Android uygulamalarındaki kitaplık dosyaları tehlikenin önyüzü mü?

Bir Cevap Yazın

Hepimizin bildiği gibi bilgisayarlarımız kadar telefonlarımız ve diğer mobil cihazlar da artık açık hedef konumunda. Peki mobil cihazlarımıza indirdiğimiz her uygulama güvenli mi? Yanıtınız evet ise bunu bir kere daha düşünmenizi öneririz.

Geçtiğimiz günlerde zararlı kitaplık dosyaları içeren ve devreye girdiği zaman etkilediği cihazı belirli bir komut-kontrol sunucusuna bağlanan bir zombi cihaza dönüştüren yeni Android uygulamalarını (ANDROIDOS_BOTPANDA.A) ortaya çıkardık. Bu dosyanın dikkat çeken bir yanı da dinamik kitaplıkta saklanması ve bu nedenle kolayca analiz edilememesi.

Uygulamada bulunan zararlı libvadgo kitaplık dosyası, NDK ile geliştirilmiş ve Java Native arayüzü kullanılarak yüklenmiş. NDK Android geliştirici, adayları tarafından uygulama geliştirmede kullanılan bir araç seti. Zararlı yazılım, file com.airpuh.ad/UpdateCheck dosyasını içeriyor. Bu dosya, libvadgo kitaplığını yüklüyor ve aşağıdaki kodu kullanarak Java_com_airpuh_ad_UpdateCheck_dataInit fonksiyonunu devreye alıyor:

İncelememize göre Java_com_airpuh_ad_UpdateCheck_DataInit’in dikkat çeken yönlerinden biri /system/xbin/su dosyasını kontrol ederek etkilenen bir cihaza yerleşilip yerleşilmediğini kontrol ediyor. Eğer öyleyse dosya tarafında /system/xbin/su ve /system/xbin/su içinde yer alan aşağıdaki komut devreye alınıyor:

Java_com_airpuh_ad_UpdateCheck_DataInit aynı zamanda birkaç dakika sonra kaldırılacak olan .e[int_a]d dosyasını çalıştırıyor. Bu dosyanın yaptığı ilk iş ise /system/lib/libd1.so’nun varlığını kontrol etmek, dosyaların yerlerini değiştirmek ve system/xbin/ altında yakalanmadan barınmak için önemli sistem komutlarını kontrol altına almak. Bunu ise system/xbin/ altında eşdeğer dosyalara yaratarak yapıyor. Üretilen bütün dosyalar, system/lib/lib1.so’nun sureti (duplication). Aynı zamanda system/bin/svc’yi modifiye ediyor ki bu sayede zararlı yazılım otomatik olarak devreye giriyor.

.e[int_a]d dosyası zararlı yazılımın ana işlevi olan C&C sunucularıyla iletişim görevini gerçekleştiriyor. Araştırmalarımız sırasında bu sunucuların halihazırda bir şekilde kapalı olduğunu gördük. Bu nedenle etkilenen cihazlarda ne tür bir komut işlendiğini doğrulayamıyoruz.

Daha önce belirttiğimiz gibi bu tehdidi dikkate değer yapan şey, ANDROIDOS_BOTPANDA.A’nın dinamik kitaplık libvadgo.so’yu kullanması. Bu tip zararlı yazılımlar bu dosya arkasına saklanarak ve bu sayede bulunması zor hale gelerek çalışırlar. Bu tip tehditler aynı zamanda belirli süreçleri ortadan kaldırır, önemli sistem komutlarını yakalar ve dosyaların yerlerini değiştirerek saptama-kaldırma çözümlerini zorlaştırır.

Eğer gelecekte daha fazla Android bazlı zararlı yazılım bu tekniği kullanırsa, güvenlik uzmanları için bu tehditleri analiz etmenin ve onlara karşı çözüm üretmenin çok daha zor hale geleceğine eminiz.

Bu zararlı yazılımın üçüncü parti uygulama mağazalarından geldiğini söyleyebiliriz. ANDROIDOS_BOTPANDA.A nedeniyle kullanıcılara, özellikle üçüncü parti uygulama mağazalarından, uygulama indirirken çok dikkatli olmalarını öneriyoruz.

Cihazınızın bu tehditten etkilendiğinden şüpheleniyorsanız; uygulama dosyalarını kontrol edebilirsiniz. Sistemde system/lib klasör kısa yolunu ve libd1.so dosyasını aratın. Aynı zamanda klasör kısa yollarında scv dosyası /system/bin’e bakabilirsiniz ve cihazınızın durumunu anlamak için bu dosyanın /system/bin/ifconfig satırını içerip içermediğini kontrol edebilirsiniz.

Trend Micro, Sanallaştırma Güvenliğinde Yine Zirvede!

Bir Cevap Yazın

Trend Micro, üst üste iki yıldır sanallaştırma güvenliğinde küresel piyasa liderliğini kimseye bırakmadı.

Dünyanın bulut güvenliği lideri Trend Micro, sanallaştırma güvenliği yönetimi çözümleri pazarında %10 ila %12 pazar payı ile en fazla pazar payına sahip olan şirket oldu. TechNavio tarafından yayımlanan Küresel Sanallaştırma Güvenliği Yönetimi Çözümleri Piyasası 2011-2015 (The Global Virtualization Security Management Solutions Market 2011-2015) raporuna göre, sanallaştırma güvenliğinde ilk sırada yer alan Trend Micro, bulut güvenliği pazarında da en fazla paya sahip şirket oldu.

Raporda Trend Micro’nun sanal ortamlar için sunduğu geniş ölçekli sanallaştırma güvenliği çözümleri ve rakipleriyle olan karşılaştırmalarına yer verildi. Ayrıca Third Brigade stratejik satın almasının da önemi vurgulanırken, Trend Micro’nun Microsoft, HP, IBM, VMware ile oluşturduğu güçlü iş ortaklığı yapısı ile sanallaştırma güvenliği ürünlerinin gelişimi için harcanan çabaya dikkat çekildi.

Sanallaştırma güvenliği pazarının önümüzdeki üç yıl içerisinde %49.53 oranında büyüyeceği öngörüsü de raporda yerini aldı. % 51 ila 53 pazar payı ile piyasayı sürükleyen kıtanın Amerika olduğu belirtilen raporda; Avrupa, Orta Doğu ve Afrika (EMEA) bölgesi ile Asya Pasifik bölgelerinin piyasada hızla paylarını artırdığı bilgisi verildi.

Bulut ve sanallaştırma güvenliği konusunda Trend Micro’nun yer aldığı diğer raporlarsa şu şekilde:

  • TechNavio’nun “Küresel Bulut Güvenliği Yazılım Piyasası Raporu 2011-2015 içerisinde küresel bulut güvenliği piyasası lideri.
  • IDC’nin “Dünya Çapında Uç Nokta Güvenliği 2011-2012 Öngörüsü ve 2010 Sağlayıcı Paylarıraporunda kurumsal uç nokta sunucu güvenliği ve dünya çapında sanallaştırma güvenliği yönetimi piyasa lideri.
  • TechNavio’nun “Küresel Sanallaştırma Güvenliği Yönetimi Çözümleri 2010-2014”  raporunda kurumsal uç nokta sunucu güvenliği ve dünya çapında sanallaştırma güvenliği yönetimi piyasa lideri.

Trend Micro Deep Security, şirketin sanallaştırma güvenliğindeki amiral gemisini oluşturuyor. Deep Security’nin genel yetenekleriyle Trend Micro, VMware sanal makineleri için sunduğu güvenlik uygulamasında endüstrinin ilk ve tek aracısız güvenlik platformu ile aracısız anti-malware, görüntüleme entegrasyonu, IDS/IPS, web uygulamaları koruması ve güvenlik duvarını bir araya getirdi. Deep Security piyasaya sürüleli iki yıldan az bir süre oldu.

Trend Micro Deep Security;

  • Günümüzün dinamik veri merkezlerinin uyum ve operasyonel güvenlik ihtiyaçlarına cevap vererek fiziksel, sanal ve bulut ortamlarında sistem ve uygulama güvenliği sağlar.
  • Derinlemesine tarama ve önleme, web uygulama koruması, güvenlik duvarı, entegre görüntüleme, kayıt takibi ve anti-malware yeteneklerini merkezden yönetilebilen tek bir çözümde bir araya getiren kurumsal yazılım çözümüdür.
  • Birçoğu Global 2000 şirketleri arasında yer alan 1.500’ün üzerinde lisanslı kullanıcının sanallaştırılmış ortamda güvenliğini sağlar. Bunlar arasında 6.000’in üzerinde sanal makineden 300 sanal makineye kadar her ölçekteki şirket bulunur.
  • VMware gibi piyasa lideri şirketlerin yenilikçi sanallaştırma çözümleriyle uyumlu çalışması için özel olarak tasarlandı. Bu nedenle Trend Micro, VMware’in 2011 yılında “Yılın Teknoloji İş Ortağı” ve ilk kez verilen “Bulut Güvenliği İş Birliği Endüstri Liderliği” ödüllerine layık görüldü.

Dolandırıcıların Yeni Oyuncağı Akıllı Telefonlar!

Bir Cevap Yazın

Trend Micro, hazırladığı video ile son dönemde oldukça yaygınlaşan akıllı telefonların kullanıcılarını uyarıyor. Video, suçluların bireyleri nasıl dolandırdıklarının yanı sıra kurumsal toplantılarda telefonların birer mikrofon haline getirilerek nasıl bilgi hırsızlığı yaptıklarını da çarpıcı örneklerle gösteriyor.

Bir kaç sene öncesine kadar sadece erkek kullanıcılar tarafından kullanılan akıllı telefonlar,  geliştirilen kullanıcı dostu ara yüzleri ile kadınlar tarafından da benimsenerek günlük yaşamın olmazsa olmazı haline gelmeyi başardı. İnternet kullanımını mobil ekranlara taşıyan bu telefonlar çok kısa bir sürede bilgisayar satışlarını geride bıraktı.

Günümüzde 10 milyon ön sipariş ile piyasaya çıkan akıllı telefonlar, kullanıcılar tarafından pek bilinmeyen suç ekonomisi açısından da önemli bir gelir kaynağı oldu. Dünyanın önde gelen içerik güvenliği firmalarından Trend Micro, akıllı telefon kullanıcılarını uyarmak ve kullanıcıların akıllı telefonları nedeniyle yaşayabilecekleri olumsuz durumlara dikkat çekmek amacıyla bir video yayınladı.

Trend Micro’da EMEA bölgesinden sorumlu Güvenlik Araştırmaları Direktörü olarak çalışan Rik Ferguson’un anlatıcı olarak yer aldığı videoda, suçluların bireylerin akıllı telefonlarına nasıl sızdıkları örneklerle gösteriliyor. Bireysel örnekte suçlu bir kişinin akıllı telefonuna sızarak telefonun ücretli bir servise düzenli olarak mesaj atmasını sağlarken kurumsal örnekte ise bir kurumda çalışan birinin akıllı telefonunu ele geçiren suçlu, çalışanın katıldığı toplantının ses kaydını çalışanın telefonu vasıtasıyla dinleyip kaydediyor ve kurumun rakiplerine bu bilgiyi satıyor.

Türkçe altyazılı videoyu hemen aşağıda izleyebilirsiniz.

Haziran 2012 yaması kötü imzaları temizliyor

Bir Cevap Yazın

Microsoft bu ayın yamasında, kendi imzasını taşıyormuş gibi görünen zararlı yazılımlara karşı savaş açıyor. Özellikle Orta Doğu’daki ülkelerin canını yakan Flame virüsünün de benzer yöntemle bilgisayarlara sızmasının ortaya çıkması Microsoft’u harekete geçirdi.

Yeni gelen güncellemeyle güvenilmeyen sertifikalı yazılımları tam zamanlı, otomatik olarak tarıyor ve işaretliyor. Hemen hatırlatalım, Microsoft sertifikalarını kullanmayı bilen Flame virüsüne karşı Trend Micro kullanıcılarının endişe etmesi gerekmiyor.

Bu ay yayımlanan yedi bültenden üçü kritik olarak açıklanırken geri kalanı önemli olarak belirtildi. Kritik bültenler arasında uzaktan masaüstü protokolü, Internet Explorer’ın 6’dan 9’a kadar sürümleri ve Microsoft .NET Framework’ün çeşitli sürümleri konu edildi. Açıklarda Microsoft ürünlerine sızıldığında uzaktan erişime olanak tanındığı bilgisi verildi. Bu nedenle kullanıcıların yamaları hızla indirmesi gerekiyor.

Facebook’ta başkasının şifresi için kendi şifrenizden olmayın!

Bir Cevap Yazın

Trend Micro uzmanları Smart Protection Network üzerinde çalışmalarını sürdürürken, http://{BLOCKED}bookhacking.com/FacebookHackerPro_Install.exe web adresinde şüpheli bir dosyaya rastladı. Tehdit analisti Roddell Santos’un verdiği bilgilere göre, yazılımın bulunduğu alan adına bakıldığında Facebook’u hack’leme aracı vaat ettiği görülüyor.

Analizlere göre, sıradan bir yükleme dosyası olarak göze çarpan yazılım kullanıcılara lisans sözleşmesi sunuyor ve kullanıcıların dosyayı istediği yere kaydetmesine olanak tanıyor. Ancak toolbar.exe zararlı dosyası kullanıcılar farkında olmadan geçici dosyalara kaydolarak sisteme sızmayı başarıyor.

Bir kez bilgisayara yüklendiğinde kullanıcıların Facebook’ta kullanılan e-postayı girmesini isteyen yazılım, birkaç dakika sonra e-postası girilen hesabın şifresini bulduğunu açıklıyor.

Bunun ardından şifrenin kullanıcıya verilmesi için programın tamamen satın alınması gerektiği uyarısı çıkıyor. Ödenmesi istenen meblağ ise 29.99 dolar. Satın alma gerçekleştirilirse kullanıcıların tekrar e-posta girmesi isteniyor.Ardından program sahiden de e-posta ve şifreyi kullanıcıya veriyor.

Peki program bunu nasıl yapıyor? Aslında oldukça basit; program yüklendiğinde üçüncü parti uygulama kullanıcının tarayıcısında kaydedilen şifrelerin olduğu dosyaya ulaşıyor. Bu sayede sistemde yer alan kullanıcı isimleri ve şifreler yazılımda görülebiliyor.

Kullanıcılardan ricamız, bu tür yasadışı yollarla herhangi birinin şifresinin bulunamayacağını aklında tutmaları. Zira bu yöntemler hem yasadışı hem de kendi sistemlerine zarar veren casus yazılımların indirilmesine sebep olup, hesaplarının çalınmasına yol açıyor.

Bir diğer Facebook aracı da “Hack Facebook Pro”

Sarah Calaunan’ın verdiği bilgilere göre, Facebook hesaplarının kırılması için geliştirdiği öne sürülen “Hack Facebook Pro” isimli yazılım, sistemdeki verileri çalmaya odaklanıyor. Çalınan veriler de istenmeyen kişilere gönderiliyor. Bu tür araçları indiren kişiler bir başkasının şifresini öğrenmektense kendi şifresinden oluyor.

Ayrıca Facebook üzerinde birçok araştırma ve özel ilaç gibi satış yapmaya yönelik bağlantılar geziyor. Facebook üzerinde arkadaşlarınızdan dahi gelse, gelen şüpheli bağlantıları açmamanızı tavsiye ediyoruz.

Trend Micro kullanıcıları Smart Network Protection sayesinde elbette korunuyor. Ayrıca Trend Micro yazılımı kurulmadan önce bir şekilde sisteme giren zararlı yazılımlar da tespit edilerek sistemden temizleniyor. 900 milyondan fazla kullanıcısı olan Facebook, elbette siber suçluların dikkatini çekiyor. Bu nedenle dev sosyal ağdaki yaşantımıza daha fazla dikkat etmemiz gerekiyor.