Paket 20 GB (Cerberus) Android Zararlı Yazılım Analizi

Koronavirüs (Covid-19)’un yayılması ile birlikte dünya genelinde herkes evlerine kapanıp karantina sürecine girmişken ülkemizde de durum benzerdir. Bununla birlikte eve kapanan kişiler için birçok yardım kampanyası düzenlenmektedir. Bu yazıda ele alacağımız Paket20GB android zararlısı biz bize yeteriz adlı yardım kampanyasını kullanarak oltalama site ile yayılmayı amaçlamaktadır. İnsanların evde kaldığı bu dönemlerde artan internet kullanımlarından dolayı “Her Girişinizde Hediye İnternet!” sloganı ile insanların uygulamayı kurmaları istenmektedir.

Oltalama Site: http[:]//bizbizeyeteriz20gb.com

Paket20GB.apk URL: http[:]//bizbizeyeteriz20gb.com/paket20gb.apk

Paket20GB.apk:

MD5: D0EE960194950078BA2EF14203557CCD

SHA1: 9FA0428CC7B57E9A6C5A110CD0E18A8E13790808

SHA-256: F2712D1CCADB309F2B482FD2F7118BE4707423F8374DD9DFA56DCDDA60819AD4

c2c IP : 161.117.236.58

c2c URL: http[:]//xancc4fp[.]online

Özet:

Android cihaza kurulan Paket20GB.apk uygulaması öncelikle çalıştırılma anında birçok izin için kullanıcıdan onay istemektedir. Daha sonra cihaza kurulan uygulama ana menüde uygulama ikonu olarak gözükmemekte ve arka planda çalışmaya devam etmektedir. Uygulama dinamik analiz esnasında arka planda sürekli olarak xancc4fp.online adresine şifrelenmiş veri gönderdiği tespit edilmiştir.

http[:]//bizbizeyeteriz20gb[.]com adresi ziyaret edildiğinde yukarıdaki sayfa bizi karşılamaktadır. Ayrıca sayfa direkt olarak http[:]//bizbizeyeteriz20gb[.]com/paket20gb.apk adresinden zararlı apk dosyasını indirmeye başlamaktadır.

http[:]//bizbizeyeteriz20gb[.]com/paket20gb.apk adresinden inen apk dosyasının statik analizleri sırasında incelediğimiz AndroidManifest.xml dosyasında hassas birçok izin talep ettiği tespit edilmiştir. Ayrıca uygulamanın iawhmkptxbtiwoapxkxq.fsxdcqouxqgrqewwnpkuyxjsnsx.myaybhjxsrmfkzmbqomrhdhwqxg paket adını kullandığı görülmüştür.

Uygulama cihaza kurulduğunda ilk olarak yukarıdaki ekran ile AndroidManifest.xml dosyasında gördüğümüz tüm izinler için kullanıcıdan onay almaktadır.

Gerekli izinlerin onaylarını aldıktan sonra uygulamanın ana menüde hiçbir ikonu bulunmamaktadır. Uygulama izinleri aldıktan sonra kendisini arka plana atarak çalışmaya devam etmektedir. Settings -> Apps altında çalışan uygulamayı 20 GB Internet Paket adı ile görmekteyiz.

Arka planda çalışmaya devam eden 20 GB Internet Paket uygulamasıın Burp Suite ile giden HTTP trafiği incelenirken xancc4fp.online adresine şifrelenmiş veri gönderdiği tespit edilmiştir.

Uygulama üzerindeki incelemeler sırasında /data/data/ iawhmkptxbtiwoapxkxq.fsxdcqouxqgrqewwnpkuyxjsnsx.myaybhjxsrmfkzmbqomrhdhwqxg/shared_prefs dizininde ring0.xml dosya içeriğinde HTTP isteklerinde giden şifreli verinin key’i bulunmaktadır.

HTTP isteklerinde giden şifreli veriler, ring0.xml dosyasında tespit edilen RC4 decryption key (aro5fed6aro7fed) kullanılarak aşağıdaki gibi çözümlenebilmektedir.

HTTP isteğindeki çözümlenmiş veri:

{“DM”:”1″,”AD”:”null”,”BL”:”66″,”TW”:”1460″,”SA”:”0″,”SP”:”0″,”SS”:”1″,”LE”:”en”,”SY”:”1″,”SM”:”0″,”ID”:”v78q-5xhc-rex9-zdkh”,”IS”:”kZgqgLv84dLy3qa”,”NR”:”15555218135″,”GA”:”[email protected],”,”PS”:”1″,”PC”:”1″,”PP”:”1″,”PO”:”1″}

Çözümlenen HTTP isteğindeki verilere bakılarak cihaz üzerinde bulunan birçok kişisel ve hassas verinin, uygulamanın haberleştiği xancc4fp.online adresine POST metodu ile gönderildiği görülmektedir.

NOT: Son zamanlarda koronavirüs adı ve konusu ile yayılan birçok zararlı yazılım görülmektedir. Mobil uygulamalar kurulumları sırasında mutlaka uygulama marketleri Google Play ve App Store üzerinden güvenilir geliştirici ve firmalar tarafından yüklendiğinden emin olduğunuz uygulamaları kurmanız önerilmektedir. Bunların haricindeki bulunan mobil uygulamaları cihazlarınıza kurmanız tavsiye edilmemektedir.

Evde kalın, sağlıkla kalın.

Ahmet GÜREL

06.04.2020

Ahmet Gürel

Cyber Security Researcher | Penetration Tester

Leave a Reply