Sahte EBA.apk Zararlı Yazılım Analizi

Sahte EBA.apk Zararlı Yazılım Analizi

Merhabalar,

Bugün,  rast geldiğimiz bir zararlı link ile EBA uygulaması adı altına zararlı yazılım indirtten bir Web site hakkında araştırma yaptık. Analizleri sizlerle paylaşacağız.

İlk olarak VirusTotal sitesine aktaralım bakalım virüs programları nasıl bir davranış sergileyecek.

Gördüğünüz gibi VirusTotal Url Tarama da herhangi bir şey tespit edemedi. Şimdi de Web siteye girip APK dosyasını indirip dosya taraması olarak deneyelim.

Burada EBA.apk dosyası taraması sonucu 7 AntiVirus programı zararlı olduğunu belirtti. Peki bu AntiVirus lerin bu dosyaya zararlı olarak görmesinin nedenlerinden bir tanesine bakalım.

 

Burada anladığımız kadarıyla biraz açıklama yapalım;

Kırmızı ünlem ile oluşan alarmlar, cihazdan önemli yetkileri istemesidir. Mesela SEND_SMS burada başkasına sms gönderme yetkisini elde etmesidir. Ardından CALL_PHONE ise cihazda bulunan rehber den istediği kişiyi arama yetkisini elde etmiştir. Rehbere zaten READ_CONTACTS yetkisi ile ulaşmıştır.

 Son olarak da INTERNET dediği yetki ise cihazda herhangi bir tarayıcıyla istediği bir web siteye istek atma ya da C&C yani komuta kontrol ile iletişime geçmesini sağlayabilir ve tüm bilgileri gönderebilir. Diğer izinlere göz atabilirsiniz. Yani burada anlayacağımız; bir zararlı olmayan apk dosyası bu kadar iştahlı bir yetkileri pek istemez. Artık detayları buradan bakabilirsiniz…

 

Burada elde ettiği yetkiler gözükmektedir. Apk dosyasının içerisindeki AndroidManifest.xml dosyasında bulunmaktadır.

 

Web siteden devam edelim…

 

Aşağı taraflara indiğimizde şu kadar başvuru alındı, tablet verildi diye rakamlar geçmekte. Web sitenin kaynağına baktığımızda Bu verilerin dinamik bir veri olmadığını görüyoruz.. Sadece rastgele rakamlar girilerek çok kişinin başvuruda bulunduğunu belirtmek. Yani her başvuru da bu rakamlar hiçbir şekilde değişmemekte.

 

 

Ardından Web sitenin güvenli olduğu gözükmekte. Yani üst solda mavi kilit gözükmekte. Sertifikasına baktığımızda yeni alınmış bir sertifika 2 mart gece saat 03 te alınmış. Belli ki siteyi ziyaret edenlerin kilidi görüp güvenli olduğunu zannetmeleri için tanımlanmış.

 

Web sitenin sağ üst kısmında hemen başvur butonuna tıkladığımızda Ad Soyad ve Telefon Numarası istemekte. Rastgele bir isim numara girdiğimde dahi herhangi bir hata vermiyor ve arka tarafta da herhangi bir sonuç döndürmediğini fark ettik. 

 

Başvuru kısmı sabit bir hedefte olmadığı için bazen basvuru formu gelmekte bazen de direkt EBA.apk uygulaması izinsiz indirilmekte. Bunu da bir otomatik dosya indirme şeklinde hizmet veren bir Web siteden almış.

 

 

Uygulama daha detaylı incelenebilir. Uygulama kaynak kodlarına bakılarak nasıl bir davranış sergilediğini, hangi komuta kontrol ile iletişime geçtiğini ve daha birçok şeye ulaşılabilir.

Sonuç olarak; Bilmediğimiz kaynaklardan elimizden geldiği kadarıyla uygulama indirmememiz lazım. İndirdiğimiz uygulamadan şüphe duyuyor isek virustotal ya da nodistribute gibi Web sitelerden dosyayı taratıp zararlı olduğu anlaşılabilir.


 

Bir cevap yazın