Table Of ContentTASNİF DIŞI
Mobil Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih: 2 Ağustos 2018
Rapor No : ZF2018-06A-0022
Exobot Bankacılık Zararlısı İnceleme Raporu
Mobil platformda yaygın olan zararlı tiplerinden birisi olan bankacılık zararlıları yazarları, gün geçtikçe
faaliyetlerini geliştirerek ve değiştirerek devam etmektedir. Exobot olarak bilinen bankacılık zararlısı
Google Uygulama Mağaza kontrollerini aşarak mağazaya yükledikleri çeşitli uygulamalar aracılığıyla
yayılmaktadır. Uygulama mağazasından indirilen, görünüşte zararsız, uygulama arka planda asıl
zararlıyı indirerek görünüşte zararsız bir uygulama görünümü vererek kullanıcıları tuzağına
düşürmektedir.
Exobot bankacılık zararlısı ilk faaliyetlerine 2016 tarihinde başlamıştır. ”Android” takma ismini taşıyan
bir aktör tarafından geliştirilen Exobot, bankacılık uygulamalarını hedef alan ve ilgili bankacılık
uygulamalarının ekranlarının üzerine ekstra ekran koyarak (overlay attack olarak bilinmektedir)
kullanıcıların bankacılık bilgilerini çalmayı hedefleyen bir zararlıdır. 2017 yılında “exoandroidbot[.]net”
isimli internet sitesinden Exobotv2 olarak satılmaya başlanmıştır. İlgili versiyon ilk versiyonun gelişmiş
ve bankacılık sektörü tarafından kullanılan sahtekarlık tespiti atlatma yöntemleriyle donatılmış halidir.
2017 yılının sonlarına doğru Exobot kaynak kodu geliştiricisi tarafından satılmıştır.
Exobot satıldıktan sonraki aylarda ortaya çıkan zararlı uygulamaların yeni hedef odaklarından birisi de
Türkiye olmuştur.
Exobot zararlısından etkilenen ve Exobot tarafından oluşturulan botnet ağı Türkiye içerisinden binlerce
telefonu bünyesinde barındırmakta ve mevcut botnet ağının sahiplerinin Türk asıllı aktörler olduğu
düşünülmektedir. Bu botnetlerden bir tanesinin isminin “usveryfood” olduğu görülmektedir.
Yakın zamanda Google Uygulama Mağazası içerisinde yer alan ve Exobot zararlısını indiren uygulamalar
tespit edilmiştir. Tespit edilen bu uygulamalardan bir tanesi Mustafa Kemal ATATÜRK ismini taşıdığı
için öne çıkmakta ve merak uyandırmaktadır. Uygulama görünüş itibariyle Mustafa Kemal ATATÜRK
görsellerinin, videolarının ve sözlerinin yer aldığı bir uygulama gibi görünerek kullanıcıların milli
duygularını sömürme üzerine tasarlanmıştır.
Aşağıda incelemesi yapılacak olan ‘Mustafa Kemal ATATÜRK’ uygulaması gibi arka planda Exobot
zararlısını indiren uygulamaların listesi aşağıdaki gibidir:
• Mustafa Kemal ATATÜRK
• Canlı Borsa Finans Kur Altın
• Döviz Uygulaması
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2018. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni
olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz.
TASNİF DIŞI
TASNİF DIŞI
Mobil Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih: 2 Ağustos 2018
Rapor No : ZF2018-06A-0022
1) Teknik İnceleme
İncelenen ve görünürde zararsız olan uygulama mobil cihaza yüklenip açıldığında aşağıdaki gibi
görünmektedir.
Görsel 1: Uygulama Ekranı
İlgili uygulamanın VirusTotal sonuçları aşağıdaki gibidir. Google Uygulama Mağazasından indirilmiş olsa
dahi bir uygulamanın güvenli olup olmadığından tam emin olunamıyorsa, uygulamanın telefona
kurulmadan önce zararlı yazılım olup olmayacağı hususunda en azından bir fikir edinebilmek adına
VirusTotal taramasından geçirilmesi önerilmektedir. Fakat unutulmamalıdır ki; VirusTotal sonucu temiz
olan fakat zararlı davranış sergileyebilen uygulamalar da mevcuttur. Anti-virüs gibi çözümlere
tamamıyla güvenmemek gereklidir.
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2018. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni
olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz.
TASNİF DIŞI
TASNİF DIŞI
Mobil Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih: 2 Ağustos 2018
Rapor No : ZF2018-06A-0022
Görsel 2: Uygulamanın VirusTotal Sonuçları
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2018. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni
olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz.
TASNİF DIŞI
TASNİF DIŞI
Mobil Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih: 2 Ağustos 2018
Rapor No : ZF2018-06A-0022
İlgili uygulamanın istediği izinler aşağıdaki gibidir.
Görsel 3: İstenen İzinler
Görsel, video ve söz içerikli bir uygulamanın SD Card içerisine yazma ve okuma yetkisi istemesi
olağandışı bir durumdur. Amacı dışında izinler isteyen her uygulamaya şüpheyle yaklaşmak gereklidir.
İlgili uygulamanın kaynak kodları incelendiğinde, telefon hakkında bilgiler topladığı görülmektedir.
Görsel 4: Toplanan Bilgiler
Model numarası, IMEI ve ülke bilgisi gibi bilgiler uzak sunucuya yollanmaktadır.
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2018. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni
olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz.
TASNİF DIŞI
TASNİF DIŞI
Mobil Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih: 2 Ağustos 2018
Rapor No : ZF2018-06A-0022
İlgili işlemlere paralel olarak zararlı Exobot uygulaması indirilmektedir. Bu indirme işlemi için uzak
sunucudan Exobot indirme linki istenmektedir.
Görsel 5: Zararlı İndirme Davranışı
Zararlı yazılımda kullanıldığı tespit edilen ‘Utils’ adlı sınıf incelendiğinde uygulamanın arkada indirdiği
uygulamayı kurmak için yazıldığı görülmektedir.
Görsel 6: Uygulamanın Özellikleri
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2018. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni
olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz.
TASNİF DIŞI
TASNİF DIŞI
Mobil Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih: 2 Ağustos 2018
Rapor No : ZF2018-06A-0022
Zararlı uygulamanın telefona yüklenebilmesi için telefon içerisinde ‘güvenilir olmayan kaynaklardan
uygulama kurma’ opsiyonunun açık olması gerekmektedir. Bunun sebebi zararlı uygulamanın Google
Uygulama Mağazasından indirilmemesi ve telefon tarafından üçüncü parti uygulama olarak
nitelendirilmesidir.
Mustafa Kemal ATATÜRK tarafından indirilen zararlı uygulamanın VirusTotal bilgileri aşağıdaki gibidir.
Görsel 7: Exobot VirusTotal Sonuçları
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2018. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni
olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz.
TASNİF DIŞI
TASNİF DIŞI
Mobil Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih: 2 Ağustos 2018
Rapor No : ZF2018-06A-0022
Zararlı uygulamanın istediği izinler aşağıda görülebilir.
Görsel 8: Zararlı Uygulamanın İstediği izinler
Servis Güncelleme 0.5 adı altında yüklenen uygulamanın telefon içerisinden kritik bilgiler çalabilecek
nitelikte izinler istediği görülmektedir.
Kaynak kod incelemesi yapıldığında zararlının çeşitli yöntemlerle uygulama kontrolü yaptığı
görülmektedir. Bu yöntemlerden bir tanesi aşağıda görülebilir.
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2018. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni
olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz.
TASNİF DIŞI
TASNİF DIŞI
Mobil Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih: 2 Ağustos 2018
Rapor No : ZF2018-06A-0022
Görsel 9: Uygulama Kontrolü
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2018. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni
olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz.
TASNİF DIŞI
TASNİF DIŞI
Mobil Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih: 2 Ağustos 2018
Rapor No : ZF2018-06A-0022
Zararlı emulatör üzerinde çalışıp çalışmadığını anlamak için aşağıdaki şekilde kontroller yapmaktadır.
Görsel 10: Emulatör Kontrolleri
Zararlının içerisinde bulunan bazı string değerlerinin karmaşıklaştırılmak için **Kwm** ekleriyle
karıştırıldığı görülmektedir. İlgili string değerlerinin ayıklanması ve incelemesiyle bankacılık işlemlerine
müdahale etmek adına işlemler yaptığı tespit edilmiştir. Aynı stringler içerisinde telefon içerisinde
erişilen bilgiler de görülmektedir.
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2018. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni
olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz.
TASNİF DIŞI
TASNİF DIŞI
Mobil Zararlı Yazılım
Analiz Raporu
[ SİBER FÜZYON MERKEZİ ] Tarih: 2 Ağustos 2018
Rapor No : ZF2018-06A-0022
Görsel 11: Exobot Tarafından Toplanan Bilgiler
Görsel 12: Exobot Tarafından Kullanılan Stringler
© STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. 2018. Her Hakkı Mahfuzdur. Bu doküman veya herhangi bir kısmı STM’nin yazılı izni
olmadan çoğaltılamaz, yayınlanamaz ve değiştirilemez. Bu dokümanın dağıtımı veya sunumu ile STM’nin hakları ortadan kalkmış olmaz. Bu doküman
ve içeriği hazırlanma amacının dışında kullanılamaz.
TASNİF DIŞI
Description:Mobil platformda yaygın olan zararlı tiplerinden birisi olan bankacılık Yakın zamanda Google Uygulama Mağazası içerisinde yer alan ve Exobot
