TOPIC:

Güvenlik alanıyla uğraşan çoğu kişinin yakında tanıdığı ve özellikle bankaların baş belası “Zeus” zararlı yazılımı 2010 yılında ortaya çıkmasıyla bulaştığı kullanıcı bilgisayarlarındaki banka erişim bilgilerini ele geçirmeye çalışıyordu.

2011 yılında bankaların yaygın olarak kullanmaya başladığı cep telefonuna SMS ile gelen ekstra bir şifre (mTAN - mobile transaction authentication numbers) ile güvenliğin arttırılmaya sağlanmasına karşılık olarak Zeus geliştiricileri boş durmadılar ve Symbian, Windows Mobile ve Blackberry de çalışan ve bu SMS leri ele geçiren versiyonunu geliştirmişlerdi. Şimdi ise aynı uygulamanın Android yüklü cihazlarda çalışan versiyonunu geliştirdiler ve ülkemizde bu zararlı yazılım örneği görülmeye başlandı.

Bulaşma/Yayılma Yöntemleri
“Zitmo” olarak adlandırılan bu yeni versiyona Android market ler de ve bazı web sayfalarında güvenlik uygulaması olarak rastlamak mümkün. Bunun dışında yayılmak için ilginç bir yöntem kullanıyor. “Zeus” zararlı yazılımı bulaşmış bir sistemden banka sayfasına girmeye çalıştığınızda yeni bir sayfa açılarak telefonunuza ait marka, model ve telefon numarası bilgilerini istiyor. Açılan sayfada bu bilgilerin sertifika güncellemesi yapılabilmesi için gerektiği yazıyor.

sekil-1.jpg
Şekil 1 Zeus Tarafından Açılan Pencere (Android Dışındaki Telefonlar için)

Kullanıcı bu bilgilerini girer ve yollarsa cep telefonuna bir SMS geliyor ve SMS içerisinde "yeni güvenlik sertifikasını yüklemek istiyorsanız aşağıdaki link ten indirebilirsiniz" şeklinde bir mesaj oluyor. Mesaj içerisindeki bağlantıyı kullanarak uygulamayı indirip kuran kullanıcıya “zitmo” zararlı yazılımı bulaşmış oluyor.

Android cihazlar için geliştirilmiş versiyonda açılan pencere ve yöntem biraz daha farklı;

sekil-2.jpg
Şekil 2 Zeus Tarafından Oluşturulan Pencere (Android)

Android dışında bir işletim seçilirse Şekil 3 Uyarı Sayfası gibi bir uyarı sayfası geliyor ve hiçbir işlem yapılmıyor.

sekil-3.jpg
Şekil 3 Uyarı Sayfası

Kullanıcının Android i seçmesi halinde ise;

sekil-4.jpg
Şekil 4 Uygulama İndirme/Aktivasyon Sayfası

Şekil 4 Uygulama İndirme/Aktivasyon Sayfası geliyor ve buradaki adresi kullanarak telefonunuzdan apk dosyasını indirip kurduktan sonra “zitmo” zararlı yazılımı bulaşıyor. Burada Aktivasyon kodu istemesinin nedeni sizin güveninizi kazanmaktan başka bir şey değil.

Uygulama Yüklendikten sonra uzaktaki bir sunucuya bankadan gelen güvenlik doğrulama mesajlarını (mTAN) gönderiyor.

Tehlike
Zitmo zararlı uygulamasının android dışındaki versiyonları bir Komuta Kontrol Merkezi (C&C) tarafından yönetildiği için istenildiği şekilde cihaz üzerinde işlem yapılabilir ve bu durum büyük tehlike oluşturmaktadır.

Android versiyonunda ise uzaktan bir komut alma gibi bir özellik bulunmadığı için sadece kullanıcıya gelen Banka güvenlik mesajlarının (mTAN) gönderilmesi bir tehlike oluşturmaktadır. Tabi ki Zeus geliştiricileri android için daha gelişmiş versiyonlar çıkarana kadar durum böyledir.

Temizleme
Zitmo, kendisini gizlemek veya yüksek hak elde etmek gibi işlemler gerçekleştirmediği için uygulamayı telefonda normal bir uygulama gibi kaldırmanız tehlikenin ortadan kalkması için yeterlidir. Tabi ki aynı zamanda bankanız ile irtibata geçip kayıtlarda şüpheli bir işlem olup olmadığını kontrol etmelisiziniz. Eğer cep telefonunuzda Android için geliştirilmiş bir antivirüs programı varsa bu zararlı yazılımı tespit edip kaldırabilecektir.

Detaylı Analiz
Özet

Dosya Adı: Zitmo_tr.apk
Boyutu: 19865 byte
MD5: ecbbce17053d6eaf9bf9cb7c71d0af8d
SHA1: c9368c3edbcfa0bf443e060f093c300796b14673
Dosya Türü: Android Uygulama
Paket Adı: com.systemsecurity6.gms
Uygulama Adı: Trusteer Rapport

Uygulamanın tam olarak neler yaptığı ve nasıl çalıştığını anlamak için elde bulunan örnki bir sanal aygıt oluşturup adb ile yüklendi. Şekil 5 Cihaz Üzerine Yüklendikten Sonra ve Şekil 6 Aktivasyon Kodu da görüleceği üzere uygulama ön planda karmaşık bir işlem gerçekleştirmiyor. Bunun yerine arka planda “com.systemsecurity6.gms” isimli bir servis oluşturarak tüm SMS'leri dinlemeye başlıyor.

sekil-5.jpg
Şekil 5 Cihaz Üzerine Yüklendikten Sonra

sekil-6.jpg
Şekil 6 Aktivasyon Kodu

Analiz sanal cihaz üzerinde gerçekleştirdiği için Aktivasyon kodunun tamamı sıfır olarak karşımıza çıktı. Eğer gerçek bir cihaza yükleseydik “key” değeri cihazın IMEI numarasından üretilen bir değer olacaktı.

Cihaza herhangi bir mesaj geldiğinde gelen mesaj anında softthrifty.com/security.jsp adresine POST yöntemiyle parametre olarak gönderilmeye çalışılıyor.

Mesaj Formatı:

f0={SMS_Gönderen_Numara}&b0={SMS_Mesaj_İçeriği}&pid={IMEI_numarası}
sekil-7.jpg
Şekil 7 Paket İçeriği

Sonraki adım olarak Kaynak kodu analiz etmek için decompiler ile byte kodu açıp sınıfları inceleyebiliriz.

Zitmo'nun manifest.xml dosyasına baktığımızda Şekil 8 Kullandığı İzinler deki SMS'leri okuyabilme,İnternet erişimi sağlayabilme ve IMEI numarasını almak için telefon durumunu okuma izinlerini istediğini görebiliyoruz.

sekil-8.jpg
Şekil 8 Kullandığı İzinler

Diğer dikkat çeken nokta ise SMS'leri okuyan sınıfa öncelik olarak 10000 değerinin atanmış olmasıdır. Bunun anlamı cihaza yeni bir SMS geldiğinde tüm uygulamardan önce (Android in kendi SMS programı da dahil) zitmo'nun mesajı alması sağlanıyor. SMS aldıktan sonra kod içerisinde broadcast yayını kestiği ve diğer uygulamaların SMS mesajını almasını engellediğini görüyoruz.

sekil-9.jpg
Şekil 9 Gelen Mesajları Öncelikli Okuma

sekil-10.jpg
Şekil 10 Mesaj Geldiğinde Tetiklenen Kod Parçası

sekil-11.jpg
Şekil 11 Gelen Mesajın Sunucuya Gönderilmesi

sekil-12.jpg
Şekil 12 Mesajın HTTP ile Sunucuya Gönderilmesi

Sonuç
Analiz sonucunda android için geliştirilen bu zararlı yazılımın hala geliştirme aşamasında olduğu ve sonraki versiyonlarda daha karışık görevler üstleneceği tahmin edilmektedir. Bu sonuca varılmasında;

Tek bir Komuta Kontrol Merkezi (C&C) olması ve kodun içerisine adres (URL) olarak gömülmüş (hardcoded) olması,

Dışarıdan komut almaması,

Tüm mesajların kontrol edilmeden sunucuya gönderilmesi,

Symbian, Windows Mobile, Blackberry için çok daha gelişmiş versiyonlarının bulunması,

Gibi nedenler etkili olmuştur.

Ek:
Antivirüs Tarama Sonucu

Tespit Oranı: 31/43

sekil-13.jpg