Etiket arşivi: kitaplık dosyası

Android uygulamalarındaki kitaplık dosyaları tehlikenin önyüzü mü?

Hepimizin bildiği gibi bilgisayarlarımız kadar telefonlarımız ve diğer mobil cihazlar da artık açık hedef konumunda. Peki mobil cihazlarımıza indirdiğimiz her uygulama güvenli mi? Yanıtınız evet ise bunu bir kere daha düşünmenizi öneririz.

Geçtiğimiz günlerde zararlı kitaplık dosyaları içeren ve devreye girdiği zaman etkilediği cihazı belirli bir komut-kontrol sunucusuna bağlanan bir zombi cihaza dönüştüren yeni Android uygulamalarını (ANDROIDOS_BOTPANDA.A) ortaya çıkardık. Bu dosyanın dikkat çeken bir yanı da dinamik kitaplıkta saklanması ve bu nedenle kolayca analiz edilememesi.

Uygulamada bulunan zararlı libvadgo kitaplık dosyası, NDK ile geliştirilmiş ve Java Native arayüzü kullanılarak yüklenmiş. NDK Android geliştirici, adayları tarafından uygulama geliştirmede kullanılan bir araç seti. Zararlı yazılım, file com.airpuh.ad/UpdateCheck dosyasını içeriyor. Bu dosya, libvadgo kitaplığını yüklüyor ve aşağıdaki kodu kullanarak Java_com_airpuh_ad_UpdateCheck_dataInit fonksiyonunu devreye alıyor:

İncelememize göre Java_com_airpuh_ad_UpdateCheck_DataInit’in dikkat çeken yönlerinden biri /system/xbin/su dosyasını kontrol ederek etkilenen bir cihaza yerleşilip yerleşilmediğini kontrol ediyor. Eğer öyleyse dosya tarafında /system/xbin/su ve /system/xbin/su içinde yer alan aşağıdaki komut devreye alınıyor:

Java_com_airpuh_ad_UpdateCheck_DataInit aynı zamanda birkaç dakika sonra kaldırılacak olan .e[int_a]d dosyasını çalıştırıyor. Bu dosyanın yaptığı ilk iş ise /system/lib/libd1.so’nun varlığını kontrol etmek, dosyaların yerlerini değiştirmek ve system/xbin/ altında yakalanmadan barınmak için önemli sistem komutlarını kontrol altına almak. Bunu ise system/xbin/ altında eşdeğer dosyalara yaratarak yapıyor. Üretilen bütün dosyalar, system/lib/lib1.so’nun sureti (duplication). Aynı zamanda system/bin/svc’yi modifiye ediyor ki bu sayede zararlı yazılım otomatik olarak devreye giriyor.

.e[int_a]d dosyası zararlı yazılımın ana işlevi olan C&C sunucularıyla iletişim görevini gerçekleştiriyor. Araştırmalarımız sırasında bu sunucuların halihazırda bir şekilde kapalı olduğunu gördük. Bu nedenle etkilenen cihazlarda ne tür bir komut işlendiğini doğrulayamıyoruz.

Daha önce belirttiğimiz gibi bu tehdidi dikkate değer yapan şey, ANDROIDOS_BOTPANDA.A’nın dinamik kitaplık libvadgo.so’yu kullanması. Bu tip zararlı yazılımlar bu dosya arkasına saklanarak ve bu sayede bulunması zor hale gelerek çalışırlar. Bu tip tehditler aynı zamanda belirli süreçleri ortadan kaldırır, önemli sistem komutlarını yakalar ve dosyaların yerlerini değiştirerek saptama-kaldırma çözümlerini zorlaştırır.

Eğer gelecekte daha fazla Android bazlı zararlı yazılım bu tekniği kullanırsa, güvenlik uzmanları için bu tehditleri analiz etmenin ve onlara karşı çözüm üretmenin çok daha zor hale geleceğine eminiz.

Bu zararlı yazılımın üçüncü parti uygulama mağazalarından geldiğini söyleyebiliriz. ANDROIDOS_BOTPANDA.A nedeniyle kullanıcılara, özellikle üçüncü parti uygulama mağazalarından, uygulama indirirken çok dikkatli olmalarını öneriyoruz.

Cihazınızın bu tehditten etkilendiğinden şüpheleniyorsanız; uygulama dosyalarını kontrol edebilirsiniz. Sistemde system/lib klasör kısa yolunu ve libd1.so dosyasını aratın. Aynı zamanda klasör kısa yollarında scv dosyası /system/bin’e bakabilirsiniz ve cihazınızın durumunu anlamak için bu dosyanın /system/bin/ifconfig satırını içerip içermediğini kontrol edebilirsiniz.