Resmi Google mağazasındaki kötü amaçlı yazılımlar her zaman görülebilirdirler. Siber suçlular için zararlı yazılımlarını bu gibi gerçek uygulamaların yer aldığı ortamlara sokabilmek büyük bir başarıdır.
Araştırmacılar zararlı yazılımları analiz edebilmek için yeni yöntemler ararken ve kullanıcılar da tüm bunların nasıl çalıştığını anlamaya çalışırken, siber suçlular da telefonlara sızmanın ve diğer aygıtları ele geçirmenin yeni yollarını arıyorlar.
Saldırılarının etkinliğini artırmak için kullanılan kıvrak yöntemler iki farklı kategoriye ayrılabilir: Bunlardan ilki, kullanıcıların kafasını karıştırmaya çalışan Sosyal Mühendislik stratejileri ve ikincisi de, kötü amaçlı yazılım tespitini ve analizini engellemeye çalışan karmaşık teknik mekanizmalar olarak gösterilebilir.
Bu makalede, kötü amaçlı Android kodunun son birkaç yıl içindeki bazı ortak davranışları özetlenmektedir.
Sosyal mühendisliğe dayalı aldatma
Kötü amaçlı yazılımı dağıtmak için Play Store'daki sahte hesapların kullanılması
Resmi Google mağazasındaki kötü amaçlı yazılımlar her zaman görülebilirdirler. Siber suçlular için kötü amaçlı uygulamalarını gerçek uygulamaların satıldığı ortamlara gizlice sokmak, çok daha fazla potansiyel kurbana ulaşarak daha fazla etkiye sahip olabilecekleri ve bunu neredeyse garanti altına alabilecekleri büyük bir zaferdir.
Dahası, güvenli olmayan veya zararlı olan uygulamaları yaymak için kullanılan sahte yazılımcı hesapları, gerçek hesaplarla neredeyse birebir aynı gözükmekte ve bundan şüphelenmeyen kullanıcıların kafasını karıştırmaktadır. Bunun yakın tarihli bir örneğinde araştırmacılar, resmi hesap üzerinden dağıtılma izlenimi vermek amacıyla bir Unicode karakter hilesi kullanan WhatsApp'ı güncellemek için geliştirilmiş sahte bir uygulama keşfettiler.
Anma tarihlerinden ve planlanan uygulama sürüm tarihlerinden yararlanın
Siber suç dünyasında yaygın bir yol olan zararlı yazılımı bir uygulama ya da oyun versiyonuymuş gibi gösterme yöntemi, aniden popülerlik kazanan, yayınlanma tarihi belirlenmiş ya da bazı ülkelerde satışa sunulmayan uygulamaları esas almaktadır. Bu, Pokémon GO, Prisma ve Dubsmash ile dünya çapında yüz binlerce noktaya bulaşarak gerçekleşti.
Tapjacking yöntemi ve paylaşımlı pencereler
Tapjacking, iki ekranlı sahte bir uygulama görüntüleyerek kullanıcının ekran görüntülerini yakalamayı amaçlayan bir tekniktir. Bu nedenle kurbanlar, gördükleri uygulamaya tıkladıklarına inanıyorlar; ancak aslında görünmez olan gizli uygulamalara da dokunuyorlar.
Android'de kimlik hırsızlığı için casus yazılımlarda yaygın olarak kullanılan bir başka benzer strateji ise, yer paylaşımlı pencereleridir. Bu aldatmacada kötü amaçlı yazılım, kullanıcının kullandığı uygulamayı sürekli olarak izler ve belirli bir meşru uygulamaya rastladığında, meşru uygulama gibi görünen ve kullanıcıdan kimlik bilgileri isteyen kendi iletişim kutularını görüntüler.
Sistem uygulamaları arasında kamuflaj
Şimdiye kadar kötü amaçlı kodun bir cihazda saklanmasının en kolay yolu, bir sistem uygulaması şeklinde konumlanarak bunu fark edilmeden olabildiğince sürdürmekti. Yükleme bittiğinde uygulama simgesini silmeye veya sistem uygulamalarının adlarını, paketlerini, simgelerini ve diğer popüler uygulamaları bir aygıtın güvenliğini aşmak amacıyla kullanmak, Adobe Flash Player ile kimlik bilgilerini çalmak amacıyla ortaya çıkan bu bankacılık Truva atınınkine benzer stratejilerdir.
Yönetici izinlerini talep etmek için sistem ve güvenlik uygulamalarını taklit etme
Android, uygulama izinlerini sınırlayacak şekilde yapılandırıldığından, kötü amaçlı kodların çoğunun, işlevselliklerini doğru bir şekilde uygulayabilmek için yönetici izinleri talep etmesi gerekir. Ve bu izni vermek kötü amaçlı yazılımı kaldırmayı daha da zorlaştırır.
Güvenlik araçları veya sistem güncellemeleri şeklinde gizlenmek siber suçlulara belirli avantajlar sağlıyor. Özellikle, kendilerine güvenilir bir geliştiricinin ardında korunma imkânı tanındığından, kullanıcılar sonuç olarak bu uygulamayı idari işlevlere erişme konusunda yetkilendirmekten çekinmezler.
Gerçek verileri taklit eden güvenlik sertifikaları
Bir APK'nın imzalanması için kullanılan güvenlik sertifikası, bir uygulamanın değiştirilip değiştirilmediğini belirlemek için de kullanılabilir. Çoğu siber suçlu, bir sertifika vermek için genel metin dizgileri kullanırken, birçoğu ise geliştiricinin kullandığı verilere karşılık gelen veriyi feda etme yoluna giderek, bu kontrolleri gerçekleştiren kullanıcıların kafalarını daha çok karıştırmayı başarıyor.
Analizin karmaşıklaştırılması teknikleri
Aynı koddaki çoklu işlevler
Mobil dünyada son yıllarda giderek artan bir trend, farklı türdeki kötü amaçlı yazılımların tek bir uygulamayla birleştirilmesidir. Bunun bir örneği olan LokiBot; bir aygıttan bilgi çalmak için mümkün olduğunca uzun süre fark edilmeden arka planda çalışan bir bankacılık Truva atıdır. Ancak kullanıcı, programı silmek kaldırmak için yönetici izinlerini kaldırmaya çalışırsa, uygulama ransomware özelliğini etkinleştirerek aygıttaki dosyaları şifreler.
Gizli uygulamalar
Kopyalama ve yükleme araçlarının kullanımı, yani başka bir APK'nın içine kötü amaçlı kod gömmek veya internetten indirmek, yalnızca dizüstü bilgisayarlar ve bilgisayarlar için geliştirilmiş kötü amaçlı yazılımlarla sınırlı değildir; aynı zamanda kötü amaçlı mobil kod yazarları tarafından da evrensel olarak kullanılan bir stratejidir.
Google Bouncer olarak da bilinen uygulama (şimdi Google Play Protect olarak yeniden adlandırıldı), siber suçluların resmi mağazaya kötü amaçlı yazılım yükleme imkanını zorlaştırdığından saldırganlar bu tür davranışları kontrol etmeyi seçtiler ve işe de yaradı. En azından bir süreliğine!
O zamandan beri bu iki zararlı kodlama biçimi, en çok kullanılan kötü amaçlı teknikler arasında yerini aldı.
Çoklu programlama dilleri ve uçucu kod
Yeni çoklu platform geliştirme sistemleri ve yeni programlama dilleri her zaman ortaya çıkıyor. Kötü amaçlı yazılım analizcisini yanıltmak için Xamarin ile uygulamalar tasarlama veya kötü amaçlı komutları yürütmek için Lua kodunu kullanma gibi yöntemlerle farklı dilleri ve geliştirme ortamlarını birleştirmekten daha iyi bir yol düşünülemez. Bu strateji, yürütülebilir dosyanın nihai mimarisini değiştirir ve karmaşıklık seviyelerini artırır.
Bazı saldırganlar bu karışımı, uzak sunuculardan indirilen ve kullanımdan sonra silinen dinamik kod yükleme yoluyla veya kod bölümlerini kullanarak ekler. Bu yüzden, sunucu siber suçlu tarafından kaldırıldıktan sonra, cihazda hangi kodun yürütüldüğünü tam olarak bilmek mümkün değildir.
Bu karakteristik özelliklere sahip örnekler, araştırmacıların özellikle karmaşık kötü amaçlı yazılım analizlerini yayınladıkları 2014 yılı sonuna doğru ortaya çıkmaya başladı.
Sinerjik kötü amaçlı yazılım
Bir örneğin analizini karmaşıklaştırmanın bir alternatifi, kötü amaçlı işlevselliği birbiriyle etkileşime girebilen bir dizi uygulamaya bölmektir. Bu şekilde, her uygulama bir izinler ve kötü niyetli işlevsellik alt kümesine sahip olur ve bunlar daha sonra başka bir amacı yerine getirmek için birbirleriyle etkileşirler. Dahası, analistlerin kötü amaçlı yazılımın gerçek işlevini anlamaları için, tüm bireysel uygulamalara, bir yapbozun parçalarıymış gibi erişebilmeleri gereklidir.
Bu, yaygın olarak kullanılan bir strateji olmasa da, yakın zamanda Virus Bulletin tarafından yayınlanan verilere göre, bu tür davranışlar sergileyen örnekler de olmuştur.
Gizli kanallar ve yeni iletişim mekanizmaları
Bir C&C sunucusu veya diğer kötü amaçlı uygulamalar ile iletişim kurmak için, kötü amaçlı yazılımların bilgi aktarması gereklidir. Bu, geleneksel açık kanallar veya gizli kanallar (kişiselleştirilmiş iletişim protokolleri, parlaklık yoğunluğu, uyku modu kilitleri, CPU kullanımı, bellekteki boş alan, ses veya titreşim seviyeleri ve hızölçerler) yoluyla yapılabilir.
Ayrıca son aylarda siber suçluların, Twitter hesaplarını kullanarak komutları göndermek amacıyla kullandığı Twitoor gibi C&C iletilerini aktarmak için sosyal ağları nasıl kullandıklarını gördük.
Diğer anti-analiz teknikleri
Diğer kaçırma teknikleri arasında paketleme, anti-emülasyon, hata ayıklama, şifreleme ve gizleme kullanımı Android tabanlı zararlı yazılımlarda çok yaygındır. Bu türden koruma mekanizmalarının etrafından dolaşmak için, belki de Frida gibi uygulamalar yoluyla birtakım fonksiyonların kullanılması mümkündür .
MobSF gibi, bu denetimleri varsayılan olarak atlatmaya çalışan analiz ortamlarını kullanmak da mümkündür. Bunlar bazı anti-emülasyon teknikleri içerir; örneğin Inspeckage gibi düz metin dizelerinin anahtarlar yoluyla şifrelenmeden önce veya sonra görülebileceği şeyler ya da AppMon gibi uygulamalar.
Etkileri önlemek için, bu olası zararlı davranışlara göz atmayı unutmayın ve telefonunuzun tehlikede olup olmadığını nasıl kontrol edeceğinizi öğrenin.