detection, and response as a Technical Lead in the Threat & Vulnerability Management team at IBTech. (Information Technology subsidiary of QNB Finansbank)

From 2014 – 2016 Mert instructed Malware Analysis course in Cyber Security Graduate Program at Bahcesehir University.

In 2003 Mert’s career journey began by discovering a security vulnerability on the e-portal web application of the Yeditepe University where he was studying at that time. After sharing his findings with the executives of the university, he was awarded an achievement grant and recruited as an Ethical Hacker. Mert graduated from Yeditepe University, Information Systems and Technologies in 2006 and Yeditepe University, Master of Business Administration program in 2010.

From the beginning of 2011, Mert spoke at more than 30 technical cyber security conferences. In addition, he was invited as a guest speaker to more than 40 universities to share his cyber security career journey and his profession “Ethical Hacker” to the students as a role model.

13 comments

  1. Sayın Mert Sarıca;

    Aydınlatıcı yazınız için teşekkürler. Konuyla ilgili bir sunumunuzu da XIX.Türkiye İç Denetim Kongresi\’nde dinlemiştim.Android ya da I-Phone gelen bu tür kötü yazılımlar e-maille mi geliyor?Nasıl farkedeceğiz?Apple store da yüklediğimiz programlar sanırım zararlı değildir. Her biri lisanslı diye biliyorum. Peki fark ettiğimiz anda USOM İhbar Formu\’nu nereden sağlayıp dolduracağız?İnternnetten bulup web sitesine girip doldurmamız yeterli mi? Güvenilir mi?Bu formu ilk kez duyuyorum. Biz kullanıcılar da bu tür önemli farkındalıkların artması dileğiyle.
    Teşekkürler.

    Reply

    1. Rica ederim.
      Bu örnekte salgın, sahte bir SMS ile başlıyor ancak e-posta ile başladığı vakalar da mevcut. Bu tür zararlı yazılımlara karşı mobil cihazınızda, mobil güvenlik ürünleri (örnek: Mobile Security & Antivirus) kullanabilirsiniz. Bu tür zararlı yazılımlara karşı ayrıca bu tür şüpheli e-postaları, smsleri dikkate almadan önce sorgulamak (örneğin bankayı arayıp sormak) faydalı olacaktır.
      Yazıda aslında ihbar formunun adresine yer vermiştim yine de tekrar paylaşıyorum. USOM ihbar formuna buradan (https://www.usom.gov.tr/ihbar-bildir.html) ulaşabilirsiniz.
      Bu yazıda bahsi geçen zararlı yazılım Google Play’de yer almamaktadır.

      Reply

  2. Sayın Mert Sarıca;

    Verdiğiniz aydınlatıcı bilgiler için tekrar teşekkür ederim. Cevabı çok hızlı verdiniz. Telefonumda neyse ki zararlı yazılımlara karşı antivirüs programı mevcut ve zamanında güncelliyorum .https://www.usom.gov.tr/ihbar-bildir.html) adresini artık unutmam .Bu arada yazınızda USOM adı geçiyor ama web sitesi adını ha^lâ göremedim. Tekrar teşekkürler.İyi çalışmalar.

    İyi çalışmalar.

    Sayın Mert Sarıca;

    Aydınlatıcı yazınız için teşekkürler. Konuyla ilgili bir sunumunuzu da XIX.Türkiye İç Denetim Kongresi’nde dinlemiştim.Android ya da I-Phone gelen bu tür kötü yazılımlar e-maille mi geliyor?Nasıl farkedeceğiz?Apple store da yüklediğimiz programlar sanırım zararlı değildir. Her biri lisanslı diye biliyorum. Peki fark ettiğimiz anda USOM İhbar Formu’nu nereden sağlayıp dolduracağız?İnternnetten bulup web sitesine girip doldurmamız yeterli mi? Güvenilir mi?Bu formu ilk kez duyuyorum. Biz kullanıcılar da bu tür önemli farkındalıkların artması dileğiyle.
    Teşekkürler.

    Reply

    1. “Yeri gelmişken bu tür zararlı yazılımlar…” ile başlayan paragrafta geçen “Ulusal Siber Olaylara Müdahale Merkezi” ‘ne tıklarsanız, sizi resmi sitelerine yönlendirmektedir.

      Reply

  3. merhaba,

    en sonda ip adresini gormek icin kaynak kodu degistirip bulmak yerine emulatore proxy girerek fiddler yardimiyla daha kolay goremezmiydiniz.

    Reply

    1. Görebilirdim ancak sondan bir önceki paragrafta da (aşağıdadır) belirttiğim üzere yazıda dikkat çekmeye çalıştığım nokta, gizleme (obfuscation) tekniği kullanan zararlı yazılımlarda bayt kodu üzerinde değişiklik yaparak gizlenmiş veriye ulaşabilecek olmanızdır. IP adresi değil de sunucuya gönderilen veri şifrelenmiş olsaydı o zaman Fiddler çare olmayacak bu yöntemden faydalanmanız bir alternatif yol olacaktı.

      “Bu zararlı yazılımda olduğu gibi siz de kod gizleme yönteminden (obfuscation) faydalanan zararlı yazılımları analiz etmek istediğinizde benzer şekilde bayt kodu üzerinden ilerlemeyi alternatif bir yol olarak değerlendirebilirsiniz.”

      Reply

  4. Teşekkürler Mert Hocam,
    Ne zamandır teknik bir yazıya hasret kalmıştım :) güzel bir yazı olmuş her zamanki gibi.
    Bu arada obfuscation ‘a dikkat çekmek istediğinizi yorumlarda gördüm.
    Ama yine de bir sormak isterim.
    Acaba windows ta olduğu gibi netstat -nab gibi bir komutla android ortamında application ‘ın bağlantı kurduğu yeri tespit edebilir miyiz, yoksa rootkit yazılımlarında olduğu gibi android sistemlerde de bu bağlantı kurulan portların gizlenme ihtimali var mı?

    Reply

    1. Rica ederim :)
      Uygulama root yetkisi ile çalışmadığı sürece veya kernel üzerinde bir zafiyeti istismar edip root yetkisine sahip olmadığı sürece bağlantı kurulan adresleri normal şartlarda gizleyemez.
      Evet netstat vb. araçlar ile bunu tespit etme imkanı var.

      Reply

  6. merhaba,

    netwrok trafigini inceledigim bir apk da telefona proxy girerek fiddler programina yonlendirdim. programda arama islemi yaptirdigimda fiddler uzerinde birsey gozukmuyor fakat promgram arama sonucunda bilgileri cekip listeyi guncelliyor. daha sonra fiddler calistirdigim bilgisayarda wireshark programinida calistirdim ve paketleri yakaladi. fiddler neden paketleri gostermiyor. android telefon network trafigini dinlemek icin hangi programi onerirsiniz.

    tesekkurler.

    Reply
Leave a Reply

Your email address will not be published. Required fields are marked *

You May Also Like
Read More

e-Devlet Hacklendi mi?

If you are looking for an English version of this article, please visit here. Öncelikle yazının sonunda söyleyeceğimi başta söyleyeyim, “Hayır, hack-len-me-di!” Peki bu durumda vatandaş olarak rahat bir nefes alabilir misiniz ? Maalesef hayır. Bunun sebebini de yazının devamında okuyabilirsiniz. Zaman zaman hortlayan “e-Devlet Hacklendi!”, “e-Devlet verileri çalındı!”, “85…
Read More
0
0
0
0
0
Read More

WhatsApp Dolandırıcıları

If you are looking for an English version of this article, please visit here. Başlangıç Son günlerde hemen hemen WhatsApp uygulaması kullanan herkesi rahatsız eden yabancı cep telefonu numaralarından gelen çağrılardan, mesajlardan ben de yakın zamanda nasibimi aldım ve tabii ki diğer dolandırıcılıklarla ilgili yazılarımda (Kripto Para Dolandırıcıları, LinkedIn Dolandırıcıları,…
Read More
0
0
0
0
0
Read More

LinkedIn Dolandırıcıları

If you are looking for an English version of this article, please visit here. Uzun yıllardan beri sosyal ağları ve medyayı etkin kullanan bir siber güvenlik araştırmacısı olarak bağlantılarım arasında yer alanlarınız özellikle hafta içi LinkedIn ve Twitter üzerinden okuduğum ve beğendiğim siber güvenlik makalelerini, haberleri paylaştıklarımı farkediyorlardır. Twitter hesabımın…
Read More
0
0
0
0
0
Read More

Profilime Kim Baktı?

If you are looking for an English version of this article, please visit here. 23 Eylül 2020 tarihinde Twitter’da siber güvenlik ile ilgili haberlere göz gezdirirken gündem olan başlıklarda #profilimekimbaktı etiketi dikkatimi çekti. Beni oldukça şüphelendiren bu etiketin gündem olmasının arkasında yatan sebebi bulmak için bu etiketi paylaşan hesaplara göz…
Read More
0
0
0
0
0