Yazılar

iBanking bot mobil bankacılık zararlı yazılımı

iBanking yeni bir mobil bankacılık zararlı yazılımı ve siber mafya tarafından ortalama 5000 dolar gibi rakamlara satışına başlandı.

Zeus ve Carberp gibi iBanking’de kaynak kodları ile birlikte yayınlanmaya başlandı. Çok sayıda insan kendi özel eklentilerini ve versiyonlarını geliştirmekle meşgul. Özellikle de MaaS yani Malware as a Service olarak yazılımı hizmet olarak satmak şu sıralar popüler.

ibanking-mobil-zararli-yazilim iBanking bot mobil bankacılık zararlı yazılımı

Bu bot özelliğine sahip zararlı yazılım SMS veya HTTP üzerinden C&C sunucusu yardımıyla kolayca yönetilebiliyor. Bu verilen komutlarla aşağıdaki işlemleri gerçekleştirmek mümkün;

  • Tüm gelen/giden SMS mesajlarını yakalamak
  • Gelen tüm sesli aramaları başka bir numaraya yönlendirmek
  • Gelen/giden/cevapsız çağrıları silmek, kontrol etmek
  • Cihazın mikrofonunu kontrol ederek ses kaydetmek
  • Telefon defterini ele geçirmek
  • URL durumunu yakalamak. Burada amaç MITM yöntemiyle click-fraud tarzı saldırılar düzenlemek.

ibanking-mobil-zararli-yazilim2 iBanking bot mobil bankacılık zararlı yazılımı

iBanking bot mobil zararlı yazılımı aynı zamanda iki aşamalı kimlik doğrulaması kullanan bankacılık sistemlerini de atlatmakta başarılı. Kaynak kodlarının dağıtılıyor olması da herkesin farklı bankalarla ilgili yeni zararlı yazılımlar üretip paketleyerek kullanabileceği anlamına geliyor.

Hackerlar 22 saat içinde harekete geçiyor

hackerlar-22-saat-icinde-exploit-ediyor Hackerlar 22 saat içinde harekete geçiyorHer hafta yazılarımızla siber tehditler ile ilgili en güncel bilgileri aktarmaya çalışıyoruz. Bu gelişmeler TerraMedusa Siber İstihbarat altyapısına detaylı analizleri ile birlikte anlık olarak düşse de, ayrıcalıklı müşterilerimiz hariç sizlere haftalık olarak özet bilgileri aktarabiliyoruz.

En çok rastladığımız anlık düşen bilgilerin bazen bir hafta, bazen iki haftayı bulacak bir süre sonra herkesçe erişilebilir kaynaklara ulaşıyor olması.

Bilginin önem kazandığı, önce öğrenenin kazandığı çağda bu bilgileri siber saldırganlar da hızlıca değerlendiriyor.

Artık siber suçlular ışık hızıyla siber güvenlik ile ilgili gelişmeleri exploit ederek kullanma yarışına girmiş durumda. Bu bazen haberlerde “son dakika gelişmesi” olarak duyurulan bir uluslararası haberin zararlı yazılım olarak dağıtılması için fırsat oluyor, bazen ise firmaların yaptığı yazılım, hizmetlerin exploit edilerek farklı şekillerde kullanılması olarak gelişiyor.

Bir güvenlik açığının bulunması, bir haberin zararlı kod olarak dağıtılabilmesi o konunun afişe olmasından sonra yaklaşık 22 saat içinde gerçekleştiği görülüyor. Reel örneklere gelecek olursak 6 Ekim’de zararlı yazılım dağıtıcılarının tasarladığı haberde ABD’nin Suriye’ye hava saldırısı başlattığı duyurularak “The United States Began Bombing” konulu e-postalar yayılmaya başlamıştı. Elbette çok sayıda kişi bu e-postalar yardımıyla zararlı yazılıma maruz kaldı.

Benzer saldırıları bir yazılımın yeni açığı bulunduğunda da hızlıca uygulandığını görererek sıkça yaşıyoruz. Diğer örneklerde ise Mart 2013’de yeni Papa’nın seçilmesi, Nisan 2013’de yapılan Boston maratonu bombalı saldırısı gibi exploit edilebilecek gelişmelere sıkça şahit oluyoruz.

Siber mafya mobil telefon bilgisi sunuyor

mobil-telefon-numarasi-toplamak2 Siber mafya mobil telefon bilgisi sunuyorYeni bir servis daha siber mafyanın sunduğu hizmetler arasına girdi. Çok dinamik olan, sürekli güncellenen siber mafyanın verdiği hizmet skalasına bir yenisi daha eklendi; Mobil telefon numarası toplama.

SMS spam servislerinin yükselişini birkaç ay önceki yazımızda TerraMedusa Blog’da duyurmuştuk. Bu hizmet siber suçluların yüzbinlerce mesaj göndererek telefonları ulaşılamaz hale getirmesini sağlıyordu. Mobil telefon numarası toplama hizmeti ise özel yazılımların herkese açık ve kapalı bazı kaynakları tarayarak mobil numaraları arşivlemesi mantığına dayanıyor. Yazılımlar mobil numaraların geçerliliğini doğrulayabiliyorlar. Diğer yandan esas önemli olan siber suçluların sizin istediğiniz profilde, sektörde, ülkede bulunan mobil numaraları hedefleyerek size verebilmesi. Hali hazırda program içerisinde gelen kategoriler yardımıyla istenilen alan belirlenebiliyor.

Elbette bu numaraların toplanabilmesi için belli bir süre gerekiyor. Siber suçlular bununla ilgili bir tarife de tanımlamışlar;

– 1000 ile 35.000 arası belirlenen kritere göre toplanmış mobil telefon numarası: 1 ile 12 saat

– 50.000 belirlenen kritere göre toplanmış mobil telefon numarası: 72 ile 86 saat

 

Diğer yandan elde edilen bilgiler sadece mobil telefon numarası olarak değil başka bilgilerle beraber de geliyor;

– Mobil telefon numarasının elde edildiği kullanıcı adı

– İsim/takma ad

– Cinsiyet

– Şehir

– Eğitim geçmişi

– İş yerindeki pozisyonumobil-telefon-numarasi-toplamak1 Siber mafya mobil telefon bilgisi sunuyor

– İletişim bilgileri

– ICQ, Skype vb. hesap bilgisi

Mobil telefonları toplayanların elinde şehir, bölge, ülke, cinsiyet, iş yerindeki pozisyonu gibi bilgiler bulunabildiği için derlenen bilgiler ayrı bir önemkazanıyor. Bu bilgilerle hedefli saldırılar yapmak mümkün olabiliyor. Liberty Reserve firmasının kapatılmasından sonra siber suçlular aralarında Bitcoin, Ukash, WebMoney gibi çok sayıda alternatif arasında seçim yapmak zorunda kaldılar. Bu hizmeti veren kişiler de ödemeleri WebMoney aracılığı ile kabul ediyorlar.

Mobilde Android botnet problemi

android-sms-spam-botnet Mobilde Android botnet problemiAraştırmacılar, tüm büyük ABD mobil ağlarında çalışan, tehlikeli cihazlardan oluşan ve SMS spam iletmek amacıyla kullanılan bilinen ilk Android botnetin tespit edildiğini açıkladılar.

Aralık ayının başlarında yapılan tespite göre; botnet, kullanıcıların farkında olmadan yükledikleri SpamSoldier adlı trojan içeren zararlı bir oyun uygulaması indirmeleriyle büyüyor. Virüs bulaşmış cihazlar bir komuta-kontrol sunucusu ile bağlantıya geçerek 100’den fazla telefon numarasına SMS göndermeyi sağlayan talimatlar alıyor.

Bu numaralara gönderilen mesajlarla birlikte, virüslü telefonlar yaklaşık bir dakika içerisinde yeni bir hedef listesine ulaşmış oluyor. Bu kötü amaçlı yazılım, bilinmeyen numaralardan gelen ve giden mesajları da engelleyerek, kurbanlarının diğer kullanıcılar veya mobil servis sağlayıcılar tarafından spam yaydıkları konusunda uyarılmasının da önüne geçmiş oluyor. Bu botnetin kurucuları, kurbanlarını sahte hediye çeki vaat eden linkler yoluyla kişisel bilgi talebinde bulunan dolandırıcı pazarlama sitelerine yönlendirmek başta olmak üzere buna benzer pek çok strateji kullanarak kazanım sağlıyorlar.

Tipik bir SMS spam tekniğinde, spammer bir mağazaya gider ve hazır SIM kartlardan alarak bunları spam mesajlar göndermek için kullanır. Teknolojinin bu metodu yakalamasıyla spammerların bu yolla elde ettiği kazanımlar çok çok azaldı. SpamSoldier kampanyasında, dolandırıcılar spam masraflarını kurbanlarının omuzlarına yüklüyorlar. Botnet, geleneksel PC ortamındaki benzerlerine nazaran daha “ilkel” olarak tanımlanabilir ama bu taktik saldırganlar tarafından kullanılacak bir gelecek modeli gibi görünüyor.

Şu ana kadar 800’den fazla spam gönderen numara tespit edildi ve virüs bulaşmış cihaz sayısının 1000 civarında olduğunu düşünülüyor. Ağlarında Spamsoldier sms-spam-botnet-mesaj Mobilde Android botnet problemimesajlarının giriş çıkışına rastlanan ABD servis sağlayıcıları arasında Verizon, AT&T, Sprint ve T-Mobile yer alıyor. Mobil operatorlerden gelen yorum ise, düşük seviyede kötü amaçlı yazılım oluşumlarına rastlandığını doğruladı ve kullanıcı ya da servis sağlayıcılar tarafından fark edilmediği takdirde daha büyük olumsuzluklar yaşanabileceğini gösteriyor.  İlk negatif etki, gönderilen çok fazla sayıdaki SMS’ten dolayı kurbanlarının yükümlü olacağı borçlara ilaveten servis sağlayıcı ağlarında oluşacak potansiyel yavaşlama. Servis sağlayıcıların bu tür bir sorunu tespit edip gidermekte çok hızlı davranamayacakları olası bir durum ve bundan dolayı kullanıcılara uygulanacak ilk standart prosedür olarak telefonun mesaj gönderme işlevini devre dışı bırakmaları.

Android platformunun sahibi Google ise bu konuda yorum yapmaktan kaçınıyor ki geçtiğimiz temmuz ayında Android cihazlarda açığa çıkan spam botnet varlığına ilişkin çelişkili raporları da aynı şekilde inkar etmişlerdi. Google her nasılsa bu spam mesajların virüslü bilgisayarlar ve sahte mobil imzalar kullanılarak Android uygulamalarından biri olan Yahoo Mail’e yönelik yapılan kötü amaçlı bir saldırı olduğu sonuca varmıştı. Anlaşılan ileriki zamanlarda Google bile Android üzerinde dolaşan tehdit bulutlarını inkar edemeyecek gibi gözüküyor.