Sahte Tarayıcı Güncellemeleri İle Yayılan Zararlı Yazılım: Brokewell

Siber Güvenlik dünyasında en çok okunan ve en çok etkileşime sahip olan The Hacker News blog sayfası, Nisan ayının son haftasında, daha önce belgelenmemiş ve hiçbir güvenlik firmasının zararlı yazılım veritabanında yerini almamış bir zararlı yazılım olan ‘Brokewell’ hakkında makale yazısı paylaşımında bulunmuştu. The Hacker News‘in iddiasına göre bu Brokewell yazılımı, Google Chrome’un sahte tarayıcı güncellemeleri üzerinden Android tabanlı işletim sistemlerini hedef alıyor ve hedef aldığı sistemler üzerinden veri toplama, yetki elde etme, çağrı gönderme, SMS atma vb. gibi aksiyonlarda bulunuyordu. Brokewell tam olarak nasıl bir yazılımdı? Brokewell yazılımının bu tarz hareketlerini keşfeden güvenlik şirketi kimdi? Gelin bir göz atalım.[1][2]

Hollanda’da aktif bir şekilde çalışan Bilgisayar Güvenliği Hizmeti veren ThreatFabric, Brokewell yazılımı ile ilgili bir incelemede bulunmuştu. Brokewell yazılımı aslında Android tabanlı işletim sistemlerine bulaşan ve sistem üzerinde veri toplanmasını sağlayan, arama gönderme, SMS atma, ses kaydetme, ekran görüntüsü alma, arama kayıtlarını alma, cihaz konumuna erişme, yüklü uygulamaları listeleme, kurbanın bankacılık uygulamalarını hedef alma, kurbanın yetkisi dışında bankalar arası para transferi sağlamaya çalışma gibi gibi özelliklere sahip olan bir Banking Trojan yani Bankacılık Truva Atı Kötü Amaçlı Yazılımıdır.[3][4]

Brokewell zararlı yazılımı’nın bu saymış olduğum diğer özelliklerinin yanı sıra kurbanın açmış olduğu mobil uygulamalar veya kurbanın yazmış olduğu metinsel ifadeler üzerinden zararlı aksiyonlar oluşturabilecek komutlar türetebiliyor. Bu durum Brokewell gibi bir zararlı yazılımın diğer zararlı yazılımlar karşısında ne kadar tehlikeli olabileceğinin bir diğer göstergesi. Daha detaylı bilgilere erişmek istiyorsanız [2] numaralı kaynak üzerinden ulaşabilirsiniz.

Google Chrome, ID Austria, Klarna gibi görünen Brokewell yazılımının imza listesi aşağıdaki gibidir:
jcwAz.EpLIq.vcAZiUGZpK (Google Chrome)
zRFxj.ieubP.lWZzwlluca (ID Austria)
com.brkwl.uptracking (Klarna)

Bazı iddialar Baron Samedit Marais isimli bir yazılım geliştiricinin bu yazılımı geliştirdiğini ve “Brokewell Android Yükleyici” isimli bir yükleme projesini de geliştirdiğini dile getirmektedir. Hatta bu yazılım için bir proje ekibi oluşturulduğunu, kendilerine de “Brokewell Cyber Labs” ismi verdikleri ve bu ekibin başında da Baron Samedit Marais’in bulunduğu bir diğer iddialar arasındadır.[5]

Soldaki orjinal Google Chrome sayfasının tarayıcı yükleme ve güncelleme sayfası iken sağdaki ise Google Chrome adına açılan sahte bir yükleyici ve güncellleme sayfası. Kurban sağdaki sayfada ‘Update Chrome’ yani ‘Chrome’u Güncelle’ isimli butona tıkladığı zaman, Brokewell yazılımı kurbanın telefonuna kurulmaya başlıyor. Uygulama kurulduktan sonra kurban uygulamayı çalıştırıyor. Uygulama bir sonraki işlemine devam etmeden önce kullanıcıdan telefonun rehber, konum, telefon bilgileri ve diğer önemli verilerin paylaşımı için erişim izni istiyor. Kurban erişim iznini verdikten sonra Brokewell zararlı yazılımı kendisini arkaplana atarak kurulmuş olduğu Android telefon ve bankacılık uygulamaları hakkında veri toplamaya ve topladıkları verileri saldırgana paylaşmaya başlıyor. Saldırgan elde ettiği verilerle yapmak istediği hareketleri gerçekleştiriyor ve kurbanı mağdur durumuna düşürüyor. Bu tarz zararlı yazılımların artık bankacılık uygulamalarını hedefi kapsamı altına alabilecek kadar olması, Truva Atları’nın özellikle son dönemde ne kadar geliştiğinin bir diğer göstergesidir. Bunun için [4] numaralı kaynaktan daha fazla bilgi alabilirsiniz.

Ufak Bir Güncelleme: Bir Google yetkilisi, Brokewell zararlı yazılımı hakkında bazı açıklamalarda bulundu. Yapmış olduğu bu açıklamalar: “Android kullanıcıları, bu kötü amaçlı yazılımın bilinen sürümlerine karşı, Google Play Hizmetlerine sahip Android cihazlarda varsayılan olarak etkin olan Google Play Koruma tarafından otomatik olarak korunmaktadır. Google Play Koruma, kullanıcıları uyarabilir veya kötü amaçlı davranışlar sergilediği bilinen uygulamaları, bu uygulamalar cihaza yüklendiğinde bile engelleyebilir.” ifadelerini kullandı. Bunun için [2] numaralı kaynağa göz atarak daha fazla bilgi sahibi olabilirsiniz.

Önemli Not: Brokewell ve Brokewell benzeri zararlı yazılımlar, piyasada yeni ve henüz keşfedilmemiş yazılımlar olduğundan dolayı, bu konu hakkında araştırma yapmak isteyen Siber Güvenlikçi arkadaşlarımın titizlikle yaklaşmaları önem ile rica olunur. Güvenlik ve ekonomi sektöründe, ekonomik olarak insanları en büyük zarara uğratacak yazılımların da Banking Trojan Malware yani Bankacılık Truva Atı Zararlı Yazılımları olacağı hiç şüphesiz. Keyifli ve güvenlikli günler dilerim.

Kaynaklar
[1] https://thehackernews.com
[2] https://thehackernews.com/2024/04/new-brokewell-android-malware-spread.html
[3] https://threatfabric.com
[4] https://www.threatfabric.com/blogs/brokewell-do-not-go-broke-by-new-banking-malware
[5] https://www.linkedin.com/posts/bizserveit_cyberthreats-malware-brokewell-activity-7190610339628027905-Z49H/