Cerberus

2019’un Haziran ayında ThreatFabric şirketinin zararlı yazılım analistleri tarafından internetin yeraltı dünyası forumlarında (underground forum) Cerberus adı verilen ve karaborsada satılan bir Android zararlı yazılımı bulundu. Zararlı yazılımın sahipleri tarafından da doğrulandığı üzere, son 2 senedir özel işlemler için kullanılan zararlı yazılımın kaynak kodu orijinal olarak yazılmış olup diğer trojan (truva atı yazılım) yazılımlardan herhangi bir alıntı yapılmadığı tespit edilmiştir. Bilinen diğer banka trojan’ları genellikle kaynak kodu ifşa edimiş olan “Anubis” gibi var olan zararlı yazılımların kodlarından alıntı yaparken, Cerberus kaynak kodunun bilinen zararlı yazılımların herhangi birinden alıntı yapılmadığı doğrulanmıştır.

Kodun yazarı grubun ayrıca ilgili saldırı videoları ile diğer içerikleri paylaştıkları ve zararlı yazılımın güncel tüm anti-virüs kontrollerini atlattığını gösteren paylaşımlar yaptığı Twitter hesapları da bulunmaktadır. Grubun attığı tweet’lerde yazılımın yıllar süren çalışmalarla yazıldığı, belli obfuscation (karmaşıklaştırma) işlemlerinden geçirildiği için tespit edilemediği ve zararlı yazılımı satın almak isteyenlerin yazılımın yazarları ile birebir irtibata geçmesi gerektiğini belirten ifadeler de bulunmaktadır. İlgili grubun Twitter hesabı için link aşağıda verilmiştir: https://twitter.com/androidcerberus

Cerberus’un Zararlı Yazılım Piyasasındaki Popülerliği

Geçmiş yıllarda internetin yeraltı dünyasında (underground) kullanılan “Anubis 2” ve “RedAlert 2” trojanlarının satımı durdurulduğundan, Cerberus’un ilgili piyasada satışı kolaylaşmış ve oldukça hız kazanmıştır.

Bankacılık sektörünü hedef alan zararlı yazılımlar, son yıllarda mobil bankacılığı hedef almaya başladı. Yeni zararlı yazılımların keşfi ve ilgili kaynak kodların yazarları olan aktörlerin yakalanıp tutuklanması ile yeni aktörlerin ortaya çıkması ve sirkülasyonun sık olması zararlı yazılım piyasasında kaçınılmaz hale geldi.

Aşağıdaki grafikte de görülebileceği gibi son yıllarda çıkan zararlı yazılımların ömrü 1 ila 2 yıl arasında değişmektedir. Bu da göstermektedir ki bu sektörde zararlı yazılıma olan ihtiyaç sürekli aktif olup Cerberus’un varlığı günümüzde bu ihtiyacı karşılamaktadır.


Android Malware’lerinin Yıllara Göre Popülerliği

Son yıllarda “Red Alert” zararlı yazılımı piyasadan çekildikten sonra “Anubis” zararlı yazılımı için büyük miktarda talep oluştu. Ardından “Anubis” zararlı yazılım yaratıcılarının tutuklanması ile bankacılık Android zararlı yazılım piyasasında “Cerberus” büyük rağbet gördü. Özellikle Fraud (sahtecilik) yapmak isteyen kişiler ve gruplar için bu zararlı yazılım popülerlik kazanmıştır.

Cerberus Nasıl Çalışır?

Cerberus zararlı yazılımını anti-virüs sistemlerinin tespitinden kaçınmak (evasion) için kullanılan yöntem ise oldukça ilginç. Fikir olarak yazılımın yaratıcıları yöntemi şu şekilde açıklamaktadır:

Zararlı yazılım, bulaştığı cihazın ivmeölçer sensörünü kullanarak hedefin hareketlerini ölçmek için kullanan basit bir adım sayar gibi çalışır. Eğer zararlı yazılımın bulaştığı cihaz gerçek bir kişiye aitse, kişi hareket ettiğinde adım sayarın sayacı artacaktır. Trojan, adım sayısı belli bir sayıya ulaştığında bot’u etkinleştirirek bu basit önlem ile Trojan’ın dinamik analiz ortamlarında ve zararlı yazılım analistlerinin test cihazlarında tespit edilmesini önlemektedir.

Zararlı yazılım cihazda ilk aktive olduğunda uygulama ikonunu gizler ve ardından kullanıcıdan aşağıdaki gibi yetki için talepte bulunur:


Kullanıcıdan Yetki Talebi

Kullanıcı, uygulamaya bu izni verdikten sonra, zararlı yazılım cihaz üzerinde alabileceği diğer aksiyonlar için (mesajlara erişmek, telefon görüşmeleri yapmak) kullanıcıya bir daha sormadan kendine yetki yaratır. Google’ın halihazırda cihazda yüklü olan anti-virüs yazılımını de-aktive ederek gelecekte kendisine yapabileceği engellemeleri de önlemiş olur. Kendine yeni yetkiler tanımladıktan ve cihaz üzerinde varlığının devamlılığını sağladıktan sonra, Cerberus bulaştığı cihazı botnete kaydeder ve C2 sunucudan gelecek komutları bekler.

Desteklenen komutlardan bazıları aşağıda verilmiştir:

push Anlık bildirimi göster
startApp Belli bir uygulamayı başlat
getInstallApps Cihazda yüklü uygulama listesini al
getContacts Cihazda var olan kişiler ve telefon numaralarını al
deleteApplication Belli uygulamayı sil
forwardCall Belli numaraya çağrı yönlendir
sendSms Cihazda belli bir numaraya SMS gönder
startInject İlgili uygulamada overlay saldırsını tetikle
startUssd Belli USSD kodu çağır
openUrl WebView’de belli web sayfasını aç
getSMS Cihazdaki tüm SMS’leri al
killMe Bot için “kill switch’i tetikle
updateModule Payload modülü güncelle

Cerberus’un Özellikleri

Cerberus orijinal bir yazılıma sahip olup birçok zararlı yazılımda olan; SMS’leri okumak, uygulamaları başlatmak, kişi listesine ulaşmak gibi fonksiyonlara sahiptir ve klavye hareketlerini izlemek gibi saldırıları da desteklemektedir. Ancak bazı ileri seviye zararlı yazılımlarda bulunan uzak bağlantı sağlamak, ekran paylaşımı yapmak gibi fonksiyonları desteklememektedir.

Genel olarak Cerberus’un desteklediği özellikler aşağıda listelenmiştir:

  • Overlaying: Dinamik (C2’den elde edilen yerel enjeksiyonlar)
  • Tuş hareketlerini kaydetme
  • SMS toplama: SMS listesi
  • SMS toplama: SMS yönlendirme
  • Cihaz bilgisi toplama
  • Kişi listesi
  • Uygulama listesi
  • Konum listesi
  • Overlaying: Hedef listesinin güncellenmesi
  • SMS: Gönderme
  • Aramalar: USSD istek verme
  • Aramalar: Çağrı yönlendirme
  • Uzaktan yapılan işlemler: Uygulama yükleme
  • Uzaktan yapılan işlemler: Uygulama başlangıcı
  • Uzaktan yapılan işlemler: Uygulama kaldırma
  • Uzaktan yapılan işlemler: İsteğe bağlı web sayfalarını gösterme
  • Uzaktan yapılan işlemler: Ekran kilitleme
  • Bildirimler: Anlık bildirimler
  • C2 Dirençliliği: Auxiliary C2 listesi
  • Kendini koruma: Uygulama simgesini gizleme
  • Kendini koruma: Uygulamanın kaldırılmasını önleme
  • Kendini koruma: Emülasyon tespiti
  • Mimari: Modüler

Overlay saldırısı

Birçok bankacılık zararlı yazılımı, kullanıcıların kredi kartı, bankacılık şifreleri, parolalar gibi kişisel bilgilerini paylaşması için Overlay saldırılarını destekler. Cerberus da bu saldırıları destekleyerek, oltalama saldırıları ile kullanıcıların kişisel bilgilerini çalmak için kullanılmaktadır. Bu oltalama saldırı çeşitlerine ait örnek ekran görüntüleri aşağıda verilmiştir:

 Kullanıcı Parolalarını Çalmaya Yönelik Saldırılar

Kredi Kartı Bilgilerini Çalmaya Yönelik Saldırılar

Şimdiye kadar Cerberus’un hedefindeki Android uygulamaların sayısal listesi aşağıda verilmiştir:

  • 7 Fransız bankacılık uygulaması
  • 7 Amerikan bankacılık uygulaması
  • 1 Japon bankacılık uygulaması
  • 15 diğer uygulama

Sonuç 

Zararlı yazılım piyasasında yeni bir yazılıma duyulan ihtiyaç, güncel anti-virüs yazılımlarına yakalanmaması, uzak bağlantı gibi kompleks atakları desteklememesine rağmen Cerberus’un fazlaca tercih edilmesine sebep olmaktadır. Tüm bu şartlar göz önüne alındığında Cerberus tehdidi hafife alınmamalıdır.

Referans:

https://www.threatfabric.com/blogs/cerberus-a-new-banking-trojan-from-the-underworld.html

Yazar: Büşra Demir