magnify
Home Assembly ZeuS in the Mobile (Zitmo) Malware Analizi
formats

ZeuS in the Mobile (Zitmo) Malware Analizi

Selamlar, son günlerde sıkça adı geçen ZeuS mobile trojanının kısaca analizini sizlerle paylaşmak istedim. Sınav haftası yoğunluğundan yazı biraz aceleye geldi kusura bakmayın. Bayram falan derken zaten uzun süre birşey paylaşamayacağım, sınavları bi kenara bırakıp blog’a bişeyler karalayayım ve kurban bayramını gönül rahatlığıyla geçireyim dedim 🙂

Bu trojan Symbian ve Blackberry sistemlerini etkilemekte. Uzunca gündemde yer aldı, adını mutlaka duymuşsunuzdur. Internet bankacılığında banka tarafından sms olarak gönderilen şifreleri çalmayı hedefliyor.. En son söylendiğine göre Türkiye’de de görülmeye başlanmış.

Güvenlik sertifikası veya telefon güncellemesi adı altında bulaşan trojan, buluştağı telefonda gelen mesajları sniffleyip belirli bir numaraya gönderiyor. Analiz etmek için trojanı heryerde aradım açıkçası bulmak çok zor oldu benim için. Fortinet’de çalışan gerçek hayattan da tanışıklığımız olan arkadaşım Axelle Apvrille (the crypto girl) den yardım istedim. Şirketin katı kuralları gereği yollayamadı ama nerede bulabileceğim konusunda sağolsun bana yardımcı oldu… Teşekkürü borç bilirim. Aynı zamanda kendisinin bana söylediğine göre blackberry versiyonu şu an ne onların elinde ne de diğer şirketlerin elinde varmış. Herkes açıkçası blackberry versiyonunu arıyormuş ama bir türlü bulamamışlar.

Trojan aşağıdaki resimde gördüğünüz numarayla iletişime geçiyor. O numaraya snifflediği bilgileri gönderiyor.
num

Ayrıca telefona gelen mesajlarda numaraya bakıyor ve o numarayı saldırganın numarasıyla karşılaştırıyor. Bu karşılaştırma işlemini symbian apilerindeki TdesC16::Compare fonksiyonu ile yapıyor. Eğer eşleşirse o numaradan gelen mesajı komut olarak işleve alıyor ve uyguluyor. Komutların listesi aşağıdaki resimde görülebilir;
command

Telefondan çaldığı bilgileri kaydetmek için kendisine “Numbersdb.db” adında bir database oluşturuyor. Bu database oluşturma , table ve column’ları belirleme işlemlerini ise “RdbNamedDatabase” , “TdbCol” gibi kütüphaneleri kullanarak yapıyor. Ve bildiğimiz “Select * from” vb. SQL komutlarını kullanarak bu databaseden gerekli bilgileri çağırıyor. Database’e sorgu çekme işlemi için “RdbView” kütüphanesini kullanıyor.

db
sql
query

Gelen mesajları gizlice okumak yani snifflemek için ise sistemde bir socket açıp , gelen mesajları dinlemeye alıyor. Bu işlem içinde yine symbiandaki Rsocket::Open , RsmsSocketReadStream sistem apilerini kullanıyor….

sniff

Kaynaklar:
http://wiki.forum.nokia.com/index.php/SMS_Utilities_API (SMS sniff işlemi için kullanılan apiler)

-musashi

Celil Ünüver

 
 Share on Facebook Share on Twitter Share on Reddit Share on LinkedIn
2 Comments  comments 

2 Cevap

  1. […] This post was mentioned on Twitter by huzeyfeonal, Celil ÜNÜVER. Celil ÜNÜVER said: [Türkçe] Zeus Mobile Malware Analizi : http://goo.gl/5QjcZ […]

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir