Mobil tehditlerin dünü ve bugünü…

Akıllı telefonlarda zararlı yazılımın başlangıcı 2004 yılına kadar uzanır. O yıl Cabir kendini ilk kez göstermişti. 29A virüs yazarları grubunun üyesi olan Vallez kod adlı biri tarafından geliştirilen Cabir önemli bir solucan olarak tarihteki yerini aldı. Cabir yazdığı virüs .sis dosyası olarak Symbian işletim sistemli cihazlara Bluetooth üzerinden bulaşması için tasarlanmıştı. Bu içeriğin yayılması çok da uzun sürmedi.

Yıl sonuna kadar çok daha güçlü kötücül yazılımlar karşımıza çıktı. Aynı yıl suçlular kötücül mobil kodlarla para kazanmanın yollarını geliştiriyor ve Qdial isimli Truva atını Symbian telefonlara göndermeye başlıyordu. Bu Truva atı telefonlara ücretli servislerin ulaşmasını sağlayarak suçlulara gelir sağlıyordu. Bu saldırıların kaynağı olarak Birleşik Krallık, Almanya, Hollanda ve İsviçre görülüyordu. Zaman geçtikçe platform fark etmeksizin bu yöntem suçluların en önemli para kazanma silahlarından biri haline geldi.

O yılın Kasım ayında Skulls isminde yeni bir mobil kötücül yazılım ortaya çıktı. Skulls daha çok eski tip bilgisayar virüslerini anımsatıyordu. Skulls mobil cihazdaki uygulama dosyalarına kod yazıyor, onların işlevlerini yitirmelerini sağlarken normal sembolleri yerine bilindik kurukafa ve çapraz geçen iki kemik yerleştiriyordu. Skulls e-posta ve P2P paylaşımla dağıtılıyordu. Ayrıca kendini “Genişletilmiş Tema Yöneticisi” olarak göstererek Nokia 7160’a, ardından da diğer Symbian cihazlara sızmaya çalışıyordu. Skulls’un ikinci sürümünde Cabir ile bir işbirliği görülüyordu. Bu kez sembollerin yerine kurukafa ve kemikler yerleşmezken kullanıcıların anlamakta zorlanacağı bir kötücül yazılım haline geliyordu. Daha sonra bu birleşme birçok kötücül yazılım için rol model oldu.

2005 yılında mobil kötücül yazılım bilgi hırsızlığına yönelmesine rağmen tehdit, günümüzde olduğu kadar profesyonel seviyede değildi. Pbstealer isimli kötücül yazılım bulaştığı cihazın tüm kişi rehberini kopyalıyor ve menzilde bulunan Bluetooth’lu cihaza aktarılıyordu. Pbstealer Cabir’in kaynak kodunu kullanıyordu ve şu mesajı veriyordu: “İyi bir sanatçı kopyalar, büyük bir sanatçı çalar.” Aynı yıl diğer akılda kalıcı noktaysa ilk kez bir mobil kötücül yazılımın daha düşük etkisi olan Bluetooth yerine MMS kullanılarak yayılması oldu. Commwarrior yıkıcı bir yazılım olmasa da mobil kötücül yazılım evrim tablosundaki yerini bu şekilde alıyordu.
Neredeyse tüm kötücül yazılımların Symbian için yaratılmasının yanında daha az etkisi olsa da Windows CE için de kötücül yazılımlar üretiliyordu. Windows CE’nin Symbian’a göre daha güvensiz olmasına rağmen Symbian mobil işletim sistemi piyasasında çok daha pay sahibi olduğunda suçluların hedefi olmuştu. Suçlular için bir diğer ilgi çekici alan da J2ME (Java 2 Micro Edition) için geliştirilen kötücül yazılımlar olmuştu. Bu geliştirme platformu suçluların birçok platforma aynı anda yayılması için zemin oluşturmuştu. J2ME kullanan tüm cihazlar tehlike altına girdi ve saldırılan cihaz sayısında önemli bir artış gerçekleşti. 2009 yılında çoğu mobil kötücül yazılım J2ME için SMS ile dağıtılan Truva atlarından oluşuyordu. SMS dolandırıcılığının birçok çeşidi çıktı. Bunlar arasında ücretli servisler için atılan mesajlar ya da çok daha sosyal mühendislik içeren, doğrudan bir şeyleri satın almasını ya da üye olmasını sağlayacak servisler peydah oldu.

2010 yılına geldiğimizde saldırıların düzenlendiği alanlar oldukça değişti. Gartner’ın raporuna göre akıllı telefon satışları 2009 yılına göre yüzde 70 oranında arttı ve Apple’ın iPhone’larda kullandığı iOS ile Google’ın Android’i piyasayı domine etmeye başladı. Suçlular bu yeni platformlardaki potansiyeli fark etmekte geç kalmadı ve sahiden de bu iki platform Ağustos 2011’de piyasanın yüzde 50’sine hakim oldu.
Android için üretilen ilk Truva atı 2010 yılının Ağustos ayında keşfedildi ve Trend Micro bu yazılıma ANDROIDOS_DROIDSMS.A adını verdi. Rusya’dan dağılan dolandırıcı SMS para çalmaya yönelikti. Günümüz akıllı telefonlara bakıldığında kurumsal suçlar için çok daha fazla fırsat olduğu görülüyor. Aynı ay içinde DROIDSMS.A isminde başka bir Truva atı keşfedildi. Bu Truva atı da Tap Snake isimli oyunun arkasına gizlenmişti ve bulaştığı cihazın konumunu http üzerinden bildiriyordu.

Geçtiğimiz yılın yine Ağustos ayında iOS tabanlı cihazlar için üretilmiş ilk kötücül yazılım ortaya çıktı. Ikee solucanı yazılım olarak kırılmış –jailbreak edilmiş- iPhone’lara sızıyordu. Sızılan cihazlar sapıtıyor ve zemin değişerek 80’lerin güzel sesli şarkıcısı Rick Astley’in fotoğrafının yanında bir mesaj sunuyordu: “Ikee hiçbir zaman senden vazgeçmeyecek.” Bu basit gibi görülen solucan daha sonra geliştirilerek Hollanda’daki ING Bank müşterilerinin banka bilgilerini çalmak için kullanıldı. Şu zamana kadar resmi App Store ya da kırılmamış bir iPhone üzerinde herhangi bir kötücül yazılıma rastlanmadı ama web tabanlı jailbreak servisi jailbreakme.com iPhone tarayıcısı üzerinden saldırılabileceğini gösterdi.
İlk olarak Android kötücül yazılımları tamamen denetimsiz uygulama yayma ekosistemleri olan üçüncü parti uygulama mağazalarında yayıldı. Android uygulamalarında Apple’ın aksine sadece tek bir uygulama mağazası modelini benimsenmedi ve Android uygulaması yayımlanmadan önce herhangi bir kod incelemesinde bulunulmadığı için tüm sorumluluk kullanıcıya bırakıldı. Saldırıların yoğunlaşmasının ardından Google bu zararlı yazılımları uzaktan kaldırabilen bir sistem kurdu. Yine de Mart 2011’de en geniş Truva atı uygulama koleksiyonu ortaya çıktı, hem de bu kez resmi Android mağazasında. 50 uygulamanın içine virüs yüklenmiş sürümleri cihazlara sızmak için mağazadaki yerini aldı.

DroidDream olarak bilinen bu kötücül yazılım sadece cihazdaki IMEI ve IMSI bilgileri çalmakla kalmıyor gizli yazılımlar yükleyerek cihazdaki daha kişisel bilgileri suçlulara taşıyordu. Bu ikinci kötücül yazılım daha fazla kötücül kodun telefona indirilmesini sağlıyordu. Google bu uygulamayı uzaktan etkisiz hale getirdi ancak geride çok önemli sorular kadı; eğer ilk enfeksiyon daha sonra da kötücül yazılım indirdiyse, o uygulamanın ortadan kaldırılması yeterince etkili oldu mu? Google’ın kötücül yazılım harekete geçtikten sonra güvenlik aracını yayımlamasına rağmen suçlular daha hızlı davranarak bunu da bir fırsata dönüştürdü. Güvenlik aracı gibi görünen uygulama suçlular için bilgi çalan ve istediklerini yapabildikleri bir kötücül yazılıma dönüştürüldü. O zamandan günümüze birçok kötücül Android uygulaması rutin şekilde cihazlardaki SMS’leri iletiyor, GPS konum bilgilerini veriyor, para isteyen SMS’ler atıyor, arkadaştan gelen bir SMS gibi görünüyor ve son olarak da Google+ uygulamasında gerçekleşen telefon konuşmalarını suçlulara bildiriyor.
2011 yılında mobil kötücül yazılımların geldiği noktalara bakıldığında suçluların hâlâ çok fonksiyonlu ve kompleks şekilde saldırılarda bulunduğu görülüyor. Elbette mobil kötücül yazılımların Windows tabanlı kötücül yazılımları yakalaması için bir sürenin geçmesi gerekiyor ancak suçluların mobil platformlara ilgi gösterdiği ve hızlar arttığı bir gerçek. Bizler aynı suçlu gruplarından birçok platforma uyumlu saldırılar düzenlediğini görüyoruz. Karmaşık yapıdaki tehditlere örnek verecek olursak Zeus kötücül yazılımının artık mobil elementleri olduğunun ve SMS bankacılığına da el attığını söyleyebiliriz. Suçlular kullanıcı davranışlarına göre kendilerini şekillendiriyor ve para kazanacak fırsatları mobil platformlara taşımaya çalışıyor ki şimdiden buradalar.

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir