Android telefonumda kötü amaçlı yazılım! « Otaku – Cedric’in blogu

In: Genel


Pek gurur duymadığım bir itirafım var: Son zamanlarda, Android telefonuma farkında olmadan kötü amaçlı yazılım yükledim. Android ekibinin ilk üyelerinden biri ve yaklaşık on üç yıldır Android kullanan biri olarak, bu oldukça alçakgönüllü ve rahatsız edici bir olaydı. Olan şey bu.

Nasıl başladığını hatırlıyorum: Telefonumun kilidini açtım ve yanlışlıkla iki tıklama beynimin hemen şüpheli olarak kaydettiği bir diyaloğu kabul etmemi sağladı. Ama o sırada aklımda başka şeyler vardı, bu yüzden aldırmadım ve devam ettim.

Ertesi gün telefonumu aldım ve Chrome’u başlattığımda hemen spam içerikli bir URL görüntülendiğini fark ettim. Daha da kötüsü: yatmadan önce kesinlikle ziyaret etmediğim benzer URL’leri gösteren ondan fazla sekme vardı. İşte o zaman ne olduğunu anladım.

DefCon 5

O sırada araştırma yapacak vaktim olmadığı için kolay ve geçici bir çözüme yöneldim: varsayılan tarayıcımı Chrome’dan başka bir tarayıcıya değiştirdim ve devam ettim. Birkaç saat sonra, yeni varsayılan tarayıcım tarafından görüntülenen benzer bir URL kümesi buldum; bu, şimdi kesinlikle parmağınızı sahte bir uygulamaya işaret ediyor.

DefCon 4

Tüm uygulamalarımı gözden geçirdim ve bir çoğunu kaldırdım ve devre dışı bıraktım. Ayrıca MalwareBytes’i indirdim ve çalıştırdım, hiçbir etkisi olmadı. Google Play Protect ayrıca telefonumda şüpheli bir şey fark etmedi. URL gösterilmeye devam ettiği için rahatsız edici uygulamayı kaçırmış olmalıyım.

DefCon 3

Orta çağa geçme zamanı. Telefonumu bağladım ve başlattım adb. Yinelenen görevlerin listesini inceleyerek başladım, ancak çıktı o kadar hacimliydi ki, yararlı bir şey bulmak zayıf bir ihtimaldi. Ayrıca tüm hizmetleri ve bunlarla ilişkili uygulamaları da inceledim, ancak yine de, iyi hedeflenmiş bazı ‘grep’lerle bile şüpheli bir şey bulmak neredeyse imkansızdı.

DefCon 2

Kendimi kaba kuvvet yaklaşımına bıraktım. Android Studio’yu başlattım, filtreledim logcat çıktı “http.?://“, pencereyi yan tarafa taşıdım ve kullanmadığım zamanlarda telefonumun hangi URL’leri ziyaret ettiğine göz kulak olurken faaliyetlerime devam ettim.

Şüpheli URL’lerden birinin görünmesi yalnızca bir saat sürdü:

2021-01-09 11:01:14.651 3655-4415/? I/ActivityTaskManager: START u0 
{act=android.intent.action.VIEW dat=https://vbg.dorputolano.com/...
 flg=0x10000000 cmp=org.adblockplus.browser.beta/com.google.android.apps.chrome.IntentDispatcher} from uid 10237

Ha ha! Seni şimdi yakaladım. Çıktıyı gözden geçirdiğim bir kullanıcı kimliğim var ve sonunda hedefimi belirledim:

2021-01-09 11:01:13.810 3655-3655/? I/EdgeLightingManager: showForNotification :
isInteractive=false, isHeadUp=true, color=0,
sbn = StatusBarNotification(pkg=com.qrcodescanner.barcodescanner user=UserHandle{0} id=1836 tag=null 
key=0|com.qrcodescanner.barcodescanner|1836|null|10237: Notification(channel=sfsdfsdfsd pri=2 contentView=null
vibrate=null sound=null defaults=0x0 flags=0x90 color=0x00000000 vis=PRIVATE semFlags=0x0 semPriority=0 semMissedCount=0))

Yani paket adı “com.qrcodescanner.barcodescanner“. Hileli uygulama, QR barkod tarayıcı olarak kendini gizlemiş gibi görünüyor. Uygulamalarımın listesine bir kez daha baktım ve tabii ki, rahatsız edici uygulamayı çabucak buldum. Kaldırdım ve birkaç saat sonra, URL’nin ortaya çıkmayı bıraktığını gözlemlemekten mutlu oldum.

DefCon 5’e geri dön

Play Store’a geri döndüm ve kaldırdığım ancak bulamadığım uygulamayı bulmaya çalıştım, bu da Google’ın muhtemelen bir süre önce onu mağazasından kaldırdığını gösteriyor. Etkinleştirdiğim kötü amaçlı yazılım, büyük olasılıkla yüklemesini istemeden onayladıktan sonra yükledi.

Bazı adli araştırmalar ortaya çıktı 2018’den bir makale böyle bir kötü amaçlı QR Kod Okuyucu uygulamasını tartışırken, ancak paket ve çalışma modu bulduğumla tam olarak eşleşmiyor. Muhtemelen bir taklitçiyle uğraşıyorum.

Geriye dönüp baktığımda, basit bir dolandırıcılık uygulamasından kurtulmak için tüm bu adımlardan geçmek zorunda kaldığım için oldukça hayal kırıklığına uğradım. Normal bir kullanıcı ne yapardı?

Sonuçlar ve öneriler

  • Telefonumda yüklü olan uygulamaları listelemek bana bunları “En son yüklenenler”e göre sıralama seçeneği sunmalıdır. Bu seçeneğe sahip olsaydım ve birkaç gün önce kurulmuş bir QR Kod Tarayıcı görseydim, hemen dikkatimi çekerdi. Olduğu gibi, Android’in yüklü uygulamaları listeleme şekli bu amaç için oldukça işe yaramaz.
  • MalwareBytes tamamen işe yaramazdı ve bu gerçeği fark ettiğimde hemen kaldırdım. Sorun, muhtemelen hangi uygulamaları yüklediğime bakmak yerine paketlerin içinde kötü amaçlı yazılım kod imzaları arıyor olmasıydı.
  • Google Play Protect de tamamen yararsızdı ve bu büyük bir hayal kırıklığıydı. Birincisi, Google, kötü amaçlı yazılım nedenleriyle mağazalarından hangi uygulamaları kaldırdıklarını kesinlikle bildiği için, ancak öyle olsa bile, Google Play Protect’in en azından telefonumda bulduğu ve mağazalarında olmayan herhangi bir uygulamayı işaretlemesini beklerdim. Böyle bir uygulama mutlaka kötü amaçlı yazılım değildir, ancak kesinlikle işaretlenmelidir.
  • Google Play Protect, uygulamaların arka planda ne yaptığını analiz etmek için bazı davranış profilleri de yapabilir. Arka planda web sitelerinde yinelenen VIEW niyetlerini başlatan bir hizmet, sisteme bir bayrak kaldırmalıydı.

Bu yazı 10 Ocak 2021, 18:14 tarihinde gönderildi ve altında dosyalandı. Kategorize edilmemiş. Bu girişe verilen yanıtları şuradan takip edebilirsiniz: RSS 2.0. Hem yorumlar hem de pingler şu anda kapalı.

Bir cevap yazın

Ready to Grow Your Business?

We Serve our Clients’ Best Interests with the Best Marketing Solutions. Find out More

How Can We Help You?

Need to bounce off ideas for an upcoming project or digital campaign? Looking to transform your business with the implementation of full potential digital marketing?

For any career inquiries, please visit our careers page here.
[contact-form-7 404 "Bulunamadı"]