Anubis Zararlısı ve Sahibinden Uygulaması Kısım 2: İndirilen APK Dosyalarının İncelenmesi

Bir önceki yazımda yer alan Anubis zararlısına ait “sahibindan” uygulaması içerisinde başka bir apk indiren ve kuran kod parçaları içeriyordu.

Bu yazımda indirilen uygulamaya göz atacağız. Sahibindan uygulamasını izole bir ortamda sanal telefon üzerinde çalıştırdığımızda aşağıdaki ekran ile karşılaşıyoruz:

Screen Shot 2018-07-11 at 10.13.37.png

Bu sırada zararlı arkada bir apk indiriyor (hxxp://80[.]84[.]61[.]2/down/1247.apk, hash değeri: “8d6be8fdacf6a5498cb86606dec1f6eb14d770bb97c7879ddd5bd835d88be775”)

İlgili apk hakkındaki VirusTotal sonuçlarını aşağıda görebilirsiniz:

Screen Shot 2018-07-11 at 10.18.10.png

Uygulamayı incelemek için açtığımızda pek çok kritik izin istediği görülmekte:

Screen Shot 2018-07-11 at 10.27.41.png

Kaynak koda baktığmızda obfuscation yapıldığı görülmekte:

Screen Shot 2018-07-11 at 10.29.26.png

Uygulama telefona kurulduğunda aşağıdaki gibi görünüyor: (“operatör güncellemesi” ismiyle)

Screen Shot 2018-07-11 at 11.28.52.png

Açıldığı zaman arkada pek çok servis başlatan zararlı içerisinde en çok dikkat çeken servis ve alıcılardan bazılarını aşağıda görebilirsiniz:

Screen Shot 2018-07-11 at 10.56.09.png

Screen Shot 2018-07-11 at 10.37.32.png

Uygulama çalıştırıldığında “Accessibility” hakkı istemekte. Bu hakkı istemesinin sebebi kullanıcının bastığı tuşları kayıt ederek kullanıcıların mobil bankacılık bilgilerini ele geçirmek. SMS mesajlarını okuyabiliyor olması da iki faktörlü doğrulama kontrollerini atlatma noktasında önemli bir faktör olarak karşımıza çıkıyor.

Accessibility hakları “Google Play Protect” adı altında isteniyor:

Screen Shot 2018-07-11 at 11.28.20.png

Çalıştırıldıktan sonra uygulama klasörü altında shared_preferences’a yazdığı dosyanın içeriği:

Screen Shot 2018-07-11 at 11.29.58.png

Kullanıcıdan topladığı bilgileri kayıt ettiği set.xml içerisinde aynı zamanda bir mesaj da yer almakta. Bu mesaj telefonun ana ekranına bir süre sonra aşağıdaki gibi düşmekte:

Screen Shot 2018-07-11 at 11.25.31.png

Toplanan bilgiler ışığında uygulamanın konuştuğu adresin 49[.]51[.]11[.]243 (diğer adıyla junilogart8[.]info) olduğu görülmekte. İlgili sitenin konumu Çin görünüyor.

Screen Shot 2018-07-11 at 11.40.03.png

Zararlı burada durmuyor tabii ki. Bütün bu işlemler olurken uygulama arkada bir apk dosyası daha indiriyor.

Screen Shot 2018-07-11 at 11.40.44.png

Bu uygulamanın da VirusTotal sonuçları aşağıda görülebilir: (Hash değeri: “35313932a63c0474d62a6878e97155e331d7498c58d8940db334e3ab63b0c60e” )

Screen Shot 2018-07-11 at 11.47.32.png

İlgili uygulamayı açtığımızda arkada bir servis başlattığı ve port yönlendirme yaptığı görülebilir:

Screen Shot 2018-07-11 at 11.44.07.png

Screen Shot 2018-07-11 at 11.42.26.png

Yazı boyunca incelediğim “sahibindan” uygulaması ve uygulama mağazasında tespit edilen zararlı uygulamaların hash değerlerini ve iletişim kurdukları IP/host bilgilerini aşağıda bulabilirsiniz. Eğer kurum telefonunuzda veya kişisel telefonunuzda yakın zamanda Google uygulama mağazasından indirilmiş ve aşağıdaki hash değerlerine sahip bir uygulama varsa, inceleme yapmanızda fayda var.

Uygulama Mağazasında Tespit Edilen Zararlıların Hash değerleri:

C56D9C324FDD54128770D7FC59505DB8 (com.tum.borsalar)

6E4B1C7E5AF2601220883F6B58386C80 (com.turkiye.aracsorgula)

006DBE9FD4CFABE4DF80FC008A90CFDE (com.turkiye.nobetci.eczanelerim)

87839A0E5C09C824868861248DCE79C6 (com.turkiye.aracsorgulama)

3FD02EAD192BE3023F43C6537CAF9C5F (com.turkiye.arac.sorgulamasi)

7598A252DBB8DA1211B213EFD68F6FFD (com.canli.tum.dovizler)

7017E3ACF700C62CE1A7E3A98BED07EDC (com.canli.tum.borsalar)

84130F0CEEDAE148942E59939BA6C2269 (com.turkiye.nobetci.eczane)

9E1912335A8BD867F6834F9F70F06054F (com.sahibindan.app)

1065D173902946A739E1A41ED7F236439A (com.doviz.turkiye.app)

115d9cf9bb0d2b7d1ec862d0e7e3c12bfb (com.sahibindan.app)

Zararlı Tarafından İndirilen Dosyaların Hash Değerleri:

8d6be8fdacf6a5498cb86606dec1f6eb14d770bb97c7879ddd5bd835d88be775 (1247.apk)

35313932a63c0474d62a6878e97155e331d7498c58d8940db334e3ab63b0c60e (v.2.1.apk)

Zararlı Tarafından İletişime Geçilen IP/Host bilgileri:

80[.]84[.]61[.]2/down/1247.apk

49[.]51[.]11[.]243

junilogart8[.]info