Bir İlk: Apple’ın M1 Çipine Yönelik Kötü Amaçlı Yazılım Geliştirildi

Mac’lerde uzun yıllardır Intel işlemciler kullanan Apple’ın kendi üretimi M1 çiplerine sahip MacBook Pro, Mac mini ve MacBook Air modelleri geçtiğimiz aylarda satışa sunulmuştu. Yeni M1 çipe uygun yüksek performans ve verimlilik sunmayı esas alan uygulama (veya yazılım) sayısında da artış kaydediliyordu. Son haberlere göre ‘iyi yazılımların’ yanı sıra karanlık tarafta da gelişmeler var; zira güvenlik uzmanları kötü amaçlı yazılım geliştiricilerin Apple’ın M1 sistemlerinde çalışacak yazılım geliştirdiği ortaya çıktı.

Güvenlik analizlerinde, GoSearch22 adlı bir Safari uzantısı incelendi. Intel x86 işlemcileri üzerinde çalışması için geliştirilen eklentinin, ARM tabanlı M1 işlemcilerine uyarlandığı ve Pirrit reklam konseptli kötü amaçlı yazılımının bir versiyonuna dönüştürüldüğü belirtildi. VirusTotal platformanuna 27 Aralık günü yüklenen bir numunenin analizlerine göre, kötü amaçlı yazılımın ilk izleri 23 Kasım 2020’de tespit edildi. Yani yazılım çalışmalarına Apple’ın yeni M1 çipe sahip ilk modelleri sunduğu Kasım ayında, ‘hiç vakit kaybedilmeden’ geçilmiş…

Diğer yandan siber saldırganların kodlarının M1 sistemlerinde çalışmasını sağlayacak çok mimarili uygulamalar üzerinde durdukları ortaya çıktı. Ayrıca kötü amaçlı GoSearch22 uygulamasının M1 uyumlu kodla çalışabilen ilk örnek olarak belirdiği ifade edildi.

Teknik okuma

M1 işlemcili Mac bilgisayarlar Rosetta adlı dinamik ikili tercüman aracılığıyla x86 yazılımı çalıştırabiliyor. Bu sayede bilgisayar performansında artış sağlandığı gibi kötü amaçlı unsurların tespit edilmeden çalışabilmesi için de uygun ortam sağlanmış oluyor.

İlk olarak 2016 yılında tespit edilen Pirrit, Mac bilgisayarları hedef alan sürekli tehditler arasında yer alıyor. Kullanıcılara yönlendirici reklamlar sunan yazılım, tıklandığı zaman ek içerikler ile gelen kötü amaçlı yazılımların indirilmesine neden oluyor.

Kendisini tamamen gizlemeye odaklanan GoSearch22, bir Safari tarayıcısı eklentisi görüntüsüne bürünüyor ve tarayıcı verileri topladığı gibi spam reklamlar ile bildiri notları oluşturuyor. Söz konusu reklamlara tıklandığı zaman kötü amaçlı yazılım içeren sayfalara da yönlendirme yapılıyor.

Güvenlik uzmanları, eklentinin Kasım ayında kendisini daha iyi gizleyebilmek için “hongsheng_yan” Apple Developer kimliği ile tescil edildiğini, ancak bu tarihin sonrasında iptal edildiğini belirtti. Eğer eklenti yeni bir sertifika ile tekrar tescil edilmezse, macOS üzerinde kullanılamayacak.

Her ne kadar kötü amaçlı yazılım geliştirme trendi donanım geliştiricilerin sunduğu yenilikler ile değişiyor gibi görünse de güvenlik uzmanları statik analiz araçları ile antivirüs motorlarının arm64 dizinlerini tespit etmekte zorluk yaşayabileceğini belirtti. Intel X86_64 versiyonu ile karşılaştırıldığında, sektörün önde gelen güvenlik yazılımlarının kötü amaçlı yazılım tespit oranının %15 düştüğüne dikkat çekildi.

GoSearch22’nin kötü amaçlı yazılım olarak ortaya koyduğu yeteneklerin tamamen yeni veya tehlikeli olup olmasından çok, M1 uyumlu bir tehdidin ortaya çıkması güvenlik sektörüne “yeni bir başlangıcının” sinyalini veriyor. Yakın gelecekte, M1’e yönelik yeni versiyonların da ortaya çıkması bekleniyor.