Yazılar

iBanking mobil trojan Facebook’u kullanıyor

ibanking-mobil-trojan-facebook-kullaniyor_1 iBanking mobil trojan Facebook’u kullanıyorHTML injection özelliğine sahip mobil internet bankacılığı trojanı iBanking’in yeni bir türevi kendisini güvenlik Facebook üzerinden tanıtarak bulaşıyor.

Daha önce de incelediğimiz iBanking zararlı yazılımı siber mafya tarafından 5000 dolar gibi bir rakama satılıyor. Çift aşamalı kimlik doğrulama gibi bankacılık sitelerinde kullanılan teknikleri de atlatabiliyor bu trojan.

iBanking SMS veya HTTP üzerinden komuta kontrol merkezinden yönetilebiliyor ve gönderilen komutları çalıştırarak çıktılarını merkeze iletiyor. Bu komutlar SMS mesajlarını okuma/iletme, aramaları yönlendirme, adres defterini çekme, mikrofonu aktive edip ortamı dinleme olarak sayılabilir.

iBanking’in yeni varyantı ise Facebook kullanıcılarını hedef alarak kandırıyor. Zararlı yazılım Javascript kullanarak kendini Facebook sayfalarına inject ediyor. Diğer yandan sahte Facebook kimlik doğrulama sayfaları oluşturuyor. Facebook kimlik doğrulama sayfasına ulaşan kurban cep telefonu bilgilerini girdiğinde ise cep telefonununa bir URL ve QR kodu gönderiliyor. ibanking-mobil-trojan-facebook-kullaniyor_2 iBanking mobil trojan Facebook’u kullanıyor

Bu URL veya QR koddan dosya indirildikten sonra ise artık telefon komuta kontrol merkezinin yönetimine geçmiş oluyor ve zararlı yazılım aktif hale geliyor. HTML injection daha önce kullanılan bir yöntem fakat iBanking bunu Facebook üzerinde yaparak tamamen yeni bir tekniğe imza atmış oluyor.

iBanking bot mobil bankacılık zararlı yazılımı

iBanking yeni bir mobil bankacılık zararlı yazılımı ve siber mafya tarafından ortalama 5000 dolar gibi rakamlara satışına başlandı.

Zeus ve Carberp gibi iBanking’de kaynak kodları ile birlikte yayınlanmaya başlandı. Çok sayıda insan kendi özel eklentilerini ve versiyonlarını geliştirmekle meşgul. Özellikle de MaaS yani Malware as a Service olarak yazılımı hizmet olarak satmak şu sıralar popüler.

ibanking-mobil-zararli-yazilim iBanking bot mobil bankacılık zararlı yazılımı

Bu bot özelliğine sahip zararlı yazılım SMS veya HTTP üzerinden C&C sunucusu yardımıyla kolayca yönetilebiliyor. Bu verilen komutlarla aşağıdaki işlemleri gerçekleştirmek mümkün;

  • Tüm gelen/giden SMS mesajlarını yakalamak
  • Gelen tüm sesli aramaları başka bir numaraya yönlendirmek
  • Gelen/giden/cevapsız çağrıları silmek, kontrol etmek
  • Cihazın mikrofonunu kontrol ederek ses kaydetmek
  • Telefon defterini ele geçirmek
  • URL durumunu yakalamak. Burada amaç MITM yöntemiyle click-fraud tarzı saldırılar düzenlemek.

ibanking-mobil-zararli-yazilim2 iBanking bot mobil bankacılık zararlı yazılımı

iBanking bot mobil zararlı yazılımı aynı zamanda iki aşamalı kimlik doğrulaması kullanan bankacılık sistemlerini de atlatmakta başarılı. Kaynak kodlarının dağıtılıyor olması da herkesin farklı bankalarla ilgili yeni zararlı yazılımlar üretip paketleyerek kullanabileceği anlamına geliyor.

SMS ile gelen bankacılık şifreleri siber suçluların elinde

android-blackberry-internet-bankaciligi-zararli-yazilim1 SMS ile gelen bankacılık şifreleri siber suçluların elindeBir süredir siber suçlular bankalar tarafından SMS ile gönderilen tek kullanımlık şifreleri zararlı yazılımlar ile ele geçirerek çalışmaya devam ediyor. Henüz yazım aşamasında bulunan yeni bir internet bankacılığı zararlı yazılımı anlık şifreler için Android ve BlackBerry platformlarını tehdit ediyor.

Tamamlandığında 4000 dolara satılacak olan yazılım çift aşamalı şifreleri ve SMS uyarılarını ele geçirerek saldırganlara anında iletiyor.

Yazılımın ana özellikleri;

– Gelen SMS mesajlarını göstermeden anlık olarak istenilen numaraya iletmek

– Gelen aramalardan istenilenleri göstermeden istenilen numaraya yönlendirmek

– Cihazdaki SMS mesajlarına tam erişim

– Cihazdaki arama geçmişine erişimandroid-blackberry-internet-bankaciligi-zararli-yazilim2 SMS ile gelen bankacılık şifreleri siber suçluların elinde

– Cihazdaki telefon rehberine erişim

– Cihaz mikrofonunu uzaktan aktive ederek konuşulanları kaydederek uzaktaki sunucuya göndermek

– Cihaz üzerinden izinsiz SMS göndermek

– Cihaz üzerinden izinsiz arama yapmak, yönetmek

– Internet bağlantısı olmadığı durumlarda SMS mesajlarıyla cihazı yönetmek

– Cihaz ile ilgili telefon numarası, ICCID, IMEI, IMSI, Model, İşletim sistemi gibi her türlü bilgiyi edinmek

İstenildiği takdirde yazılımın Rusça ve İngilizce dışında dillere de çevirisinin yapılması sağlanabiliyor. Yazılımın botnet tarafının ise hacklenen Google Play hesapları üzerinden, yazılım geliştiricilerin hazırladığı programların içerisine yerleştirilerek dağıtılması planlanıyor.

android-blackberry-internet-bankaciligi-zararli-yazilim3 SMS ile gelen bankacılık şifreleri siber suçluların elinde

Yeni zararlı yazılım ATM’lere yükleniyor

malware-zararli-yazilim-atm-ploutus Yeni zararlı yazılım ATM'lere yükleniyorSiber suçluların değişmez hedeflerinden biri de para çekme cihazları olan ATM’ler. Şu sıra daha yenilikçi yollarla ATM’lere saldırmaya devam ediyorlar. Bunlardan en yenisi, geçen hafta keşfedilen “Ploutus” adlı zararlı yazılım.

Geçen hafta keşfedilen bu zararlı yazılım siber suçlunun doğrudan ATM’i kontrol edebilmesine imkan tanıyor. Saldırgan ATM’in tuş takımında veya interaktif ekranındaki belli menülere, tuşlara tıklayarak cihazdan doğrudan para çekebiliyorlar.

Saldırganlar kendileri için hazırladıkları zararlı yazılıma ait özel menüye belirli tuş kombinasyonlarını gerçekleştirdikten sonra ulaşıyorlar. Sonraki aşamada ise Ploutus zararlı yazılımı doğrudan ATM yazılımını kontrol edebiliyor. Şu an için Meksika’da siber suçlular cihazların bulunduğu kapalı kısımların kilitlerini açıp, cihazların görünebilir yerdeki cdrom sürücülerine ulaşarak Ploutus zararlı yazılımını doğrudan sisteme yüklüyorlar.

Siber mafyanın Ploutus’un farklı şekilde bulaşan ve yayılabilen versiyonları ile ilgili çalışmalarını sürdürdüğü biliniyor. Zararlı yazılımın avantajı kimseye ait kişisel bilgi, finansal bilgi ele geçirmeye gerek kalmadan doğrudan ATM cihazlarından para çekebilmeyi sağlaması.

“Man in the browser” tehditi

man-in-the-browser-internet-bankaciligi "Man in the browser" tehditiSiber suçların hızla arttığı günümüzde bankacılık sektörü, adına Man in the browser denilen saldırı çeşidiyle daha da risk altında. Internet bankacılığı operasyonlarının zayıf karnı platformların sosyal medya, mobil gibi riskli alanlara açılıyor olması. Phishing, sosyal mühendislik gibi tehditler bu yüzden halen revaçta olmayı sürdürüyor. Diğer yandan keylogger içeren zararlı yazılımlar, ekran görüntülerini yakalayıp aktaran zararlı yazılım modülleri de mevcut. Fakat bu etkin zararlı yazılım bulaştırma yolu artık Man in the browser saldırıları için kullanılıyor.

Man in the browser saldırı tekniği diğer tekniklerle bir yönde ayrışıyor. Burada kurbanın şifresini almak yerine kullandığı browser üzerine zararlı yazılım yerleştirilerek saldırı gerçekleştiriliyor. Man in the browser tekniği ile yazılan zararlı yazılım bir browser eklentisi tarzında Active X, Browser eklentisi, Add-on, Plugin, API aracı gibi yüklenebiliyor.

Bir nevi proxy gibi çalışan zararlı yazılım içeren browser eklentisi kullanıcının yaptığı transferleri, değiştiriyor veya hiç gerçekleştirmediği transferleri gerçekleştiriyor. İki aşamalı şifrelerin de korumadığı bu saldırı biçiminde zararlı yazılım para transfer etmek veya diğer işlemler için kullanıcının internet bankacılığına giriş yapmasını veya bir para transfer işlemi yapmasını bekliyor.

TerraMedusa Blog’un önceki yazılarda da bir çoğunu incelediğimiz Man in the browser yeteneklerine sahip internet bankacılığı zararlı yazılımları şu an için Zeus, Carberp, Sinowal ve Clampi olarak sıralanabilir.

KINS herkes için tehdit

king-internet-bankaciligi-trojani KINS herkes için tehdit2013’ün başlarında keşfedilen yeni internet bankacılığı trojanı KINS, yeni nesil bankacılık trojanlarının temsilcisi olarak görülüyor. SpyEye, Zeus ve artık geliştirilmeyen Citadel trojanlarından sonra artık KINS ile ilgili gelişmelere daha çok rastlayacağız.

KINS tamamıyla yeni bir proje. Yani Zeus veya SpyEye’dan türetilmiş bir versiyon değil. Ama bu demek değil ki benzeri işleri yapan diğer trojanlardan ek özellikler almasın. KINS, Zeus’un web injectionlarını içeriyor ve SpyEye’ın Anti-Report eklentisi ile uyumlu çalışıyor.

KINS’in en ilginç özelliği ise Rus kullanıcılara bulaşmıyor olması. Sistemde Rus ülkelerinden birine ait bölgesel ayar gördüğü zaman trojan kendini siliyor. Trojan modüler bir yapıya sahip. En temel paket bootkit, dropper, DLL dosyaları ve Zeus uyumlu web injectleri içeriyor. Trojan’ın temel paketi 5.000$ gibi bir fiyata satılıyor. Her ek plugin ise 2.000$ gibi bir fiyata alıcı buluyor.

Bootkit modülü gerçekten ilginç. KINS benzeri Zeus, SpyEye gibi bankacılık trojanlarında olmayan bu özellik sayesinde trojan kendini VBR (Volume Boot Record) yazarak sistemdeki varlığını daha uzun süre saklayabiliyor. Bootkit modülünün değerini anlamak için Carberp trojanına bakmak gerek. Carberp için bootkit modülü siber suçlular dünyasında 40.000$’a rahatlıkla alıcı buluyor.

Tehlikeli trojan Carberp yenileniyor

carberp-internet-bankaciligi-zararli-yazilimi Tehlikeli trojan Carberp yenileniyorBilinen en gelişmiş internet bankacılığı zararlı yazılımlarından olan Carberp ile ilgili sıcak gelişmeler oluyor. Aralık 2012’de yayınlanan son versiyonu yeni bir bootkit modülüne sahip olan zararlı yazılım siber mafya tarafından 10.000 dolar ile 40.000 dolar arasında rakamlarla “aylık” kiralama yöntemiyle satılıyordu.

Carberp ilk olarak 3 yıl önce tespit edilmişti. O zamandan beridir diğer ünlü internet bankacılığı zararlı yazılımları Zeus ve SpyEye için tam bir alternatif oluşturuyor. Boot sektörüne bulaşmaya izin veren modülü sayesinde siber suçlular epeyi bir süre antivirus yazılımlarını atlatarak kurbanlarının sistemini yönetebildiler.

İlk kez Haziran 2012’de zararlı yazılım ABD İçişleri Bakanlığının izni ve sağladığı imkanlar ile yakalanan 6 kişilik bir dolandırıcılık şebekesinin sistemlerinde incelenebildi. Bu olaydan gizemi çözülen Carberp’i programlayanlar yeni bir yöntem tercih etmeye başladı. Artık yazılımı sınırsız yönetim ve dağıtım imkanlarıyla satmak yerine kiralama şeklinde sunmaya başladılar. Bunun yarattığı en büyük tehdit çok az teknik bilgiye sahip kişilerin bile zararlı kod içeren bir dosya ile rahatlıkla insanların paralarını internetten çalabilmesine olanak tanımasıydı.

Satıcılar sıkı çalışarak aralarında WellsFargo, Citi, JP Morgan Chase, Bank of America, TD Bank ve TerraMedusa Siber İstihbarat Altyapısının tespit ettiği “2 Türk bankasını” içeren web-injection modüllerini piyasaya sundular.

Son gelişmeyle ise işler iyice karıştı. Bir süredir siber suçlular 5.000 dolar gibi bir rakama Carberp internet bankacılığı zararlı yazılımının kaynak kodunu satmaya başladılar. Satılan kaynak kodu Carberp’in full kaynak kodu. Kod içerisinde yazanın notlarını bile görmek mümkün. Paket içerisinde kaynak kodu, web-injection modülleri, solucan modülü Gavazar, bootkit modülü, köle sistemleri yönetmek için admin paneli, yaması yayınlanmış Windows açıkları için exploitler bulunuyor.

Aslında Carberp’in kaynak kodunun böyle düşük bir fiyata satılması bir sondan çok başlangıcı temsil ediyor. Son 2 yılda Carberp’in 10 milyondan fazla sisteme kurulduğu düşünülüyor. Bu sayının içerisine zararlı bulaşan sistemler, tespit edilebilen varyantlar, banka sistemleri dahil. Daha önceki zararlı yazılım frameworklerinde olduğu gibi eğer çok güçlü bir projenin kaynak kodları sızıyorsa, yolda yayınlanmayı bekleyen çok daha güçlü bir zararlı yazılım geliyor demektir.

Yine Android, yine risk

android-malware-zararli-yazilim Yine Android, yine riskBugünlerde iki aşamalı kimlik doğrulama sistemi eğer Android kullanıyorsanız yeterince güvenli olmayabilir. Yeni Android zararlı yazılımı “Android.Pincer.2.origin” bulaştığı telefonlardaki mesaj trafiğini takip ederek siber suçlulara iletiyor. Zararlı yazılım “Android.Pincer” zararlı yazılımının yeni bir türevi.zararli-yazilim-android-internet-bankaciligi Yine Android, yine risk

Bir Rus antivirüs firması tarafından tespit edilen zararlı yazılım kendini bir güvenlik sertifikası olarak gizleyerek cihaza yükleniyor. Fakat arka planda zararlı yazılım telefona dair tüm verileri topluyor. Bunlar arasında cihazın seri numarası, IMEI numarası, modeli, kullanılan şebeke, telefon numarası, işletim sistemi versiyonu gibi bilgiler bulunuyor.

Bu ele geçirilen veriler siber suçlular tarafından yönetilen sunuculara iletiliyor. Tüm bu bilgiler iletildikten sonra zararlı yazılım, onu yöneten kişilerden komut bekliyor. Bu aşamada zararlı yazılımı yöneten kişiler gelen smsleri kendilerine yönlendirebiliyor, istedikleri başka numaralara yönlendirebiliyor, silebiliyor, USSD mesajları gönderebiliyor.

Zararlı yazılım iki aşamalı kimlik doğrulamayı güvensiz hale getirmek için telefona gelen mesajları tanıyıp istediği gibi yok sayabiliyor veya siber suçlulara iletebiliyor. Internet bankacılığı gibi finansal işlemler için kullanılan mTAN kodları da bunlara dahil.

Bankalar için yeni trojanlar

internet_bankaciligi_trojan_hack_zararli_kod Bankalar için yeni trojanlarSanal dünyada suçlular boş durmuyor. Online internet bankacılığı hedefli, kişiselleştirilmiş trojan ve zararlı kodlu yazılımlar artık modüllere bölünerek satılmaya başlandı. Geçtiğimiz günlerde bir satıcı Zeus/SpyEye ile birlikte çalışan bazı online bankacılık modüllerini ayrı ayrı sattığını duyurdu.

Fiyatlandırma toptan satışlarda indirim yapılmasına olanak tanıyor. Internet sitelerine yerleştirilmiş zararlı kodlarla ilgili ise lokasyon tabanlı bir fiyatlandırma söz konusu. Rakamlar hangi ülkeden ziyaretçilere saldırmak istediğinize göre değişiyor. Hazır bazı webinject scriptleri olduğu gibi, sipariş vererek özel bir tane yazdırmakta mümkün. Fiyatta buna göre değişiyor.

Zararlı kod hizmeti veren satıcılar SpyEye, Zeus, Ice IX gibi istenilen her platform için webinject scripti hazırlayabiliyorlar.

Aşağıda satılan bazı modüller ile ilgili bilgiler var.

Bakiye öğrenici: Kurbanın hesabında ne kadar para olduğunu öğrenerek bunu komuta kontrol sistemi aracılığı ile dolandırıcıya iletiyor.
Fiyat: 50-100$

Bakiye değiştirici: Online bankacılık sisteminde kurbanın hesabında gözüken parayı değiştirerek aslında para transfer edilmemiş gibi gösteriyor. Elbette bu değişiklik sadece kullanıcıya öyle gözüküyor. Bu modül sayesinde kurbanın ATM’ye gitmeden, telefon bankacılığı kullanmadan veya hesap ekstresi gelmeden dolandırıcılığı öğrenmesi mümkün olmuyor.spyeye_internet_bankaciligi_trojan_Zararli_kod Bankalar için yeni trojanlar
Fiyat: 200-300$

Şifre yakalayıcı: SMS ile kullanıcıya gönderilen tek kullanımlık şifreleri yakalayarak dolandırıcıya iletiyor.
Fiyat: 150-200$

Ek şifreleme teknikleri: Bazı online internet bankacılığı uygulamalarında kullanılan ek şifreleri atlatmak için.
Fiyat: 100-200$

Uyarılar: Bu modül zararlı kodlar bir kurbanın bilgisayarına bulaştığında kontrol paneline, Jabber veya MSN hesabına anında uyarı gönderiyor.
Fiyat: 100-200$

ATS: Bu otomasyon modülü sayesinde tüm işlemler insan müdahalesi olmadan gerçekleşiyor. Sistem kullanıcıya zararlı kod bulaştırıyor, tek kullanımlık şifreyi öğreniyor, parayı transfer ediyor, kurbanın online internet bankacılığı hesabındaki bakiyesini gizliyor.
Fiyat: 1500-2000$

Şu anda bu modüllerin İtalyan, İspanyol ve Alman bankaları için uyarlanmış halleri satışta. Satıcılar istek geldiği takdirde her ülkeye ait bankalara uyarlanabileceğini belirtiyor. Türk dolandırıcıların bunları farketmesi uzun sürmeyecek gibi gözüküyor.

Bankalar için cep telefonuna gelen SMS riskli

internet_bankaciligi_trojani_zeus_zitmo Bankalar için cep telefonuna gelen SMS riskliİyi bir antivirüs programı arayan Android kullanıcıları yeni bir tehditle karşı karşıya. Kendini “Android Security Suit Premium” diye adlandıran uygulama aslında Zitmo adında bir internet bankacılığı trojanını içeriyor.

Zitmo (Zeus-in-the-mobile) tüm dünyada özellikle internet bankacılığı ve finans merkezli olarak yaygın kullanılan Zeus trojanının mobil versiyonu diyebiliriz. Güvenlik yazılımı kılığındaki Zitmo bulaştığı Android telefonlarda internet bankacılığı SMS mesajlarını ele geçirerek bunları komuta kontrol sistemleri aracılığı ile dolandırıcılara iletiyor.

Zeus internet bankacılığı trojanı, Zitmo gibi pek çok farklı zararlı yazılım varyasyonuna ev sahipliği yapıyor. Türkiye’de de çok sayıda bankanın sistemlerine uygun şekilde tasarlanmış Zeus trojan kiti satışlarının el altında yapıldığı ve kullanıldığı biliniyor. Bu yeni mobil Zeus tehditini de dolandırıcılar Türkiye’ye uyarlamakta geç kalmayacaklardır.