Etiket arşivi: android

KOBİ’lere Yönelik Sanal Saldırılar yüzde 36 Arttı!

Trend Micro, 2012 yılının ikinci çeyreğinde KOBİ’leri hedef alan siber saldırıların yüzde 36 oranında arttığını açıkladı.

Bulut güvenliği alanında dünyanın lider firması Trend Micro, ikinci çeyrek güvenlik raporunu açıkladı. Rapora göre; siber suçluların özellikle küçük işletmeleri hedef alarak kişisel ve finansal verileri çalma eğilimi hızla arttı. 2012 yılının ikinci çeyreğinde, küçük işletmelere yönelik saldırılar %36’lık artış gösterdi ve Trend Micro kullanıcılarına yönelik 142 milyon tehdit Trend Micro tarafından engellendi.

Trend Micro, bu tür saldırıların artmasıyla daha geniş kitlelerin hedeflendiğini raporunda açıkladı. Saldırılar sürerken zararlı yazılım tehditleri ve güvenlik açıklarının yenilenmiş sürümlerinin geniş kitlelerin bilgilerine odaklandığı görüldü. Ölçek genişlerken saldırıların gerçekleştiği hedeflerin daha fazla özelleştiği tespit edildi. Suçluların neden kişisel verileri çalmaya odaklandığının oldukça basit sebebi olduğunu belirten Trend Micro Güvenlik Araştırmaları ve İletişim Direktörü Rik Ferguson; “Küçük işletme sahiplerinin birçoğu saldırılara açık birçok farklı cihazdan işlerini yürüttüğü için saldırganların dikkatini çekiyor” dedi. Geçtiğimiz yıl Trend Micro’nun güvenlik güçleriyle bir araya gelerek yürüttüğü operasyonlarda yakayı ele veren siber suçluların saldırı metotlarını hızla değiştirdiğine değinen Ferguson; “Saldırganlar kendi ‘endüstrilerini’ geliştirmeye çalışıyor. Herkes şunu iyi bilmeli ki, siber suçluların yayıldığı sektörler hızla artıyor” açıklamasında bulundu.

2012 ikinci çeyreği için önemli notlar:

• 2012’nin ikinci çeyreğinde 25 bin Android zararlı uygulaması tespit edildi. Trend Micro’nun çalışmalarında, ilk çeyreğe göre %417 artış gösteren zararlı uygulamaların her beş Android telefonun birinde yer aldığı belirlendi.

• Ransomware (zararlı uygulamanın kaldırılması için para ödenmesi gereken yazılım) saldırılarıyla kullanıcıların coğrafik konumunu takip eden, işletim sistemini mahkum eden ve kişisel bilgilerin sızdırılacağına dair tehditte bulunulduğu ortaya çıktı.

• Pinterest, suçlular için oldukça önemli bir sosyal medya platformu haline geldi. En fazla kullanılan sosyal mühendislik yöntemlerindeki konularsa şu şekilde sıralandı: Diablo 3, Instagram, Android, Angry Birds Space, London 2012 Olimpiyatları ve Tibet.

• Otomatik Transfer Sistemi gibi karmaşık araçlar, kullanıcılar internete bağlı olmasa bile, siber suçluların banka bilgilerini çalmasını sağladı.

• BlackHole gibi saldırı yöntem ve organizasyonlar, saldırganların kişisel ve finansal bilgileri çalmasına yardımcı oldu.

• Tayvan’daki sunucularda barındırılan IXESHE zararlı yazılımı, özellikle Doğu Asya’daki işletmeleri hedef aldı.

Raporun İngilizce tam metnine ulaşabilmek için www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/rpt_its_big_business_and_its_getting_personal.pdf adresini kullanabilirsiniz.

Android uygulamalarındaki kitaplık dosyaları tehlikenin önyüzü mü?

Hepimizin bildiği gibi bilgisayarlarımız kadar telefonlarımız ve diğer mobil cihazlar da artık açık hedef konumunda. Peki mobil cihazlarımıza indirdiğimiz her uygulama güvenli mi? Yanıtınız evet ise bunu bir kere daha düşünmenizi öneririz.

Geçtiğimiz günlerde zararlı kitaplık dosyaları içeren ve devreye girdiği zaman etkilediği cihazı belirli bir komut-kontrol sunucusuna bağlanan bir zombi cihaza dönüştüren yeni Android uygulamalarını (ANDROIDOS_BOTPANDA.A) ortaya çıkardık. Bu dosyanın dikkat çeken bir yanı da dinamik kitaplıkta saklanması ve bu nedenle kolayca analiz edilememesi.

Uygulamada bulunan zararlı libvadgo kitaplık dosyası, NDK ile geliştirilmiş ve Java Native arayüzü kullanılarak yüklenmiş. NDK Android geliştirici, adayları tarafından uygulama geliştirmede kullanılan bir araç seti. Zararlı yazılım, file com.airpuh.ad/UpdateCheck dosyasını içeriyor. Bu dosya, libvadgo kitaplığını yüklüyor ve aşağıdaki kodu kullanarak Java_com_airpuh_ad_UpdateCheck_dataInit fonksiyonunu devreye alıyor:

İncelememize göre Java_com_airpuh_ad_UpdateCheck_DataInit’in dikkat çeken yönlerinden biri /system/xbin/su dosyasını kontrol ederek etkilenen bir cihaza yerleşilip yerleşilmediğini kontrol ediyor. Eğer öyleyse dosya tarafında /system/xbin/su ve /system/xbin/su içinde yer alan aşağıdaki komut devreye alınıyor:

Java_com_airpuh_ad_UpdateCheck_DataInit aynı zamanda birkaç dakika sonra kaldırılacak olan .e[int_a]d dosyasını çalıştırıyor. Bu dosyanın yaptığı ilk iş ise /system/lib/libd1.so’nun varlığını kontrol etmek, dosyaların yerlerini değiştirmek ve system/xbin/ altında yakalanmadan barınmak için önemli sistem komutlarını kontrol altına almak. Bunu ise system/xbin/ altında eşdeğer dosyalara yaratarak yapıyor. Üretilen bütün dosyalar, system/lib/lib1.so’nun sureti (duplication). Aynı zamanda system/bin/svc’yi modifiye ediyor ki bu sayede zararlı yazılım otomatik olarak devreye giriyor.

.e[int_a]d dosyası zararlı yazılımın ana işlevi olan C&C sunucularıyla iletişim görevini gerçekleştiriyor. Araştırmalarımız sırasında bu sunucuların halihazırda bir şekilde kapalı olduğunu gördük. Bu nedenle etkilenen cihazlarda ne tür bir komut işlendiğini doğrulayamıyoruz.

Daha önce belirttiğimiz gibi bu tehdidi dikkate değer yapan şey, ANDROIDOS_BOTPANDA.A’nın dinamik kitaplık libvadgo.so’yu kullanması. Bu tip zararlı yazılımlar bu dosya arkasına saklanarak ve bu sayede bulunması zor hale gelerek çalışırlar. Bu tip tehditler aynı zamanda belirli süreçleri ortadan kaldırır, önemli sistem komutlarını yakalar ve dosyaların yerlerini değiştirerek saptama-kaldırma çözümlerini zorlaştırır.

Eğer gelecekte daha fazla Android bazlı zararlı yazılım bu tekniği kullanırsa, güvenlik uzmanları için bu tehditleri analiz etmenin ve onlara karşı çözüm üretmenin çok daha zor hale geleceğine eminiz.

Bu zararlı yazılımın üçüncü parti uygulama mağazalarından geldiğini söyleyebiliriz. ANDROIDOS_BOTPANDA.A nedeniyle kullanıcılara, özellikle üçüncü parti uygulama mağazalarından, uygulama indirirken çok dikkatli olmalarını öneriyoruz.

Cihazınızın bu tehditten etkilendiğinden şüpheleniyorsanız; uygulama dosyalarını kontrol edebilirsiniz. Sistemde system/lib klasör kısa yolunu ve libd1.so dosyasını aratın. Aynı zamanda klasör kısa yollarında scv dosyası /system/bin’e bakabilirsiniz ve cihazınızın durumunu anlamak için bu dosyanın /system/bin/ifconfig satırını içerip içermediğini kontrol edebilirsiniz.

17 zararlı yazılım Android kol gezdi, 700 binden fazla kez indirildi

Trend Micro uzmanları daha önce Android’in resmi uygulama mağazasında zararlı yazılım barındıran uygulamalar olduğu konusunda uyarılarda bulunmuştu. Daha önceki zararlı uygulamalar Trend Micro’nun Mobil Uygulama İtibar (Mobile App Reputation) sistemi sayesinde hızla kullanıcılara zarar vermeden engellenmişti.

Google Play ismini alan uygulama mağazasında raporlanan uygulamaların kaldırıldığına şahit olsak da, yenilerinin gelmesi gecikmedi. Trend Micro Mobil Güvenlik Mühendisi Bob Pan’in açıklamalarına göre, toplamda 17 zararlı yazılım Google Play üzerinde kullanıcıların indirmesini bekliyor.

Bu uygulamaların 10 tanesi AirPush kullanıyor ve kullanıcıları rahatsız eden reklamlar çıkartıyor. 6 uygulamada ise Plankton zararlı yazılım kodu bulundu.

Diğer bir uygulama ise casus yazılım olarak çalışıyor. Bu casus yazılım kullanıcıların konum bilgilerini, telefon görüşmeleri ve mesajlarını saldırganlara gönderebiliyor. Uygulama içindeki “Kaydet ve Başlat” tuşlarına basıldığında saldırganın yönlendirdiği web sitesine yönlendiriliyor.

Bu uygulamaların binlerce kez indirildiği görüldü. Casus uygulama olan PDASpy uygulamasının 100 bin defadan fazla indirildiği ortaya çıktı. Tüm uygulamalar toplandığında 700 binden fazla kez indirildiği belirlendi.

Trend Micro uzmanları bu zararlı uygulamaları mobil uygulama itibarı sayesinde ortaya çıkardı. Uzmanlar resmi ve üçüncü parti uygulama mağazalarını sürekli denetliyor, yeni yüklenen, popüler olan uygulamaları test ediyor.

Konuyla ilgili Google bazı aksiyonlar alsa da tüm zararlı uygulamalar temizlenmedi. Konuyla ilgili gelişmeleri bildirmeye devam edeceğiz.

2012’nin ilk siber tehditler raporunda Android, Apple ve Pinterest öne çıktı

Trend Micro’nun yayınladığı siber tehdit raporuna göre 2012’nin ilk üç ayında Android platformuna yönelen 5 bin yeni tehdit oluştu, Apple platformunda 99 yeni açık tespit edildi ve yeni sosyal medya ağı Pinterest’e ilk saldırı gerçekleşti.

Trend Micro 2012 İlk Çeyrek Güvenlik Raporu’na göre, daha önceden siber suçluların tercih ettiği doğrudan “saldır ve içerik çal” yöntemleri yerini uzun süreli yürütülen kampanyalara bıraktı. Bu çeyrekte güvenlik endüstrisi önemli bir değişim gösterirken, hedefli saldırılar ve gelişmiş ısrarlı tehditlere şahit oldu.

Rapora göre, İlk çeyrekte görülen Linsanity, Whitney Houston’ın ölümü ve dünya çapında gerçekleşen sosyo-politik ayaklanma gibi olaylar, siber suçlulara yeni sosyal mühendislik kampanyaları için malzemeler verdi. Siber suçlular bu malzemeleri kullanarak kullanıcı ve ağlara girerek ve/veya sızarak kişisel bilgilere erişim sağladılar. Ayrıca rapor, gelişmiş ısrarlı tehditler uygulayan siber suçluların, bir kampanya içerisinde farklı saldırı yöntemleri izleyerek, hangi saldırının kurbanın ağı üzerinde başarıya ulaşacağından emin olduklarını ortaya koydu. Luckycat kampanyasında hedeflere çeşitli zararlı yazılımlarla saldırılırken, bu saldırıların bazıları başka siber saldırı kampanyalarına yönlendirildi.

2012 ilk çeyrekte öne çıkan saldırılar:

§ İnternet erişimini akıllı telefonları üzerinden yürüten Android kullanıcılarına yapılan saldırılardaki artış hızla devam etti. Yalnızca ilk çeyrekte, Trend Micro yaklaşık 5 bin yeni zararlı Android uygulaması tespit etti.

§ Apple toplamda 99 açıkla, Oracle, Google ve Microsoft’u geride bıraktı. Oracle 78 ile ikinci sırada yer alırken Google’da 73, Microsoft’ta 43 açık görüldü. En yüksek açık rakamına ulaşmanın dışında Apple, Mart ayında yayımladığı yamalarla da rekor kırdı.

§ Yeni sosyal medya sitesi Pinterest, sadece popülerlik kazanmakla kalmadı. Site kullanıcıları, Starbucks logolu hediye kartlarını birbirine dağıtırken, bu iletinin zararlı yazılım içerdiğinden haberleri yoktu.

§ Bu çeyreğin en fazla istenmeyen e-posta gönderen ülkeleri ise şu şekilde sıralandı: Hindistan (% 20), Endonezya (% 13), Güney Kore (% 12) ve Rusya (% 10).

§ Bu çeyrek boyunca, bir bulut bilişim altyapısı olan Trend Micro Smart Protection Network, Trend Micro kullanıcılarını 15.3 milyar istenmeyen mesaj, 338.4 bin zararlı yazılım ve 1.3 milyar zararlı bağlantıdan korudu.

Angry Birds Space ve Instagram’ın Sahte Sürümleri Keşfedildi

Akıllı telefonlar arasında en fazla kullanılan işletim sistemi Android için geliştirilen Angry Birds Space ve Instagram gibi uygulamaların sahte sürümleri, kullanıcıların hem kişisel bilgisayarlarına hem de taşınabilir cihazlarına sızıyor.

Kısa süre önce Facebook, yaklaşık bir hafta önce Android sürümü çıkan popüler fotoğraf paylaşım uygulaması Instagram’ı satın aldığını duyurdu. Satın almanın yaklaşık 1 milyar dolara gerçekleştiği bilgisi verildi. Siber suçlular da hiç vakit kaybetmeden Instagram’ın popülerliğinden yararlanmaya başladı. Trend Micro uzmanları, Instagram’ın sahte sürümünü barındıran dolandırıcı bir site bulduklarını açıkladı.

Trend Micro Analisti Karla Agregado’nun açıklamalarına göre, bulunan sayfa kendini Instagramın resmi sitesi gibi tanıtırken, verilen sahte bağlantılarla kullanıcıların zararlı yazılım indirmesi isteniyor.

Angry Birds Space’in de sahte sürümü bulundu!

Bir diğer Trend Micro Analisti Jonathan Beltran da Angry Birds Space’in sahte sürümünü bulduğunu açıkladı. Sahte Instagram uygulamasına benzer şekilde hazırlanan popüler oyun, dolandırıcı bir Rus sitesinde barındırılıyor. Hem Instagram hem de Angry Birds Space üzerinde yapılan analizlerde, iki zararlı yazılımın da kullanıcılardan, uygulamanın aktif hale gelmesi için izin istediği görüldü. Aslında bu sırada zararlı yazılımın daha önceden belirlenmiş numaralara mesajlar attığı ortaya çıktı. Aynı zamanda dolandırıcı uygulamanın yine önceden belirlenmiş sitelere bağlanarak, cihazlara başka dosyalar indirdiği belirlendi.

Bundan kısa süre önce Trend Micro uzmanları, özellikle Rusya alan adı bulunan sahte web sitelerinin popüler Android uygulamalarının indirilmesini teşvik ettiğini keşfetti. Bu uygulamalar arasında Fruit Ninja, Temple Run ve Talking Tom Cat yer aldı. Kullanıcıların özellikle üçüncü parti sitelerden Android uygulaması indirirken oldukça dikkatli olması gerekiyor. Trend Micro, Smart Protection Network sayesinde zararlı yazılım bulunduran web sitelerindeki bağlantıların tıklanması ve sahte Instagram ve Angry Birds Space uygulamalarının indirilmesinin önüne geçiyor. Ayrıca Trend Micro Mobile Security Android akıllı telefonlara zararlı yazılım bulaşmasının da önüne geçiyor.