Anubis Zararlısı ve Sahte Sahibinden Uygulaması

Merhaba, bugün zararlı bankacılık yazılımı Anubis’in Türkiye içerisindeki faaliyetlerinden bahsedeceğim.

Yakın zamanda uygulama mağazasında Türk kullanıcılar tarafından yaygın kullanılan bazı uygulamaların sahteleri üzerinden yayılmaya çalışan zararlı uygulamalar keşfedildi. Bunlardan Türkiye içerisinde en çok kullanılanı şüphesiz Sahibinden uygulaması. Sahte uygulama mağazada aşağıdaki gibi görülebilir:

Screen Shot 2018-07-10 at 16.41.48.png

İlgili uygulamanın VirusTotal sonuçları da aşağıdaki gibi görülebilir:

Screen Shot 2018-07-10 at 17.01.33.png

Uygulamanın uygulama mağazası kontrollerini ve anti-virüs kontrollerini bu kadar kolay aşmasının sebebi uygulamanın kendisinin zararlı bir uygulama olmamasından kaynaklanıyor. İlgili uygulama telefona kurulduktan sonra gerçek zararlıyı indiriyor.

Uygulama içeriği incelendiğinde Anubis bankacılık zararısının kullandığı anahtar burada da görülebilir: (**pE2**)

Screen Shot 2018-07-10 at 16.50.27.png

Zararlıyı indirmesi için gerekli ayarlar aşağıdaki gibi görülebilir (sahibindan.app ismi uygulamanın içerisinde kendisini ele veriyor)

Screen Shot 2018-07-10 at 16.49.03.png

 

 

 

 

 

 

Stringler içerisindeki **pE2** stringini kaldırdığımızda gerçek değerlerden bazıları aşağıdaki gibi görülebilir. Bu değerler uygulama kurulduğunda veritabanına yazılarak oradan kullanılıyor.

Screen Shot 2018-07-10 at 17.01.25.png

Uygulamanın root yetkilerini kontrol ettikten sonra komut çalıştırmaya çalıştığının ve uygulama kurmaya çalıştığının kanıtları da aşağıdaki fonksiyonlar içerisinde görülebilir

Screen Shot 2018-07-10 at 17.00.52.png

Screen Shot 2018-07-10 at 17.00.57.png

İlgili sahibinden uygulamasının ismi; “com.sahibindan.app.apk”

SHA-256 değeri: 074ae028bd3204a7e7e7a510ad0f88c49cb780fa07e91944f111af146c39c91c

Eğer yakın zamanda Sahibinden uygulaması yüklediyseniz (veya yükleyen tanıdığınız varsa) bu bilgiler ışığından doğru uygulama olup olmadığını kontrol etmenizde fayda var.

Güncelleme: Uygulama 20 farklı anti-virüs tarafından zararlı olarak nitelendirilmeye başladı.

Screen Shot 2018-07-11 at 10.06.47.png