Android kötü amaçlı yazılımları, aşağıdakiler gibi çeşitli yasa dışı amaçlarla tam kontrolü ele geçirmek için cihazlara bulaşır: –
- Hassas bilgilerin çalınması
- Yetkisiz finansal işlemler oluşturmak
- Uzaktan saldırıları etkinleştirme
Tehdit aktörleri tam kontrolü ele geçirerek cihazı yasa dışı faaliyetleri için kullanabilir ve aşağıdakilere yönelik önemli tehditler oluşturabilir:-
- Kullanıcı gizliliği
- Kullanıcı güvenliği
McAfee Mobile Research’teki siber güvenlik analistleri yakın zamanda cihazlara virüs bulaştırmak ve tüm kontrolü ele geçirmek için Xamarin çerçevesini kullanan “Android/Xamalicious” adında bir Android arka kapısı buldu.
Android Kötü Amaçlı Yazılım Cihaz Kontrolü Kazanın
Erişilebilirlik ayrıcalıkları için sosyal mühendislikten yararlanır ve C2 sunucusuyla iletişim kurar. Aşağıdakiler için tam kontrolü ele alan ikinci aşama verisi dinamik olarak derleme DLL’si olarak enjekte edilir: –
- Reklam sahtekarlığı
- Uygulama yüklemeleri
- Mali motivasyonlu eylemler
Araştırmacılar, reklam dolandırıcılığı uygulaması “Cash Magnet”in bağlantısını belirlediler ve finansal motivasyonu ortaya çıkardılar. Xamarin kullanımı, APK oluşturma sürecinde kötü amaçlı kodu gizleyerek uzun vadeli etkinliğe olanak tanır.
İletişim ve veri sızması için özel şifreleme ve gizleme teknikleri kullanıldı. Yaklaşık 25 kötü amaçlı uygulama bu tehdidi taşıyor; bunlardan bazıları 2020 ortasından bu yana Google Play’de bulunuyor.
McAfee’nin proaktif önlemleri ve Google Play Koruması, Potansiyel Zararlı Uygulamaları azaltmayı amaçlamaktadır. En az 327.000 cihazda tespit edilen Android/Xamalicious hâlâ yüksek düzeyde aktif durumda.
Android/Xamalicious truva atları, üçüncü taraf pazarlarda bulunan aşağıdaki kategorilerdeki uygulamalar olarak gizlenir: –
- Sağlık
- Oyun
- Burçlar
- Verimlilik
Önceki Xamarin tabanlı kötü amaçlı yazılımların aksine, Xamalicious’un uygulanması farklıdır. Xamarin mimarisi, Mono aracılığıyla Android’de .NET kodunun yorumlanmasına olanak tanır.
Örnek bir uygulama olan “Numerology”, mağdurları yanıltıcı işlevler için erişilebilirlik hizmetlerini etkinleştirmeye teşvik ediyor.
Çeşitli işletim sistemi uyarılarından sonra tüm erişilebilirlik hizmetlerinin manuel olarak etkinleştirilmesi gerekir.
Kötü amaçlı yazılım, geleneksel Java veya ELF Android kodundan ve orijinal .NET’ten farklılık gösterir; DLL olarak derlenir, LZ4 ile sıkıştırılır ve BLOB veya /assemblies dizinine gömülür.
Bunun yanı sıra, çalışma zamanında ELF veya DEX tarafından yüklenir, tersine çevirmenin karmaşıklığı değişir ve kod genellikle aşağıdaki derlemelerde bulunur: –
- çekirdek.dll
.dll
Bazı değişkenler DLL’leri gizlerken diğerleri orijinal kodu korur. Erişilebilirlik izinlerini aldıktan sonra kötü amaçlı yazılım, ikinci aşama veri için sunucuyla iletişim kurar.
Xamalicious kötü amaçlı yazılımı, sistem komutları aracılığıyla kurbanın uygulamalar ve köklenme durumu gibi cihaz bilgilerini kontrol eder. ADB aracılığıyla rootlanır veya bağlanırsa, ikinci aşama yük indirme işlemini atlar.
Aşağıda, kötü amaçlı yazılımın topladığı bilgi türlerinden bahsettik: –
RSA-OAEP ve HTTPS’nin yardımıyla Xamalicious, tespit edilmekten kaçınmak için tüm verileri şifreler. Ancak C2 altyapısı mevcutsa DLL’deki sabit kodlanmış RSA anahtarları şifre çözmeyi etkinleştirir.
Send() işlevi, verileri bir JWT ile şifreler ve HTTP POST aracılığıyla “/Updater”a gönderir. decrypt() işlevi, C2 yanıtları için muhtemelen ikinci aşama bir veri içeren sabit kodlu bir RSA özel anahtarı kullanır.
İkinci aşama yük dağıtımına ve kötü amaçlı yazılımın kendini korumasına karar veren C&C sunucusuna gönderilen veriler şunları içerir: –
C&C, DLL’yi AES ve cihaza özel anahtarla şifreler, cihaz jetonun şifresini çözer ve ardından cihaz ayrıntılarına özel özel bir AES anahtarıyla ‘URL’ parametresinin şifresini çözer.
Kötü amaçlı uygulamalar Algılandı
Aşağıda, tespit edilen tüm kötü amaçlı uygulamalardan bahsettik: –
Kullanıcıların etkilendiği ülkeler
Aşağıda, kullanıcıların çoğunun etkilendiği tüm ülkelerden bahsettik: –
- Amerika
- Brezilya
- Arjantin
- Birleşik Krallık
- ispanya
- Almanya
IOC’ler
