Son aylarda Apple, bilgisayar, özellikle de dizüstü bilgisayar dünyası için bir devrim niteliğinde olan ARM mimarili M1 işlemcisini ve ondan güç alan modellerini tanıtmıştı. Daha önce Apple dışında birkaç markanın ARM mimarili cihazlarını piyasaya sürse de, bu modeller performans olarak aynı fiyat bandındaki Intel ya da AMD modellere kıyasla bayağı zayıf kalıyordu. M1 ise rakiplerine kıyasla hem yüksek performans sağlıyor hem de soğuk kalmayı başarıyordu, hatta M1 işlemcili MacBook Air modellerin aktif soğutma yapan bir fanı bile yoktu. Ama görünen o ki zararlı yazılım, Apple geliştiricilerine ayak uydurmaya çalışıyor.
Bu zararlı yazılım nasıl bulundu?
Bu zararlı yazılım hem kurumsal hem de bireysel güvenlik çözümleri üreten Objective-See isimli şirketin kurucusu ve MacOS güvenlik araştırmacısı Patrick Wardle tarafından bulundu. Wardle, kendi zararlı yazılım bulma programları olan Lulu‘yu M1 işlemcili Mac modellerine uygun hale getirmeye çalışırken, tıpkı onun yaptığını, yani uygulama ve yazılımları M1 Maclerle uyumlu hale getirmeyi, zararlı yazılım geliştiricilerinin de yapacağını düşünüyor. Bundan sonra Patrick zararlı yazılım avına çıkmaya başlıyor. Bunun nasıl yapabileceğini sorgulayan Patrick cevabı hızlıca buluyor : Bu zararlı yazılım ARM64 kodunu içermek zorunda. Bunu teyit etmek için ise MacOS’un kendi dosya okuyucusunu (veya lipo-arch’leri) kullanmak yeterli. Tüm bunlardan sonra işe koyulan Patrick, zararlı yazılımı bulmak için VirusTotal isimli yazılımı kullanıyor. Burada yalnızca bize gerekli dosyaları bulmak için bazı tagler kullanılıyor.
- macho(dosya tipi): Bu dosyanın Mach-O (Apple) çalıştırılabilir olduğu
- arm(tag): ARM yazılımı barındırdığı
- 64 bits: Dosyanın 64 bit kod bulundurduğu
- multi-arch: Dosyanın her modelde çalışabilmesi
- signed: Dosyanın hazır imzalı olmaşı
*Not: Şu an tüm yazılımlar yeni Mac’ler ile yani ARM mimarisi ile uyumlu değil ve Rosetta 2 yardımıyla uyumlu hale getiriliyor. Yani Rosetta 2, x86-64 şeklinde olan kodları, ARM64’e geçirerek yeni cihazlarla uyumlu hale getiriyor ve bazen buglar olabiliyor. Bu yüzden geliştiriciler yavaş yavaş kodları ARM64’e geçirerek tam uyumluluğu sağlıyor.
Bu tagleri ilave ettikten sonra yazılım bize 255 tane dosya buluyor. ARM mimarisi iPad ve iPhonelarda da kullanıldığı için bu sonuçlar iOS için de yazılımlar barındırıyor. Onları da geçtikten sonra bizim aradığımıza yakın bir sonuç buluyoruz.
GoSearch22
Buradan da gördüğünüz üzere GoSearch22 bizim aradığımız tüm özellikleri bulunduruyor. Ama daha öncede bahsettiğimiz gibi bu ARM64 hem iOS hem de MacOS ile uyumlu olduğu için biz bu yazılımın yalnızca Mac için olduğundan emin olmalıyız. Bunun için Patrick yazılımın İnfo.plist dosyasını inceliyor ve ortaya bu kodlar çıkıyor.
Buradan da biz bu yazılımın hakikaten de Mac için olduğu kanaatine varıyoruz. Patrick özellikle de CFBundleSupportedPlatforms’ın Mac’e özel olduğunu belirtiyor.
GoSearch22 nedir, ne işe yarar?
Araştırmaya devam eden Patrick, GoSearch22’nin ongsheng Yanisimli bir Apple geliştirci IDsi ile kayıt olunduğunu lakin sertifikasının iptal edildiğini öğreniyor. VirusTotal’de biraz daha inceleme yapan Patrick, GoSearch22.app’in başka bir zararlı reklam yazılımı olan Pirrit’in bir örneği olduğunu görüyor.
Pirrit zararlı bir reklam yazılımı ve görünen o ki, GoSearch22.app, cihazınız açıldığında otomatik çalışmaya başlayan ve Safari’ye zararlı eklenti ekleyen bir yazılım.
Peki endişelenmeli miyiz?
Apple, yazılımın sertifikasını iptal etse de kodun onaylanıp onaylanmadığını bilmiyoruz. Her iki durumda bu zararlı yazılım bir kullanıcı tarafından kullanım sırasında Objective-See’nin araçlarıyla bulunmuş ve onaylansa da, onaylanmasada yazılım Mac kullanıcılarına bulaşmış. Bu yazılımın 27 Aralık’tan yani, M1 işlemcili Mac’ler tanıtıldıktan sadece birkaç hafta sonra hazır olduğu biliniyor. Son olanlara bakarsak, zararlı yazılımların yeni donanımlara nasıl hızlı ayak uydurabileceğini görüyoruz ve üzelerek söylemek isterim ki, hali hazırda bulunan antivirüs ve diğer güvenlik araçları ARM64 tipli kodları bulmakta ve onlarla baş etmekte zorluk çekebilir, diye Patrick ilave ediyor.
Kaynak:https://9to5mac.com/2021/02/17/first-apple-silicon-optimized-malware/
Daha Fazla Bilgi İçin: Benzer Konulardaki Diğer Yazılar
