spacer.png, 0 kB
Bilgi için: bilgi at bilgiguvenligi gov tr   

 

spacer.png, 0 kB
spacer.png, 0 kB
Yazarın bu bölümdeki diğer yazıları...
Zeus In The Mobile (Zitmo) Zararlı Yazılımı Yazdır E-posta
Celil Ünüver, SignalSEC   
14.01.2011

Stuxnet'den sonra, 2010 yılına damga vuran zararlı yazılımlardan biri de şüphesiz ZeuS'tur. ZeuS zararlı yazılımı bulaştığı sistemde banka bilgilerini ele geçirmeye çalışmakta ve şu ana kadar milyon dolarlık zararlara yol açmış durumda.

Bildiğiniz gibi artık İnternet bankacılığında güvenlik için SMS doğrulaması uygulanmakta. İnternet bankacılığı girişlerinde ve para transferlerinde banka tarafından telefonunuza yollanan SMS kodunun doğrulanması istenmekte. Hal böyle olunca, saldırganların işi zorlaşıyor ve sadece İnternet bankacılığı giriş şifrelerinin ele geçirilmesi yeterli olmuyor. İşte ZeuS trojanının mobil versiyonu bankanın gönderdiği bu SMS doğrulama kodlarını çalmak için kullanılıyor.  Bu yazıda bu mobil zararlı yazılımın analizini yapacağız.

 

Bahsettiğimiz bu mobil zararlı yazılım Symbian ve Blackberry sistemlerini etkilemekte ve en son söylenenlere göre Türkiye’de de görülmeye başlanmış. Şu an güvenlik/anti-virüs firmalarının elinde sadece Symbian versiyonu bulunmakta. Blackberry versiyonu ise henüz güvenlik firmalarının eline geçmiş değil.

ZeuS bulaşmış kişi İnternet bankacılığı işlemlerini yaparken, bir mesaj-form ile karşılaşıyor (html injection yöntemiyle). Bu mesajda sosyal mühendislik ile kurbanın gerekli bilgileri girmesi (telefon numarası, modeli gibi) ve telefonuna gönderilecek olan SMS'deki web adresine girip programı (aslında zararlı yazılımı) yüklemesi isteniyor.

Zararlı yazılım güvenlik sertifikası/programı adı altında telefona bulaştıktan sonra artık saldırgan için bankanın gönderdiği SMS doğrulama koduna ulaşmak zor olmuyor. Çünkü zararlı yazılım bulaştığı telefonda gelen mesajları "sniff"leyip saldırganın numarasına gönderiyor. Zararlı yazılımın elimizde bulunan versiyonunu incelediğimizde aşağıdaki resimde iletişime geçtiği telefon numarasını görebiliyoruz;

numb.jpg 
Resim-1: Saldırganın numarası

Ayrıca telefona gelen mesajlarda numaraya bakıyor ve o numarayı saldırganın numarasıyla karşılaştırıyor. Bu karşılaştırma işlemini Symbian apilerindeki TdesC16::Compare fonksiyonu ile yapıyor. Eğer eşleşirse o numaradan SMS olarak gonderilen komutları kabul ediyor. Komutların listesi aşağıdaki resimde görülebilir;

komut.jpg
Resim-2 : Komut listesi

Zararlı yazılım telefondan çaldığı bilgileri kaydetmek için kendisine “Numbersdb.db” adında bir database oluşturuyor. Bu database oluşturma , table ve column’ları belirleme işlemlerini ise “RdbNamedDatabase”, “TdbCol” gibi kütüphaneleri kullanarak yapıyor. Ve bilinen “Select * from” vb. SQL komutlarını kullanarak bu databaseden gerekli bilgileri çağırıyor. Database’e sorgu çekme işlemi için “RdbView” kütüphanesini kullanıyor.

sql.jpg

Resim-3: Sql Sorgu Komutu

query.jpg

Resim-4: Databese işlemleri

Gelen mesajları gizlice okumak yani snifflemek için ise sistemde bir socket açıp , gelen mesajları dinlemeye alıyor. Bu işlem için de Symbiandaki Rsocket::Open, RsmsSocketReadStream sistem apilerini kullanıyor.

smsapi.jpg

Resim-5: SMS Sniff işlemi

Kaynaklar:

[1] http://wiki.forum.nokia.com/index.php/SMS_Utilities_API (SMS sniff işlemi için kullanılan API // sessiz ve uyarısız mesaj okuma-gonderme islemleri)


Favori olarak ekle (0) | Görüntüleme sayısı: 7687

Yorumlar (3)
1. 23-03-2011 15:53
 
Nokia, ZeusMitmo.B. Symbian tabanlı sertifika güncellemesini 24 Şubat 2011de kilitlemiştir. Dolayısıyla sertifika güncellemesi sırasında güvenlik kontrollerini online olarak yapan nokia telefonlar bu zararlı yazılımdan etkilenmeyeceklerdir fakat  
Windows Mobile ve Blackberry sistemleri için aktif risk içermektedir.
 
Kaan ULUER
2. 20-01-2011 11:49
 
Önlemler konusunda PC de yapacaklarımız konusunda daha bilinçliyiz. Ama aynı şeyler Symbian telefonlar için geçerli değil ne bilgi mevcut ne de önlem. Bu konuda araştırmalarım devam etmekte bittiğinde sitede paylaşacağım.
 
Bahadır Davdav
3. 17-01-2011 11:02
 
Alınacak önlemler konusunda da bilgilendirmeler olsa iyi olur.
 
HAKAN ŞEN

Sadece kayıtlı kullanıcılar yorum yazabilir.
Lütfen sisteme giriş yapın veya kayıt olun.

 
spacer.png, 0 kB
spacer.png, 0 kB
Copyright 2017 TÜBİTAK-BİLGEM. Sitenin teknik altyapısında Joomla kullanılmıştır. Yazar ve site referans gösterilmeden alıntı yapılamaz. Görüşleriniz
spacer.png, 0 kB