Nekro Truva atı
2019'da siber güvenlik araştırmacıları rahatsız edici bir sorunu ortaya çıkardı: Google Play Store'daki meşru bir Android uygulaması, geliştiricilerin reklam geliri elde etmek için kullandığı üçüncü taraf bir kütüphane tarafından tehlikeye atılmıştı. Bu değişiklik, 100 milyon cihazın saldırganlar tarafından kontrol edilen sunuculara bağlanmasına ve ardından gizli yükler dağıtılmasına neden oldu.
Benzer bir durum şimdi yeniden ortaya çıktı. Bilgi güvenliği uzmanları, Google Play'den 11 milyon kez indirilen ve aynı kötü amaçlı yazılım ailesi tarafından enfekte edilen iki yeni uygulama tespit etti. Reklam özelliklerini entegre etmek için kullanılan güvenli olmayan bir yazılım geliştirme kitinin bir kez daha suçlu olduğu anlaşılıyor.
İçindekiler
SDK Nedir?
Yazılım geliştirme kitleri veya SDK'lar, geliştiricilere rutin görevleri ele alarak uygulama oluşturma sürecini basitleştiren ve hızlandıran önceden oluşturulmuş çerçeveler sunar. Bu durumda, görünüşe göre reklam gösterimini desteklemek için tasarlanmış doğrulanmamış bir SDK modülü uygulamalara entegre edildi. Ancak, yüzeyin altında, tehlikeye atılmış sunucularla gizlice iletişim kurmak için gelişmiş yöntemler sağladı. Bu, uygulamaların kullanıcı verilerini yüklemesine ve herhangi bir zamanda yürütülebilen veya güncellenebilen zararlı kodu indirmesine izin verdi.
Necro Truva Atları Cihazlara Nasıl Bulaşır?
Her iki kampanyanın arkasındaki kötü amaçlı yazılım ailesi Necro olarak adlandırılır ve bu örnekte bazı varyantlar, mobil tehditlerde nadir görülen bir karartma yöntemi olan steganografi gibi gelişmiş teknikler kullanır. Bazı varyantlar ayrıca yükseltilmiş sistem ayrıcalıklarıyla çalışabilen sahte kod iletmek için karmaşık yöntemler kullanır. Bir cihaz enfekte olduğunda, saldırgan tarafından kontrol edilen bir Komuta ve Kontrol sunucusuyla iletişim kurar. Tehlikeye atılan cihaz ve sahte modülü barındıran uygulama hakkında ayrıntıları bildiren şifreli JSON verileri gönderir.
Sunucu daha sonra PNG görüntüsüne bir bağlantı ve görüntünün karma değerini içeren meta veri içeren bir JSON iletisiyle yanıt verir. Enfekte cihazdaki modül karmayı doğrularsa, görüntüyü indirmeye devam eder.
Araştırmacılar, SDK modülünün basit bir steganografik algoritma kullandığını açıkladı. MD5 denetimini geçtikten sonra, PNG dosyasının içeriklerini, özellikle ARGB kanallarından piksel değerlerini, standart Android araçlarını kullanarak çıkarıyor. getPixel yöntemi, en az önemli baytın görüntünün mavi kanalını içerdiği bir değeri alır ve kötü amaçlı yazılım işlemeye oradan başlar.
Necro Truva Atı Ciddi Sonuçlara Yol Açabilir
Kötü amaçlı yazılım tarafından yüklenen takip yükleri, her enfekte cihaz için özelleştirilebilen ve çeşitli eylemler gerçekleştirebilen sahte eklentileri indirir. Bu tür eklentilerden biri, kodun yükseltilmiş sistem ayrıcalıklarıyla yürütülmesine izin verir. Normalde, Android ayrıcalıklı süreçlerin WebView'u kullanmasını kısıtlar; Web sayfalarını uygulamalar içinde görüntülemek için bir bileşendir. Bu kısıtlamayı aşmak için Necro, WebView fabrikasının ayrı bir oluşumunu oluşturmak için yansıma saldırısı olarak bilinen bir teknik kullanır.
Ek olarak, bu eklenti WebView aracılığıyla görüntülenen bağlantıları değiştiren diğer dosyaları indirebilir ve çalıştırabilir. Yükseltilmiş sistem haklarıyla, bu yürütülebilir dosyalar ücretli abonelikler için onay kodları eklemek ve saldırgan tarafından kontrol edilen bağlantılardan kod indirmek ve çalıştırmak için URL'leri değiştirebilir. Araştırmacılar Necro analizleri sırasında beş ayrı yük belirlediler. Ek olarak, Necro'nun modüler yapısı kötü amaçlı yazılımın çalışması için çok sayıda yol sağlar.
Necro Truva Atı İki Uygulamada Bulundu
Araştırmacılar Necro'yu Google Play'deki iki uygulamada tespit etti. Bunlardan biri olan Wuta Camera, 10 milyon indirmeye ulaştı. Wuta Camera'nın 6.3.2.148'den 6.3.6.148'e kadar olan sürümleri enfeksiyonlardan sorumlu kötü amaçlı SDK'yi içeriyordu, ancak uygulama o zamandan beri zararlı bileşeni ortadan kaldırmak için güncellendi. Yaklaşık 1 milyon indirmeye sahip olan bir diğer uygulama olan Max Browser da tehlikeye atıldı; ancak artık Google Play'de mevcut değil.
Ayrıca araştırmacılar, Necro'nun alternatif pazar yerlerinde sunulan bir dizi Android uygulamasını etkilediğini keşfetti. Bu uygulamalar genellikle Spotify, Minecraft, WhatsApp, Stumble Guys, Car Parking Multiplayer ve Melon Sandbox gibi meşru uygulamaların değiştirilmiş sürümleri olarak sunulur.
