Smartphones – Ulven er ankommet - DK Cert
Smartphones – Ulven er ankommet - DK Cert
Smartphones – Ulven er ankommet - DK Cert
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
<strong>DK</strong>•CERT<br />
[<strong>Smartphones</strong> <strong>–</strong> <strong>Ulven</strong> <strong>er</strong> <strong>ankommet</strong>]
Redaktion: Dennis Panduro Rand, <strong>DK</strong>•CERT<br />
Grafisk arbejde: Kirsten Tobine Hougaard, UNI•C<br />
Foto: colourbox.com<br />
© UNI•C 2011<br />
<strong>DK</strong>•CERT opfordr<strong>er</strong> til ikke-komm<strong>er</strong>ciel brug af rapporten. Al brug og gengivelse af rapporten forudsætt<strong>er</strong> angivelse af<br />
kilden.<br />
D<strong>er</strong> må uden foregående tilladelse henvises til rapportens indhold samt cit<strong>er</strong>es maksimalt 800 ord ell<strong>er</strong> reproduc<strong>er</strong>es<br />
maksimalt 2 figur<strong>er</strong>.<br />
Al yd<strong>er</strong>lig<strong>er</strong>e brug kræv<strong>er</strong> forudgående tilladelse.
Om <strong>DK</strong>•CERT<br />
Det <strong>er</strong> <strong>DK</strong>•CERTs mission at skabe øget fokus på it-sikk<strong>er</strong>hed ved at opbygge og skabe aktuel, relevant og brugbar<br />
viden. Denne viden gør <strong>DK</strong>•CERT i stand til at offentliggøre og udsende advarsl<strong>er</strong> og anden information om<br />
potentielle risici og begyndende sikk<strong>er</strong>hedsproblem<strong>er</strong>.<br />
<strong>DK</strong>•CERT bygg<strong>er</strong> på en vision om at skabe samfundsmæssig værdi i form af øget it-sikk<strong>er</strong>hed. Det sk<strong>er</strong> gennem<br />
offentliggørelse af viden om it-sikk<strong>er</strong>hed skabt gennem samarbejde med den offentlige og private sektor, forsknings-<br />
og und<strong>er</strong>visningsv<strong>er</strong>denen, samt int<strong>er</strong>nationale samarbejdspartn<strong>er</strong>e.<br />
Denne viden benytt<strong>er</strong> <strong>DK</strong>•CERT til at udvikle s<strong>er</strong>vices, d<strong>er</strong> skab<strong>er</strong> m<strong>er</strong>værdi for <strong>DK</strong>•CERTs kund<strong>er</strong> og øvrige<br />
int<strong>er</strong>essent<strong>er</strong> og sætt<strong>er</strong> dem i stand til bedre at sikre d<strong>er</strong>es it-system<strong>er</strong>.<br />
<strong>DK</strong>•CERT, det danske Comput<strong>er</strong> Em<strong>er</strong>gency Response Team, blev oprettet i 1991 som en afdeling af UNI•C,<br />
Danmarks it-cent<strong>er</strong> for uddannelse og forskning, d<strong>er</strong> <strong>er</strong> en styrelse und<strong>er</strong> Und<strong>er</strong>visningsminist<strong>er</strong>iet.<br />
<strong>DK</strong>•CERT var blandt pion<strong>er</strong><strong>er</strong>ne, d<strong>er</strong> først i 1990’<strong>er</strong>ne tog initiativ til etabl<strong>er</strong>ing af et int<strong>er</strong>nationalt samarbejde om itsikk<strong>er</strong>hed<br />
med grundidé i CERT/CC i USA. Som led i dette samarbejde ov<strong>er</strong>våg<strong>er</strong>, rådgiv<strong>er</strong> og inform<strong>er</strong><strong>er</strong> <strong>DK</strong>•CERT<br />
om it-sikk<strong>er</strong>hed i Danmark.<br />
<strong>DK</strong>•CERT samarbejd<strong>er</strong> med GovCERT (Gov<strong>er</strong>nment Comput<strong>er</strong> Em<strong>er</strong>gency Response Team), d<strong>er</strong> <strong>er</strong> den danske<br />
stats int<strong>er</strong>netvarslingstjeneste. <strong>DK</strong>•CERT bidrag<strong>er</strong> med information rettet mod borg<strong>er</strong>ne og mindre virksomhed<strong>er</strong> om<br />
aktuelle trusl<strong>er</strong> og sikk<strong>er</strong>hedshændels<strong>er</strong>.
Indholdsfortegnelse<br />
Om <strong>DK</strong>•CERT ................................................................................................................................................................... 2<br />
Indholdsfortegnelse ........................................................................................................................................................... 3<br />
Indledning .......................................................................................................................................................................... 4<br />
Fremtiden .......................................................................................................................................................................... 4<br />
<strong>Ulven</strong> <strong>er</strong> <strong>ankommet</strong> ........................................................................................................................................................... 4<br />
GolDream.B ....................................................................................................................................................................... 5<br />
Zitmo (Zeus in the mobile) ................................................................................................................................................ 6<br />
Analyse af en Zitmo-variant ........................................................................................................................................... 7<br />
Zbot-variant<strong>er</strong> ............................................................................................................................................................. 7<br />
Infektionsprocessen ................................................................................................................................................... 7<br />
Rettighed<strong>er</strong> ................................................................................................................................................................ 8<br />
Zitmo-kilden til alt ondt ............................................................................................................................................. 10<br />
Rens din Android for Zitmo ...................................................................................................................................... 13<br />
Ref<strong>er</strong>enc<strong>er</strong> ....................................................................................................................................................................... 14
Indledning<br />
D<strong>er</strong> har været råbt ulven komm<strong>er</strong> i mange år om sikk<strong>er</strong>hedstrusl<strong>er</strong> og især skadelige programm<strong>er</strong> til mobiltelefon<strong>er</strong>.<br />
Eft<strong>er</strong> at smartphone-markedet <strong>er</strong> eksplod<strong>er</strong>et, <strong>er</strong> ulven <strong>er</strong> nu <strong>ankommet</strong>.<br />
Denne artikel beskriv<strong>er</strong> to typ<strong>er</strong> skadelig programkode, d<strong>er</strong> har hv<strong>er</strong>t d<strong>er</strong>es formål med at infic<strong>er</strong>e Android-enhed<strong>er</strong>.<br />
Fremtiden<br />
Fremtiden for smartphones vil med stor sandsynlighed bringe mange problemstilling<strong>er</strong> i forhold til sikk<strong>er</strong>hed.<br />
Udfordringen ligg<strong>er</strong> i, at enhed<strong>er</strong>ne netop <strong>er</strong> mobile. D<strong>er</strong>for <strong>er</strong> de hv<strong>er</strong>ken beskyttet af virksomhed<strong>er</strong>nes fysiske<br />
sikk<strong>er</strong>hed ell<strong>er</strong> netværkssikk<strong>er</strong>heden i form af for eksempel firewalls.<br />
Mobile enhed<strong>er</strong> udgør en udfordring, som branchen vil arbejde på at løse ov<strong>er</strong> de næste mange år.<br />
De skadelige programm<strong>er</strong> som vi helt sikk<strong>er</strong>t vil se fl<strong>er</strong>e af, vil også blive m<strong>er</strong>e avanc<strong>er</strong>ede og finde måd<strong>er</strong>, hvorpå de<br />
kan skjule sig bedre på enheden.<br />
<strong>Ulven</strong> <strong>er</strong> <strong>ankommet</strong><br />
En smartphone <strong>er</strong> reelt en lille, ultramobil comput<strong>er</strong>. D<strong>er</strong>for har sikk<strong>er</strong>hedsfolk i mange år ventet på, at skadelig<br />
software rettet mod platformen skulle dukke op.<br />
Et af de første eksempl<strong>er</strong> på skadelig software til Googles Android-styresystem blev fundet at Kasp<strong>er</strong>sky Labs i<br />
august 2010. Truslen fik navnet ”Trojan-SMS.AndroidOS.FakePlay<strong>er</strong>.a.” Eft<strong>er</strong> installation send<strong>er</strong> FakePlay<strong>er</strong> SMSbesked<strong>er</strong><br />
til ov<strong>er</strong>taks<strong>er</strong>ede numre, hvorved bagmændene tjen<strong>er</strong> penge på infektionen.<br />
FakePlay<strong>er</strong> infic<strong>er</strong><strong>er</strong> telefon<strong>er</strong> ved at udgive sig for at være et legitimt program. Den angrebsmetode <strong>er</strong> fortsat meget<br />
udbredt. M<strong>er</strong>e end 97% af den malware, d<strong>er</strong> findes til Android i dag, bliv<strong>er</strong> install<strong>er</strong>et af brug<strong>er</strong>en selv. Brug<strong>er</strong>en har<br />
altså selv accept<strong>er</strong>et at install<strong>er</strong>e det skadelige program. Det sk<strong>er</strong> som regel igennem Android Market, hvor brug<strong>er</strong>en<br />
selv install<strong>er</strong><strong>er</strong> og accept<strong>er</strong><strong>er</strong> truslen, d<strong>er</strong> giv<strong>er</strong> sig ud for at være en legitim applikation.<br />
McAfee skriv<strong>er</strong> i firmaets rapport for andet kvartal 2011, at Android nu <strong>er</strong> den mobilplatform, d<strong>er</strong> findes mest skadelig<br />
software til. Ud af 1.200 skadelige programm<strong>er</strong> var 60 procent til Android.<br />
Kilde: Mcafee Q2 2011 Threat report
På en m<strong>er</strong>e gen<strong>er</strong>el statistik kan man også se, at d<strong>er</strong> komm<strong>er</strong> m<strong>er</strong>e og m<strong>er</strong>e skadelig kode til mobilplatformen.<br />
GolDream.B<br />
Kilde: Mcafee Q2 2011 Threat report<br />
GolDream <strong>er</strong> et af mange skadelige programm<strong>er</strong> til Android. Grafikken nedenfor vis<strong>er</strong>, hvordan brug<strong>er</strong>en selv<br />
install<strong>er</strong><strong>er</strong> den skadelige kode og accept<strong>er</strong><strong>er</strong> de rettighed<strong>er</strong>, d<strong>er</strong> skal til, for at den skadelige kode får fuld effekt.<br />
Brug<strong>er</strong>en har dog ingen anelse om den fulde funktionalitet af koden, men tror, at programmet <strong>er</strong> et uskyldigt spil.<br />
Som også vist på illustrationen til venstre kræv<strong>er</strong> 98 procent af al malware til Android, at<br />
brug<strong>er</strong>en aktivt accept<strong>er</strong><strong>er</strong> at install<strong>er</strong>e applikationen. D<strong>er</strong>for kan man med fordel lave en<br />
awareness/oplysningskampagne om sikk<strong>er</strong>heden på smartphones.
Ved eksempelvis spillet ”Drag Race,” som var infic<strong>er</strong>et med GolDream, krævede spillet at få adgang til:<br />
Alle SMS- og MMS-besked<strong>er</strong><br />
GPS-lokation<br />
Fuld netværksadgang<br />
Mulighed for at ændre og slette indhold på SD-kort<br />
Indsamle information om telefonopkald<br />
Foretage opkald og sende SMS<br />
Zitmo (Zeus in the mobile)<br />
I juli 2011 blev den første type malware fundet, d<strong>er</strong> havde til formål at angribe netbank-løsning<strong>er</strong>. Den <strong>er</strong> et<br />
tillægsmodul til en meget kendt banktrojan<strong>er</strong>familie, d<strong>er</strong> går und<strong>er</strong> navnet Zeus/Zbot.<br />
Den mobile plug-in <strong>er</strong> navngivet af antivirus industrien ”Zitmo” ell<strong>er</strong> ”Zeus-in-The-Mobile." Det fulde navn <strong>er</strong><br />
”Android/Zitmo.D!TR.SPY”.<br />
”Mitmo” <strong>er</strong> også en beskrivelse, d<strong>er</strong> anvendes i forbindelse med denne type skadelig kode, ”Mitmo” står for ”Man-In-<br />
The-Mobile.” Begrebet <strong>er</strong> kendt fra netbank-angreb hvor det går und<strong>er</strong> navnet ”MiTB” ell<strong>er</strong> ”Man-In-The-Brows<strong>er</strong>.” Det<br />
beskriv<strong>er</strong> en måde, hvorpå den skadelige kode kan ændre indholdet i brows<strong>er</strong>en uden brug<strong>er</strong>ens vidende.<br />
Den variant af Zitmo som <strong>DK</strong>-CERT har analys<strong>er</strong>et, udgav sig for at være en applikation fra Truste<strong>er</strong><br />
(http://www.truste<strong>er</strong>.com/). Det <strong>er</strong> en sikk<strong>er</strong>hedsvirksomhed, d<strong>er</strong> fremstill<strong>er</strong> system<strong>er</strong> til bekæmpelse af svindel for<br />
bank<strong>er</strong>.<br />
Formålet med at infic<strong>er</strong>e en smartphone <strong>er</strong> at opsnappe engangspasswords som nogle bank<strong>er</strong> send<strong>er</strong> til telefonen via<br />
SMS. Når brug<strong>er</strong>en vil logge ind på sin netbank, send<strong>er</strong> banken en kode til telefonen. Først når denne kode indtastes,<br />
får brug<strong>er</strong>en adgang. Metoden regnes normalt for sikk<strong>er</strong>.<br />
Angrebet fung<strong>er</strong><strong>er</strong> ved, at man først infic<strong>er</strong><strong>er</strong> pc’en via et traditionelt drive-by-exploit, ell<strong>er</strong> ved at lokke brug<strong>er</strong>en til<br />
selv at install<strong>er</strong>e Zbot/Zeus. Nedenstående illustration lavet af Truste<strong>er</strong> vis<strong>er</strong> selve processen.<br />
Kilde: Truste<strong>er</strong><br />
Ov<strong>er</strong>sættelse af ovenstående illustration<br />
1. Brug<strong>er</strong>en tilgår sin netbank fra en pc, d<strong>er</strong> <strong>er</strong> infic<strong>er</strong>et med Zbot/Zeus.<br />
2. Brug<strong>er</strong>en bliv<strong>er</strong> bedt om at downloade en applikation til sin telefon. D<strong>er</strong> har også været tilfælde, hvor brug<strong>er</strong>en<br />
blot bliv<strong>er</strong> bedt om at indtaste sit telefonnumm<strong>er</strong>, hvoreft<strong>er</strong> linket ankomm<strong>er</strong> som en SMS.<br />
3. Brug<strong>er</strong>en download<strong>er</strong> og install<strong>er</strong><strong>er</strong> denne ”opdat<strong>er</strong>ing”.<br />
4. Brug<strong>er</strong>en bliv<strong>er</strong> bedt om at indtaste en ”aktiv<strong>er</strong>ingsnøgle” d<strong>er</strong> anvendes af de kriminelle til at binde telefonen<br />
sammen med den infic<strong>er</strong>ede comput<strong>er</strong>.<br />
5. Den skadelige kode (Zbot/Zeus) forsøg<strong>er</strong> nu at lave en ov<strong>er</strong>førsel fra brug<strong>er</strong>ens PC<br />
6. Banken send<strong>er</strong> en engangskode til brug<strong>er</strong>ens mobiltelefon som en SMS.<br />
7. Den SMS som modtages på brug<strong>er</strong>ens mobil, bliv<strong>er</strong> ikke vist for brug<strong>er</strong>en, da Zitmo (mobilvirussen) gemm<strong>er</strong><br />
den og vid<strong>er</strong>esend<strong>er</strong> informationen til Command & Control-s<strong>er</strong>v<strong>er</strong>en.<br />
8. De kriminelle kan nu godkende den transaktion, Zbot lavede und<strong>er</strong> punkt 5.
Analyse af en Zitmo-variant<br />
<strong>DK</strong>-CERT har analys<strong>er</strong>et en variant af Zitmo. En test med VirusTotal vis<strong>er</strong>, at 26 ud af 43 antivirusprodukt<strong>er</strong> kan<br />
genkendte og standse truslen (60,5 procent). D<strong>er</strong> skal dog tages forbehold for, at VirusTotal primært <strong>er</strong> et udvalg af<br />
Windows-bas<strong>er</strong>ede skann<strong>er</strong>e samt gateway-produkt<strong>er</strong>.<br />
MD5: ecbbce17053d6eaf9bf9cb7c71d0af8d<br />
SHA1: c9368c3edbcfa0bf443e060f093c300796b14673<br />
Filstørrelse: 19865 bytes<br />
Scan-dato: 2011-08-02 06:10:05 (UTC)<br />
Zbot-variant<strong>er</strong><br />
<strong>DK</strong>-CERT <strong>er</strong> bekendt med minimum 26 unikke variant<strong>er</strong> af Zbot, som distribu<strong>er</strong>ede den konfigurationsfil, d<strong>er</strong> blev<br />
anvendt til at lokke brug<strong>er</strong>en til at install<strong>er</strong>e Zitmo.<br />
MD5 Checksum for Zbot trojan<strong>er</strong>en C&C S<strong>er</strong>v<strong>er</strong>en<br />
05CB60D659500A8153AA283872CAA729 http://jlvlinpevovmyqod.org<br />
6775FB0A3D2D80F44A1BF3B071A2E383 http://jqpxsdvfyjptrujxm.com<br />
9EDE4B781535539356B64B042BF839AB http://hkdheqxfmpnrwspx.com<br />
221929C945FEA62C310ED737CBD75B07 http://shsnskhptxqunlp.info<br />
78DDEAEAFFD0739ABC99211B9E1AC7A2 http://rjilvvuplpsuxtvq.info<br />
F6EB67B32D9F3514DF46E32D56456401 http://rjilvvuplpsuxtvq.info<br />
20EFB95718A6CDCA91DD3D25D5948504 http://kzlkngpxtmgsojr.net<br />
1D1296B0EC4243830E533C27DFF5A4DB http://kzlkngpxtmgsojr.net<br />
B4001BBF314EBE76A64349FEBD935622 http://tjpmmqrhrlmrhn.com<br />
E0B6C4C88D41F148975187B183AC8996 http://tjpmmqrhrlmrhn.com<br />
E3AAE4151490CBC0326BB1198CDEE34D http://kzlkngpxtmgsojr.net<br />
2436F005E98F93BDDC3458F26BD1230C http://xgamrrqpsrqjvqp.org<br />
C8B21A49D2FFC97BB361B01A7A98B089 http://tjpmmqrhrlmrhn.com<br />
C773BFE21DAA3E47D08550D616D3FED0 http://tjpmmqrhrlmrhn.com<br />
7D70442DD691150F69B5C4792CFDFDF5 http://kksqulqorjyqjvo.org<br />
712D26996EFCC324D590148B58C741B0 http://tjpmmqrhrlmrhn.com<br />
F0A9714ADF5DDFBDD81DCF8770E0D089 http://kzlkngpxtmgsojr.net<br />
39066071EDEC05E01EAA64347DFA753F http://kzlkngpxtmgsojr.net<br />
E3E66002FF339849B70E1B19B3D3C439 http://kzlkngpxtmgsojr.net<br />
E8707CBDA2B2E3D329F12DD1EA460A9A http://kzlkngpxtmgsojr.net<br />
81C143DB17D1AA47EE7F38032ADD44A1 ukendt<br />
B5C287311B96165F66B6795E96E43C26 ukendt<br />
15E9BB01E2AEA15CC50FCE450B386D68 ukendt<br />
4E63CC6541B54F17B3B95D83724632F1 ukendt<br />
7D0D4AE507F8FE37B1920655280AC500 ukendt<br />
83347F5FCF0C6F53F479F08538B39907 ukendt<br />
Infektionsprocessen<br />
Zitmo-varianten bliv<strong>er</strong> install<strong>er</strong>et af brug<strong>er</strong>e, hvis pc i forvejen <strong>er</strong> ramt af Zbot. Dette program har mulighed for at<br />
modific<strong>er</strong>e, hvad brug<strong>er</strong>en s<strong>er</strong> i brows<strong>er</strong>en ved at indlejre ekstra HTML-kode.<br />
Når en infic<strong>er</strong>et brug<strong>er</strong> komm<strong>er</strong> ind på sin netbank, bliv<strong>er</strong> han/hun præsent<strong>er</strong>et for følgende billede:
Når brug<strong>er</strong>en vælg<strong>er</strong> ”Android” og ”Continue,” bliv<strong>er</strong> han/hun introduc<strong>er</strong>et for et link til Zitmo-trojan<strong>er</strong>en, som skal<br />
hentes ned på Android-enheden og install<strong>er</strong>es. Når installationen <strong>er</strong> komplet og koden køres på enheden, vises et<br />
unikt ID, som skal indtastes i brows<strong>er</strong>vinduet for at knytte Android-enheden til pc’en.<br />
Billed<strong>er</strong> af applikationen på Android-enheden kan ses på billedet til højre. Til venstre vises, hvad brug<strong>er</strong>en s<strong>er</strong> i sit<br />
brows<strong>er</strong>vindue.<br />
Rettighed<strong>er</strong><br />
Androidapplikation<strong>er</strong> install<strong>er</strong>es enten som en enkeltstående applikation, d<strong>er</strong> hentes fra int<strong>er</strong>nettet (det <strong>er</strong> måden<br />
Zitmo spredes på), ell<strong>er</strong> via ”Android Market.” Uanset metoden indehold<strong>er</strong> applikationen altid en fil, d<strong>er</strong> hedd<strong>er</strong><br />
”AndroidManifest.xml”.<br />
”AndroidManifest.xml” <strong>er</strong> en beskrivelse til Androidenheden om hvilke rettighed<strong>er</strong>, den pågældende applikation skal<br />
have for at fung<strong>er</strong>e.<br />
”AndroidManifest.xml” fra Zitmo-trojan<strong>er</strong>en.<br />
Denne XML-fil <strong>er</strong> også med til at afklare, hvad d<strong>er</strong> skal præsent<strong>er</strong>es for brug<strong>er</strong>en, når han ell<strong>er</strong> hun install<strong>er</strong><strong>er</strong> en<br />
applikation.<br />
Man kunne tro, at bagmændene blot kunne indtaste falske information<strong>er</strong> i<br />
filen. De kunne for eksempel undlade at beskrive, at applikationen skal<br />
have adgang til SMS. Men Android-systemet anvend<strong>er</strong> selv<br />
”AndroidManifest.xml” til at tjekke, hvilke API’<strong>er</strong><br />
(applikationsprogramm<strong>er</strong>ingsint<strong>er</strong>faces) d<strong>er</strong> <strong>er</strong> rettighed<strong>er</strong> til.<br />
Det vil sige, at hvis d<strong>er</strong> ikke står i manifestet, at applikationen skal kunne<br />
læse SMS’<strong>er</strong>, får den hell<strong>er</strong> ikke adgang til det.
Dybdegående beskrivelse af manifestet<br />
Android:installLocation=”Int<strong>er</strong>nalOnly”<br />
Betyd<strong>er</strong> at applikationen kun kan install<strong>er</strong>es på Android-enheden, og ikke på for eksempel et SD-kort.<br />
Android:MinSdkV<strong>er</strong>sion=”7”<br />
Enheden skal som minimum køre Android v<strong>er</strong>sion 2.1, også kendt und<strong>er</strong> navnet ”Eclair”.<br />
Android:targetSdkV<strong>er</strong>sion=”8”<br />
Anvendes til at beskrive, hvilken v<strong>er</strong>sion applikationen <strong>er</strong> skrevet og primært testet på, har dog ikke så megen<br />
relevans i dette tilfælde med Zitmo.<br />
V<strong>er</strong>sion 8 <strong>er</strong> Android v<strong>er</strong>sion 2.2, kendt und<strong>er</strong> navnet ”Froyo”.<br />
Android:MaxSdkV<strong>er</strong>sion=”12”<br />
Denne paramet<strong>er</strong> har ikke været anvendt jævnfør Android-dokumentationen siden Android 2.0.1(Eclair).<br />
V<strong>er</strong>sion 12 <strong>er</strong> også kendt som Android v<strong>er</strong>sion 3.1 ell<strong>er</strong> ”Honeycomb”.<br />
Android.p<strong>er</strong>mission.RECEIVE_SMS<br />
Dette giv<strong>er</strong> applikationen adgang til at læse alle SMS’<strong>er</strong> d<strong>er</strong> komm<strong>er</strong> ind på enheden, samt udføre en handling på<br />
dem. Det udnyttes i tilfældet med Zitmo, hvor SMS’en opsnappes og ikke vises for brug<strong>er</strong>en.<br />
Android.p<strong>er</strong>smission.INTERNET<br />
Tillad<strong>er</strong> applikationen fuld adgang til int<strong>er</strong>nettet.<br />
Android.p<strong>er</strong>mission.READ_PHONE_STATE<br />
Giv<strong>er</strong> applikationen adgang til at læse Android-enhedens status. I forbindelse med Zitmo anvendes denne rettighed til<br />
at udtrække enhedens ”DeviceID,” som for GSM-enhed<strong>er</strong> <strong>er</strong> IMEI-numm<strong>er</strong>et. For CDMA-telefon<strong>er</strong> <strong>er</strong> det MEID ell<strong>er</strong><br />
ESN.<br />
Android_debuggable=”false”<br />
”False” <strong>er</strong> standardværdien, d<strong>er</strong> beskriv<strong>er</strong> at applikationen ikke kan debugges fra Us<strong>er</strong> mode.<br />
<br />
Dette filt<strong>er</strong> anvendes til at beskrive og defin<strong>er</strong>e, hvilke aktivitet<strong>er</strong> applikationen arbejd<strong>er</strong> sammen med. Det vil sige de<br />
typ<strong>er</strong>, som de forskellige delelement<strong>er</strong> af applikationen har adgang til, og som vil blive kaldt.<br />
.Activation-delen af applikationen<br />
I denne applikation <strong>er</strong> ”.Activation” defin<strong>er</strong>et som startpunktet, det vil sige programstarten. Det defin<strong>er</strong>es<br />
med:<br />
.SmsReceiv<strong>er</strong><br />
Dette intent filt<strong>er</strong> <strong>er</strong> ret int<strong>er</strong>essant, da det identific<strong>er</strong><strong>er</strong> at koden i “.SmsReceiv<strong>er</strong>” skal køres, når en<br />
SMS modtages. Ved at sætte prioriteten til 10000 sikres d<strong>er</strong> i dette tilfælde, at denne kode <strong>er</strong> det første d<strong>er</strong><br />
eksekv<strong>er</strong>es, når en SMS ankomm<strong>er</strong>.<br />
S<strong>er</strong>vice android:name=”.MainS<strong>er</strong>vice”<br />
Defin<strong>er</strong><strong>er</strong> at applikationen kør<strong>er</strong> som en s<strong>er</strong>vice. Den <strong>er</strong> d<strong>er</strong>for uafhængig af den grafiske del af applikationen og bliv<strong>er</strong><br />
startet uden brug<strong>er</strong>int<strong>er</strong>aktion.
Zitmo-kilden til alt ondt<br />
Zitmo <strong>er</strong> skrevet i Java. Det gør det muligt at få adgang til kildekoden, d<strong>er</strong> i dette tilfælde består af seks .class-fil<strong>er</strong>.<br />
Activation.class<br />
<strong>DK</strong>-CERT vil fokus<strong>er</strong>e på:<br />
Activation<br />
MainS<strong>er</strong>vice<br />
S<strong>er</strong>v<strong>er</strong>Session<br />
SmsReceiv<strong>er</strong><br />
Activation.class <strong>er</strong> anvendt til den grafiske del af Zitmo, hvor d<strong>er</strong> gen<strong>er</strong><strong>er</strong>es en unik streng, d<strong>er</strong> har til formål at<br />
sammenkoble den infic<strong>er</strong>ede maskine med den infic<strong>er</strong>ede Android-enhed.<br />
For at lave en unik værdi, anvendes ”GetDeviceId” som også blev beskrevet und<strong>er</strong> "Dybdegående beskrivelse af<br />
manifestet," ”Android.p<strong>er</strong>mission.READ_PHONE_STATE”.<br />
Det præsent<strong>er</strong><strong>er</strong> brug<strong>er</strong>en for en streng med 15 tal.<br />
Applikationen ”Truste<strong>er</strong> Rapport” har set fra brug<strong>er</strong>ens synsvinkel ingen anden funktionalitet<br />
end vist på billedet til venstre.<br />
Applikationen vil hell<strong>er</strong> ikke vække den store opmærksomhed und<strong>er</strong> listen af applikation<strong>er</strong>,<br />
da den lukr<strong>er</strong><strong>er</strong> på det kendte antisvindelsystem Rapport fra virksomheden Truste<strong>er</strong>.
MainS<strong>er</strong>vice.class<br />
MainS<strong>er</strong>vice <strong>er</strong> den primære kontroldel af Zitmo. Den kør<strong>er</strong> som en s<strong>er</strong>vice på Android-enheden og monitor<strong>er</strong><strong>er</strong>, om<br />
de relevante tråde <strong>er</strong> startet og kør<strong>er</strong>. Endvid<strong>er</strong>e vid<strong>er</strong>esend<strong>er</strong> den information til C&C (Command & Control)<br />
s<strong>er</strong>v<strong>er</strong>en.<br />
Første punkt på dagsordenen <strong>er</strong> at sikre, at SMS-blok<strong>er</strong>ingstråden <strong>er</strong> startet.<br />
H<strong>er</strong>eft<strong>er</strong> vil applikationen i det skjulte ov<strong>er</strong>våge og blok<strong>er</strong>e for alle SMS’<strong>er</strong> d<strong>er</strong> komm<strong>er</strong> til Androidenheden. Med<br />
blok<strong>er</strong>ing menes, at d<strong>er</strong> ikke vises for brug<strong>er</strong>en, at d<strong>er</strong> <strong>er</strong> kommet en SMS. Det foregår i funktionen ”public void run()”.<br />
Når Android-enheden modtag<strong>er</strong> en SMS, vil den blive analys<strong>er</strong>et og sendt til C&C s<strong>er</strong>v<strong>er</strong>en, før den fj<strong>er</strong>nes. Igen sk<strong>er</strong><br />
alt dette inden for et splitsekund og uden brug<strong>er</strong>ens vidende.<br />
Indhold af strengværdi<strong>er</strong><br />
Str1: Afsend<strong>er</strong>s telefonnumm<strong>er</strong> (eksempelvis: +4500210021)<br />
Str2: Indholdet af SMS’en (eksempelvis: <strong>DK</strong>-CERT testbesked)<br />
Str3: Dette <strong>er</strong> variabelnavnet for telefon numm<strong>er</strong>et<br />
Str4: Dette <strong>er</strong> variabelnavnet for indholdet af SMS’en<br />
Str5: Indehold<strong>er</strong> Android-enhedens GetDeviceID() (eksempelvis IMEI-numm<strong>er</strong>et)<br />
Str6: Indehold<strong>er</strong> variabelnavnet for ”pid”<br />
Eft<strong>er</strong> at alle disse data <strong>er</strong> indsamlet, kaldes funktionen ”S<strong>er</strong>v<strong>er</strong>Session.postRequest”
S<strong>er</strong>v<strong>er</strong>Session.class<br />
S<strong>er</strong>v<strong>er</strong>Session står for at sende via POST et JSON-objekt til C&C (Command & Control) s<strong>er</strong>v<strong>er</strong>en, med data som blev<br />
indsamlet og defin<strong>er</strong>et i ”MainS<strong>er</strong>vice.class”<br />
Data sendes til s<strong>er</strong>v<strong>er</strong>en ”softthrifty.com/security.jsp”<br />
Domænet blev registr<strong>er</strong>et den 18. marts 2011 med følgende kontaktoplysning<strong>er</strong>:<br />
Administrative Contact:<br />
SHIRLEY POEHLMAN (melodimatkovic26@gmail.com)<br />
+1.7277433708<br />
Fax: +1.5555555555<br />
609 WESTWINDS DRIVE<br />
PALM HARBOR, FL 34683<br />
US<br />
Technical Contact:<br />
SHIRLEY POEHLMAN (melodimatkovic26@gmail.com)<br />
+1.7277433708<br />
Fax: +1.5555555555<br />
609 WESTWINDS DRIVE<br />
PALM HARBOR, FL 34683<br />
US<br />
Status: Locked<br />
Name S<strong>er</strong>v<strong>er</strong>s:<br />
dns1.registrar-s<strong>er</strong>v<strong>er</strong>s.com<br />
dns2.registrar-s<strong>er</strong>v<strong>er</strong>s.com<br />
dns3.registrar-s<strong>er</strong>v<strong>er</strong>s.com<br />
Creation date: 18 Mar 2010 23:05:00<br />
Expiration date: 18 Mar 2012 18:05:00
SmsReceiv<strong>er</strong>.class<br />
Denne class-fil har til formål at behandle SMS-besked<strong>er</strong>, når de ankomm<strong>er</strong>, og distribu<strong>er</strong>e dem vid<strong>er</strong>e til de<br />
ovenstående s<strong>er</strong>vices.<br />
Rens din Android for Zitmo<br />
Da Zitmo ikke har fået m<strong>er</strong>e adgang end en almindelig applikation, <strong>er</strong> det let at blive fri for denne trussel.<br />
<strong>DK</strong>-CERT forvent<strong>er</strong>, at de it-kriminelle i fremtiden find<strong>er</strong> andre måd<strong>er</strong> at gemme applikation<strong>er</strong> på systemet, d<strong>er</strong> vil<br />
gøre det betydeligt svær<strong>er</strong>e at fj<strong>er</strong>ne dem.<br />
Beskrivelsen h<strong>er</strong> vis<strong>er</strong>, hvordan man fj<strong>er</strong>n<strong>er</strong> Zitmo fra en HTC Desire.<br />
Gå ind i ”Menu” ”Indstilling<strong>er</strong>” ”Programm<strong>er</strong>” Administr<strong>er</strong> programm<strong>er</strong>”<br />
Såfremt Android-enheden <strong>er</strong> infic<strong>er</strong>et med denne variant af Zitmo, vil brug<strong>er</strong>en kunne<br />
se applikationen ”Truste<strong>er</strong> Rapport”.<br />
Tryk på applikationsikonet og d<strong>er</strong>eft<strong>er</strong> på ”Afinstall<strong>er</strong>”.<br />
Følg vejledningen, hvoreft<strong>er</strong> Zitmo skulle være fj<strong>er</strong>net fra Android-enheden.
Ref<strong>er</strong>enc<strong>er</strong><br />
Om Android<br />
http://da.wikipedia.org/wiki/Android<br />
Android op<strong>er</strong>ativsystemet<br />
http://en.wikipedia.org/wiki/Android_(op<strong>er</strong>ating_system)#V<strong>er</strong>sion_history<br />
Om HTC<br />
http://en.wikipedia.org/wiki/HTC_Corporation<br />
First SMS Trojan Detected for <strong>Smartphones</strong> running Android<br />
http://www.kasp<strong>er</strong>sky.co.uk/news?id=207576156<br />
Zitmo Hits Android<br />
http://blog.fortinet.com/zitmo-hits-android/<br />
McAfee Threats Report: First Quart<strong>er</strong> 2011<br />
http://www.mcafee.com/us/resources/reports/rp-quart<strong>er</strong>ly-threat-q1-2011.pdf<br />
Truste<strong>er</strong> - Mobile Malware: Why Fraudst<strong>er</strong>s Are Two Steps Ahead<br />
http://www.truste<strong>er</strong>.com/blog/mobile-malware-why-fraudst<strong>er</strong>s-are-two-steps-ahead<br />
Virustotal skanning af Zitmo<br />
http://www.virustotal.com/filescan/report.html?id=f6239ba0487ffcf4d09255dba781440d2600d3c509e66018e6a5724912df34a9-1312265405#<br />
Android develop<strong>er</strong>s guide/S<strong>DK</strong><br />
http://develop<strong>er</strong>.android.com/
Kontakt:<br />
<strong>DK</strong>•CERT, UNI•C<br />
Centrifugevej, Bygn. 356<br />
Kgs. Lyngby 2800<br />
Tel. +45 3587 8887<br />
URL: https://www.c<strong>er</strong>t.dk<br />
Email: c<strong>er</strong>t@c<strong>er</strong>t.dk<br />
PGP Key ID: 0x79D294CE