PromptSpy Android Yapay Zeka RAT - Dosya Analizi

[voidsec.exe]

Herkese selamlar.

Bu konumuzda, yapay zeka tarafından oluşturulduğu belirtilen PromptSpy adlı zararlı yazılımın kullanıldığı RAT dosyasını inceleyip analiz edeceğiz. Önceki analizimiz gibi dosyanın analizini adım adım yapacağız. Şimdiden iyi okumalar.

TurkHackTeam - Blue Team sunar..



İncelenen APK üzerinde yapılan statik analizde, doğrudan bir yapay zeka (AI/LLM) entegrasyonuna dair teknik bir bulgu tespit edilmemiştir. Ancak bu durum, kampanyada hiçbir şekilde yapay zeka kullanılmadığı anlamına gelmez. “AI destekli” bir yapıda, büyük olasılıkla:​

• C2 (komuta kontrol) paneli tarafında,​
• Operatöre karar desteği sağlayan backend sisteminde,​
• Otomatik komut üretim mekanizmasında​

konumlandırılmış olması daha mantıklıdır. Burada yapay zekanın "sunucu" tarafında konumlandırılmış olabileceğini göstermektedir. Şimdi dosyamızın analizini yapalım.
​

---

Dosya Profili ve Uygulama Kimliği:​

• Dosya Türü: Android APK​
• Boyut: Yaklaşık 8.6 MB​
• Package Adı: net.ustexas.myavlive​
• Ana Aktivite: net.ustexas.myavlive.MainActivity​
• İmzalama: Self-signed sertifika​

Package adı, meşru bir medya veya servis uygulaması izlenimi verecek şekilde tasarlanmıştır. Bu tip isimlendirme sosyal mühendislik amacı taşır ve kullanıcı şüphesini azaltmayı hedefler.
​

---

Sertifika ve İmzalama Analizi:

Sertifika bilgilerine göz attığımızda:​

• CN: myavlive​
• O: myavlive​
• L: America​
• ST: Texas​

Sertifika self-signed’dır. Resmi bir uygulama mağazası geliştirici sertifikasına ait değildir. Bu durum uygulamanın mağaza dışı dağıtıldığını ve kampanya özelinde imzalandığını göstermektedir.​

---

Güvenlik Motoru Sınıflandırması:

VirusTotal üzerindeki birçok güvenlik motoru örneği şu kategorilerde işaretlemiştir:​

• Trojan.Android.VNCSpy​
• Backdoor.Android​
• AndroidOS/SpyAgent​
• HEUR:Backdoor.Android​

“VNCSpy” ifadesi özellikle dikkat çekicidir. VNC (Virtual Network Computing), bir cihazın ekranını uzaktan görmeye ve kontrol etmeye yarayan bir teknolojidir. Bu sınıflandırma, örneğin sıradan bir veri toplayıcı değil, uzaktan kontrol yeteneğine sahip bir RAT (Remote Access Trojan) olduğunu göstermektedir.
​

---

İzinler ve Kritik Davranışlar:

Accessibility Service Kullanımı





Manifest dosyasında Accessibility Service tanımı bulunmaktadır. Accessibility servisi normalde erişilebilirlik amaçlıdır. Ancak kötüye kullanıldığında:​

• Ekran içeriğini okuyabilir​
• Kullanıcı adına butonlara basabilir​
• Uygulamalar arası geçiş yapabilir​
• Bankacılık ve finans uygulamalarında işlem tetikleyebilir​

Bu teknik, mobil zararlılarda en riskli yöntemlerden biridir.


MediaProjection ile Ekran Kaydı





Zararlı MediaProjection API kullanmaktadır. Bu API Android’de ekran yakalama ve kayıt için kullanılır. Bu durum şu yetenekleri sağlar:​

• Ekranı kaydetme​
• Canlı ekran görüntüsü alma​
• Kullanıcı etkileşimlerini izleme​

Accessibility ile birlikte kullanıldığında hem görsel izleme hem de aktif kontrol mümkün hale gelir.


VNC Kütüphanesi

Dosya içinde şu kütüphane vardır: libdroidvnc-ng.so





Bu Android için VNC implementasyonudur. Bu kütüphane, cihazın uzaktan canlı olarak kontrol edilebildiğini göstermektedir. Yani zararlı yalnızca veri toplamakla kalmaz, aktif operatör kontrolüne de imkan tanır.
​

---

Kalıcılık Mekanizmaları

Manifest içinde aşağıdaki bileşenler yer almaktadır:​

• BOOT_COMPLETED​
• DEVICE_ADMIN_ENABLED​

BOOT_COMPLETED, cihaz yeniden başlatıldığında uygulamanın tekrar çalışmasını sağlar. DEVICE_ADMIN yetkisi ise uygulamanın silinmesini zorlaştırır ve sistem seviyesinde bazı ayarları değiştirebilmesine imkan verir. Bu iki mekanizma birlikte değerlendirildiğinde zararlının kalıcı olacak şekilde tasarlandığı görülmektedir.
​

---

Ağ Davranışı ve Bağlantılar

Contacted URL





Bu servis IP adresi ve lokasyon bilgisi döndürür. Zararlı, bu servisi kullanarak:​

• Kurbanın IP adresini​
• Coğrafi konumunu​
• ISP bilgisini​

öğrenmektedir. Bu aşama keşif (reconnaissance) evresidir.


Contacted Domain





ipinfo.io
Bu domain meşru bir IP lokasyon servisidir ancak zararlı tarafından bilgi toplama amacıyla kullanılmaktadır.


Contacted IP Adresleri

VirusTotal ilişkileri incelendiğinde aşağıdaki IP aralıkları görülmüştür:​

• 34.117.x.x (Google Cloud)​
• 172.67.x.x (Cloudflare)​
• 104.21.x.x (Cloudflare)​

Bu IP’ler CDN ve cloud altyapısına aittir. Statik analizde sabit bir C2 IP adresi görülmemektedir. İletişimin HTTPS üzerinden gerçekleştirildiği ve altyapının CDN arkasında gizlenmiş olabileceği anlaşılmaktadır.
​

---

Diamond Modelleme

Diamond Model dört temel bileşenden oluşur: saldırgan, yetenek, altyapı ve mağdur.
​

Adversary (Saldırgan)​

Android RAT üretim altyapısına sahip bir aktör. Self-signed sertifika kullanımı ve VNC tabanlı kontrol mimarisi, kampanya odaklı ve bilinçli geliştirme yapıldığını gösteriyor. Bu sıradan bir script kiddie üretimi değil. mobil RAT mantığı bilen bir yapı.

​

Capability (Yetenek)​

Zararlının sahip olduğu teknik kabiliyetler:​

• Accessibility suistimali ile kullanıcı etkileşimini taklit etme​
• MediaProjection ile ekran kaydı alma​
• VNC kütüphanesi ile uzaktan tam kontrol​
• Device Admin ile silinmeyi zorlaştırma​
• BOOT_COMPLETED ile kalıcılık​
• IP/lokasyon bilgisi toplama​

Bu kombinasyon, pasif veri hırsızlığından ziyade aktif uzaktan kontrol senaryosuna işaret eder.

​

Infrastructure (Altyapı)​

• HTTPS üzerinden iletişim​
• ipinfo.io ile lokasyon sorgusu​
• Cloudflare / Google Cloud altyapısı üzerinden trafik​

Sabit bir C2 IP görünmemesi, altyapının dinamik veya CDN arkasında gizlenmiş olabileceğini düşündürüyor. Trafik meşru servisler arasına karışacak şekilde tasarlanmış.

​

Victim (Mağdur)​

Android kullanıcıları. Özellikle:​

• Finans ve bankacılık uygulaması kullananlar​
• Cihazında Accessibility izni veren kullanıcılar​
• Mağaza dışı APK yükleyen kullanıcılar​

Risk seviyesi, sıradan reklam zararlılarından daha yüksek.
​

---

MITRE ATT&CK Eşleşmeleri

T1629 – Accessibility Features
Erişilebilirlik servisinin kötüye kullanılması.
- APK içinde Accessibility Service tanımı mevcut.

T1630 – Screen Capture
Ekran görüntüsü / ekran kaydı alma.
- MediaProjection kullanımı tespit edildi.

T1624 – Device Administrator Permissions
Cihaz yöneticisi yetkisi ile kontrol artırma.
- DEVICE_ADMIN_ENABLED bileşeni bulunuyor.

T1603 – Persistence
Cihaz yeniden başlatıldığında çalışmaya devam etme.
- BOOT_COMPLETED receiver mevcut.

T1611 – Application Layer Protocol
HTTP/HTTPS üzerinden iletişim.
- HTTPS ile ipinfo.io bağlantısı var.

T1641 – Remote Services
Uzaktan kontrol/erişim mekanizması kullanımı.
- libdroidvnc-ng.so (VNC kütüphanesi) içeriyor.
​

---

Özet Tablo​

Dosya Türü: Android APK

SHA256: 11f5c91d24c9d1eee16dacacfb9160e299544c1a854af92f79daf88364cea0b6

Package Adı: net.ustexas.myavlive

Sertifika (CN): myavlive (Self-signed)

İlişkili Alan Adı (Contacted Domain): ipinfo.io

İlişkili URL: https://ipinfo.io/json

Bağlantı Kurulan Altyapı IP’leri: Google Cloud / Cloudflare / Fastly CDN aralıkları

Kullanılan Kritik Bileşenler:
Accessibility Service
MediaProjection (Screen Capture)
libdroidvnc-ng.so (VNC Library)
Device Admin
BOOT_COMPLETED

Tespit Edilen Malware Ailesi (AV Sınıflandırması):
Trojan.Android.VNCSpy
AndroidOS/SpyAgent
Backdoor.Android

Malware Türü: Android Remote Access Trojan (VNC tabanlı)

VirusTotal Linki: PromptSyp


​

 

[xNewt]

Elinize sağlık hocam

 

[an0un]

Ellerine emeklerine sağlıkk

 

[voidsec.exe]

Elinize sağlık hocam

Ellerine emeklerine sağlıkk

Çok teşekkür ederim güzel yorumlarınız için

 

[bunnypasha]

Ellerinize sağlık.

 

[u1ku1912]

Herkese selamlar.

Bu konumuzda, yapay zeka tarafından oluşturulduğu belirtilen PromptSpy adlı zararlı yazılımın kullanıldığı RAT dosyasını inceleyip analiz edeceğiz. Önceki analizimiz gibi dosyanın analizini adım adım yapacağız. Şimdiden iyi okumalar.

TurkHackTeam - Blue Team sunar..



İncelenen APK üzerinde yapılan statik analizde, doğrudan bir yapay zeka (AI/LLM) entegrasyonuna dair teknik bir bulgu tespit edilmemiştir. Ancak bu durum, kampanyada hiçbir şekilde yapay zeka kullanılmadığı anlamına gelmez. “AI destekli” bir yapıda, büyük olasılıkla:​

• C2 (komuta kontrol) paneli tarafında,​
• Operatöre karar desteği sağlayan backend sisteminde,​
• Otomatik komut üretim mekanizmasında​

konumlandırılmış olması daha mantıklıdır. Burada yapay zekanın "sunucu" tarafında konumlandırılmış olabileceğini göstermektedir. Şimdi dosyamızın analizini yapalım.
​

---

Dosya Profili ve Uygulama Kimliği:​

• Dosya Türü: Android APK​
• Boyut: Yaklaşık 8.6 MB​
• Package Adı: net.ustexas.myavlive​
• Ana Aktivite: net.ustexas.myavlive.MainActivity​
• İmzalama: Self-signed sertifika​

Package adı, meşru bir medya veya servis uygulaması izlenimi verecek şekilde tasarlanmıştır. Bu tip isimlendirme sosyal mühendislik amacı taşır ve kullanıcı şüphesini azaltmayı hedefler.
​

---

Sertifika ve İmzalama Analizi:

Sertifika bilgilerine göz attığımızda:​

• CN: myavlive​
• O: myavlive​
• L: America​
• ST: Texas​

Sertifika self-signed’dır. Resmi bir uygulama mağazası geliştirici sertifikasına ait değildir. Bu durum uygulamanın mağaza dışı dağıtıldığını ve kampanya özelinde imzalandığını göstermektedir.​

---

Güvenlik Motoru Sınıflandırması:

VirusTotal üzerindeki birçok güvenlik motoru örneği şu kategorilerde işaretlemiştir:​

• Trojan.Android.VNCSpy​
• Backdoor.Android​
• AndroidOS/SpyAgent​
• HEUR:Backdoor.Android​

“VNCSpy” ifadesi özellikle dikkat çekicidir. VNC (Virtual Network Computing), bir cihazın ekranını uzaktan görmeye ve kontrol etmeye yarayan bir teknolojidir. Bu sınıflandırma, örneğin sıradan bir veri toplayıcı değil, uzaktan kontrol yeteneğine sahip bir RAT (Remote Access Trojan) olduğunu göstermektedir.
​

---

İzinler ve Kritik Davranışlar:

Accessibility Service Kullanımı





Manifest dosyasında Accessibility Service tanımı bulunmaktadır. Accessibility servisi normalde erişilebilirlik amaçlıdır. Ancak kötüye kullanıldığında:​

• Ekran içeriğini okuyabilir​
• Kullanıcı adına butonlara basabilir​
• Uygulamalar arası geçiş yapabilir​
• Bankacılık ve finans uygulamalarında işlem tetikleyebilir​

Bu teknik, mobil zararlılarda en riskli yöntemlerden biridir.


MediaProjection ile Ekran Kaydı





Zararlı MediaProjection API kullanmaktadır. Bu API Android’de ekran yakalama ve kayıt için kullanılır. Bu durum şu yetenekleri sağlar:​

• Ekranı kaydetme​
• Canlı ekran görüntüsü alma​
• Kullanıcı etkileşimlerini izleme​

Accessibility ile birlikte kullanıldığında hem görsel izleme hem de aktif kontrol mümkün hale gelir.


VNC Kütüphanesi

Dosya içinde şu kütüphane vardır: libdroidvnc-ng.so





Bu Android için VNC implementasyonudur. Bu kütüphane, cihazın uzaktan canlı olarak kontrol edilebildiğini göstermektedir. Yani zararlı yalnızca veri toplamakla kalmaz, aktif operatör kontrolüne de imkan tanır.
​

---

Kalıcılık Mekanizmaları

Manifest içinde aşağıdaki bileşenler yer almaktadır:​

• BOOT_COMPLETED​
• DEVICE_ADMIN_ENABLED​

BOOT_COMPLETED, cihaz yeniden başlatıldığında uygulamanın tekrar çalışmasını sağlar. DEVICE_ADMIN yetkisi ise uygulamanın silinmesini zorlaştırır ve sistem seviyesinde bazı ayarları değiştirebilmesine imkan verir. Bu iki mekanizma birlikte değerlendirildiğinde zararlının kalıcı olacak şekilde tasarlandığı görülmektedir.
​

---

Ağ Davranışı ve Bağlantılar

Contacted URL





Bu servis IP adresi ve lokasyon bilgisi döndürür. Zararlı, bu servisi kullanarak:​

• Kurbanın IP adresini​
• Coğrafi konumunu​
• ISP bilgisini​

öğrenmektedir. Bu aşama keşif (reconnaissance) evresidir.


Contacted Domain





ipinfo.io
Bu domain meşru bir IP lokasyon servisidir ancak zararlı tarafından bilgi toplama amacıyla kullanılmaktadır.


Contacted IP Adresleri

VirusTotal ilişkileri incelendiğinde aşağıdaki IP aralıkları görülmüştür:​

• 34.117.x.x (Google Cloud)​
• 172.67.x.x (Cloudflare)​
• 104.21.x.x (Cloudflare)​

Bu IP’ler CDN ve cloud altyapısına aittir. Statik analizde sabit bir C2 IP adresi görülmemektedir. İletişimin HTTPS üzerinden gerçekleştirildiği ve altyapının CDN arkasında gizlenmiş olabileceği anlaşılmaktadır.
​

---

Diamond Modelleme

Diamond Model dört temel bileşenden oluşur: saldırgan, yetenek, altyapı ve mağdur.
​

Adversary (Saldırgan)​

Android RAT üretim altyapısına sahip bir aktör. Self-signed sertifika kullanımı ve VNC tabanlı kontrol mimarisi, kampanya odaklı ve bilinçli geliştirme yapıldığını gösteriyor. Bu sıradan bir script kiddie üretimi değil. mobil RAT mantığı bilen bir yapı.

​

Capability (Yetenek)​

Zararlının sahip olduğu teknik kabiliyetler:​

• Accessibility suistimali ile kullanıcı etkileşimini taklit etme​
• MediaProjection ile ekran kaydı alma​
• VNC kütüphanesi ile uzaktan tam kontrol​
• Device Admin ile silinmeyi zorlaştırma​
• BOOT_COMPLETED ile kalıcılık​
• IP/lokasyon bilgisi toplama​

Bu kombinasyon, pasif veri hırsızlığından ziyade aktif uzaktan kontrol senaryosuna işaret eder.

​

Infrastructure (Altyapı)​

• HTTPS üzerinden iletişim​
• ipinfo.io ile lokasyon sorgusu​
• Cloudflare / Google Cloud altyapısı üzerinden trafik​

Sabit bir C2 IP görünmemesi, altyapının dinamik veya CDN arkasında gizlenmiş olabileceğini düşündürüyor. Trafik meşru servisler arasına karışacak şekilde tasarlanmış.

​

Victim (Mağdur)​

Android kullanıcıları. Özellikle:​

• Finans ve bankacılık uygulaması kullananlar​
• Cihazında Accessibility izni veren kullanıcılar​
• Mağaza dışı APK yükleyen kullanıcılar​

Risk seviyesi, sıradan reklam zararlılarından daha yüksek.
​

---

MITRE ATT&CK Eşleşmeleri

T1629 – Accessibility Features
Erişilebilirlik servisinin kötüye kullanılması.
- APK içinde Accessibility Service tanımı mevcut.

T1630 – Screen Capture
Ekran görüntüsü / ekran kaydı alma.
- MediaProjection kullanımı tespit edildi.

T1624 – Device Administrator Permissions
Cihaz yöneticisi yetkisi ile kontrol artırma.
- DEVICE_ADMIN_ENABLED bileşeni bulunuyor.

T1603 – Persistence
Cihaz yeniden başlatıldığında çalışmaya devam etme.
- BOOT_COMPLETED receiver mevcut.

T1611 – Application Layer Protocol
HTTP/HTTPS üzerinden iletişim.
- HTTPS ile ipinfo.io bağlantısı var.

T1641 – Remote Services
Uzaktan kontrol/erişim mekanizması kullanımı.
- libdroidvnc-ng.so (VNC kütüphanesi) içeriyor.
​

---

Özet Tablo​

Dosya Türü: Android APK

SHA256: 11f5c91d24c9d1eee16dacacfb9160e299544c1a854af92f79daf88364cea0b6

Package Adı: net.ustexas.myavlive

Sertifika (CN): myavlive (Self-signed)

İlişkili Alan Adı (Contacted Domain): ipinfo.io

İlişkili URL: https://ipinfo.io/json

Bağlantı Kurulan Altyapı IP’leri: Google Cloud / Cloudflare / Fastly CDN aralıkları

Kullanılan Kritik Bileşenler:
Accessibility Service
MediaProjection (Screen Capture)
libdroidvnc-ng.so (VNC Library)
Device Admin
BOOT_COMPLETED

Tespit Edilen Malware Ailesi (AV Sınıflandırması):
Trojan.Android.VNCSpy
AndroidOS/SpyAgent
Backdoor.Android

Malware Türü: Android Remote Access Trojan (VNC tabanlı)

VirusTotal Linki: PromptSyp


​

Eline emeğine sağlık üstad.

 

[voidsec.exe]

Ellerinize sağlık.

Çok teşekkür ederim güzel yorumun için

Eline emeğine sağlık üstad.

Çok teşekkür ederim üstadım

 

[veraildez]

Herkese selamlar.

Bu konumuzda, yapay zeka tarafından oluşturulduğu belirtilen PromptSpy adlı zararlı yazılımın kullanıldığı RAT dosyasını inceleyip analiz edeceğiz. Önceki analizimiz gibi dosyanın analizini adım adım yapacağız. Şimdiden iyi okumalar.

TurkHackTeam - Blue Team sunar..



İncelenen APK üzerinde yapılan statik analizde, doğrudan bir yapay zeka (AI/LLM) entegrasyonuna dair teknik bir bulgu tespit edilmemiştir. Ancak bu durum, kampanyada hiçbir şekilde yapay zeka kullanılmadığı anlamına gelmez. “AI destekli” bir yapıda, büyük olasılıkla:​

• C2 (komuta kontrol) paneli tarafında,​
• Operatöre karar desteği sağlayan backend sisteminde,​
• Otomatik komut üretim mekanizmasında​

konumlandırılmış olması daha mantıklıdır. Burada yapay zekanın "sunucu" tarafında konumlandırılmış olabileceğini göstermektedir. Şimdi dosyamızın analizini yapalım.
​

---

Dosya Profili ve Uygulama Kimliği:​

• Dosya Türü: Android APK​
• Boyut: Yaklaşık 8.6 MB​
• Package Adı: net.ustexas.myavlive​
• Ana Aktivite: net.ustexas.myavlive.MainActivity​
• İmzalama: Self-signed sertifika​

Package adı, meşru bir medya veya servis uygulaması izlenimi verecek şekilde tasarlanmıştır. Bu tip isimlendirme sosyal mühendislik amacı taşır ve kullanıcı şüphesini azaltmayı hedefler.
​

---

Sertifika ve İmzalama Analizi:

Sertifika bilgilerine göz attığımızda:​

• CN: myavlive​
• O: myavlive​
• L: America​
• ST: Texas​

Sertifika self-signed’dır. Resmi bir uygulama mağazası geliştirici sertifikasına ait değildir. Bu durum uygulamanın mağaza dışı dağıtıldığını ve kampanya özelinde imzalandığını göstermektedir.​

---

Güvenlik Motoru Sınıflandırması:

VirusTotal üzerindeki birçok güvenlik motoru örneği şu kategorilerde işaretlemiştir:​

• Trojan.Android.VNCSpy​
• Backdoor.Android​
• AndroidOS/SpyAgent​
• HEUR:Backdoor.Android​

“VNCSpy” ifadesi özellikle dikkat çekicidir. VNC (Virtual Network Computing), bir cihazın ekranını uzaktan görmeye ve kontrol etmeye yarayan bir teknolojidir. Bu sınıflandırma, örneğin sıradan bir veri toplayıcı değil, uzaktan kontrol yeteneğine sahip bir RAT (Remote Access Trojan) olduğunu göstermektedir.
​

---

İzinler ve Kritik Davranışlar:

Accessibility Service Kullanımı





Manifest dosyasında Accessibility Service tanımı bulunmaktadır. Accessibility servisi normalde erişilebilirlik amaçlıdır. Ancak kötüye kullanıldığında:​

• Ekran içeriğini okuyabilir​
• Kullanıcı adına butonlara basabilir​
• Uygulamalar arası geçiş yapabilir​
• Bankacılık ve finans uygulamalarında işlem tetikleyebilir​

Bu teknik, mobil zararlılarda en riskli yöntemlerden biridir.


MediaProjection ile Ekran Kaydı





Zararlı MediaProjection API kullanmaktadır. Bu API Android’de ekran yakalama ve kayıt için kullanılır. Bu durum şu yetenekleri sağlar:​

• Ekranı kaydetme​
• Canlı ekran görüntüsü alma​
• Kullanıcı etkileşimlerini izleme​

Accessibility ile birlikte kullanıldığında hem görsel izleme hem de aktif kontrol mümkün hale gelir.


VNC Kütüphanesi

Dosya içinde şu kütüphane vardır: libdroidvnc-ng.so





Bu Android için VNC implementasyonudur. Bu kütüphane, cihazın uzaktan canlı olarak kontrol edilebildiğini göstermektedir. Yani zararlı yalnızca veri toplamakla kalmaz, aktif operatör kontrolüne de imkan tanır.
​

---

Kalıcılık Mekanizmaları

Manifest içinde aşağıdaki bileşenler yer almaktadır:​

• BOOT_COMPLETED​
• DEVICE_ADMIN_ENABLED​

BOOT_COMPLETED, cihaz yeniden başlatıldığında uygulamanın tekrar çalışmasını sağlar. DEVICE_ADMIN yetkisi ise uygulamanın silinmesini zorlaştırır ve sistem seviyesinde bazı ayarları değiştirebilmesine imkan verir. Bu iki mekanizma birlikte değerlendirildiğinde zararlının kalıcı olacak şekilde tasarlandığı görülmektedir.
​

---

Ağ Davranışı ve Bağlantılar

Contacted URL





Bu servis IP adresi ve lokasyon bilgisi döndürür. Zararlı, bu servisi kullanarak:​

• Kurbanın IP adresini​
• Coğrafi konumunu​
• ISP bilgisini​

öğrenmektedir. Bu aşama keşif (reconnaissance) evresidir.


Contacted Domain





ipinfo.io
Bu domain meşru bir IP lokasyon servisidir ancak zararlı tarafından bilgi toplama amacıyla kullanılmaktadır.


Contacted IP Adresleri

VirusTotal ilişkileri incelendiğinde aşağıdaki IP aralıkları görülmüştür:​

• 34.117.x.x (Google Cloud)​
• 172.67.x.x (Cloudflare)​
• 104.21.x.x (Cloudflare)​

Bu IP’ler CDN ve cloud altyapısına aittir. Statik analizde sabit bir C2 IP adresi görülmemektedir. İletişimin HTTPS üzerinden gerçekleştirildiği ve altyapının CDN arkasında gizlenmiş olabileceği anlaşılmaktadır.
​

---

Diamond Modelleme

Diamond Model dört temel bileşenden oluşur: saldırgan, yetenek, altyapı ve mağdur.
​

Adversary (Saldırgan)​

Android RAT üretim altyapısına sahip bir aktör. Self-signed sertifika kullanımı ve VNC tabanlı kontrol mimarisi, kampanya odaklı ve bilinçli geliştirme yapıldığını gösteriyor. Bu sıradan bir script kiddie üretimi değil. mobil RAT mantığı bilen bir yapı.

​

Capability (Yetenek)​

Zararlının sahip olduğu teknik kabiliyetler:​

• Accessibility suistimali ile kullanıcı etkileşimini taklit etme​
• MediaProjection ile ekran kaydı alma​
• VNC kütüphanesi ile uzaktan tam kontrol​
• Device Admin ile silinmeyi zorlaştırma​
• BOOT_COMPLETED ile kalıcılık​
• IP/lokasyon bilgisi toplama​

Bu kombinasyon, pasif veri hırsızlığından ziyade aktif uzaktan kontrol senaryosuna işaret eder.

​

Infrastructure (Altyapı)​

• HTTPS üzerinden iletişim​
• ipinfo.io ile lokasyon sorgusu​
• Cloudflare / Google Cloud altyapısı üzerinden trafik​

Sabit bir C2 IP görünmemesi, altyapının dinamik veya CDN arkasında gizlenmiş olabileceğini düşündürüyor. Trafik meşru servisler arasına karışacak şekilde tasarlanmış.

​

Victim (Mağdur)​

Android kullanıcıları. Özellikle:​

• Finans ve bankacılık uygulaması kullananlar​
• Cihazında Accessibility izni veren kullanıcılar​
• Mağaza dışı APK yükleyen kullanıcılar​

Risk seviyesi, sıradan reklam zararlılarından daha yüksek.
​

---

MITRE ATT&CK Eşleşmeleri

T1629 – Accessibility Features
Erişilebilirlik servisinin kötüye kullanılması.
- APK içinde Accessibility Service tanımı mevcut.

T1630 – Screen Capture
Ekran görüntüsü / ekran kaydı alma.
- MediaProjection kullanımı tespit edildi.

T1624 – Device Administrator Permissions
Cihaz yöneticisi yetkisi ile kontrol artırma.
- DEVICE_ADMIN_ENABLED bileşeni bulunuyor.

T1603 – Persistence
Cihaz yeniden başlatıldığında çalışmaya devam etme.
- BOOT_COMPLETED receiver mevcut.

T1611 – Application Layer Protocol
HTTP/HTTPS üzerinden iletişim.
- HTTPS ile ipinfo.io bağlantısı var.

T1641 – Remote Services
Uzaktan kontrol/erişim mekanizması kullanımı.
- libdroidvnc-ng.so (VNC kütüphanesi) içeriyor.
​

---

Özet Tablo​

Dosya Türü: Android APK

SHA256: 11f5c91d24c9d1eee16dacacfb9160e299544c1a854af92f79daf88364cea0b6

Package Adı: net.ustexas.myavlive

Sertifika (CN): myavlive (Self-signed)

İlişkili Alan Adı (Contacted Domain): ipinfo.io

İlişkili URL: https://ipinfo.io/json

Bağlantı Kurulan Altyapı IP’leri: Google Cloud / Cloudflare / Fastly CDN aralıkları

Kullanılan Kritik Bileşenler:
Accessibility Service
MediaProjection (Screen Capture)
libdroidvnc-ng.so (VNC Library)
Device Admin
BOOT_COMPLETED

Tespit Edilen Malware Ailesi (AV Sınıflandırması):
Trojan.Android.VNCSpy
AndroidOS/SpyAgent
Backdoor.Android

Malware Türü: Android Remote Access Trojan (VNC tabanlı)

VirusTotal Linki: PromptSyp


​

Kitap gibi okudum eline sağlık

 

[voidsec.exe]

Kitap gibi okudum eline sağlık

Çok teşekkür ederim

 

[veraildez]

Çok teşekkür ederim

banami o güller

 

['Yafes]

Eline emeğine sağlık cok guzel bir konu olmuş.

 

[voidsec.exe]

banami o güller

Elbette

Eline emeğine sağlık cok guzel bir konu olmuş.

Çok teşekkür ederim güzel yorumun için

 

[Aydogan]

PromptSpy ve türevlerinin statik/dinamik analizdeki etkisini güzel açıklamışsın. Devamı gelmesi dileğimle, emeğine sağlık.

 

[voidsec.exe]

PromptSpy ve türevlerinin statik/dinamik analizdeki etkisini güzel açıklamışsın. Devamı gelmesi dileğimle, emeğine sağlık.

Çok teşekkür ederim hocam desteğiniz ve güzel yorumunuz için

 

[aga67]

anlamadigim sey c2 tarafinda ai kullanildigini nasil saptadiniz

elinize saglik bu arada

 

[voidsec.exe]

anlamadigim sey c2 tarafinda ai kullanildigini nasil saptadiniz

elinize saglik bu arada

Birçok threat intelligence kaynaklarında bu varyasyonun yapay zeka ile yazıldığı belirtilmiş. Bizzat araştırmasını yaptım. Ancak ben analiz sırasında herhangi bir API çağrısı veya başka bir ize rastlamadım. Zaten threat intelligence kaynaklarında yapay zekanın C2 sunucusunda kullanılma ihtimalinin olduğu belirtilmiş. Ben de bu kaynaklardan yola çıkarak bu sonuca vardım. Yoksa herhangi bir saptama durumu söz konusu değil. Değerli yorumunuz için teşekkür ederim.

İyi forumlar dilerim.

 

[aga67]

Birçok threat intelligence kaynaklarında bu varyasyonun yapay zeka ile yazıldığı belirtilmiş. Bizzat araştırmasını yaptım. Ancak ben analiz sırasında herhangi bir API çağrısı veya başka bir ize rastlamadım. Zaten threat intelligence kaynaklarında yapay zekanın C2 sunucusunda kullanılma ihtimalinin olduğu belirtilmiş. Ben de bu kaynaklardan yola çıkarak bu sonuca vardım. Yoksa herhangi bir saptama durumu söz konusu değil. Değerli yorumunuz için teşekkür ederim.

İyi forumlar dilerim.

bu raporda gemini api'i ile iletisime gectigini yazmislar PromptSpy ushers in the era of Android threats using GenAI

 

[voidsec.exe]

bu raporda gemini api'i ile iletisime gectigini yazmislar PromptSpy ushers in the era of Android threats using GenAI

Şimdi bizzat kontrol sağladım. Benim elde ettiğim hashler ile makaledeki hashler birebir tutuyor. Makalede, tersine mühendislik kullanılarak bir analiz gerçekleştirilmiş. Yani kodlar bizzat incelenmiş. Ancak ben burada sadece virustotal üzerinden analiz gerçekleştirdim. Zaten makaledeki hashlerin virustotal sonuçlarında da yapay zeka api bağlantıları bulunmamakta.

Aynı zamanda makaleyi incelediğimde tıpkı belirttiğim gibi yapay zekanın ayrı bir dosyada sunucu üzerinden çalıştığını gördüm. Yani bir api baglantısı var ancak direkt yapay zekaya API isteği atılmıyor.

İleriki konularda tersine mühendislik yapılarak incelemeler elbette gelir. Ancak tersine mühendislik olmadan sadece virustotal üzerinden analiz gerçekleştirildiği gerçeğini atlamamak gerekir. Yorumunuz için teşekkür ederim.

İyi forumlar dilerim.

 

[aga67]

Aynı zamanda makaleyi incelediğimde tıpkı belirttiğim gibi yapay zekanın ayrı bir dosyada sunucu üzerinden çalıştığını gördüm. Yani bir api baglantısı var ancak direkt yapay zekaya API isteği atılmıyor.

makalenin neresinde sunucu uzerinden bunlarin yapildigi yaziyor tam olarak. makalede trafigi intercept ettiklerine dair bir fotograf var, mesru google api'inin endpoint'ini gosteriyor. direkt uygulama icerisinden asil api'a istek atmislar

 

[By Fezag]

ellerine sağlık hocam