Smartphones – Ulven er ankommet - DK Cert

DK•CERT 

[Smartphones – Ulven er ankommet]

Redaktion: Dennis Panduro Rand, DK•CERT 

Grafisk arbejde: Kirsten Tobine Hougaard, UNI•C 

Foto: colourbox.com 

© UNI•C 2011 

DK•CERT opfordrer til ikke-kommerciel brug af rapporten. Al brug og gengivelse af rapporten forudsætter angivelse af 

kilden. 

Der må uden foregående tilladelse henvises til rapportens indhold samt citeres maksimalt 800 ord eller reproduceres 

maksimalt 2 figurer. 

Al yderligere brug kræver forudgående tilladelse.

Om DK•CERT 

Det er DK•CERTs mission at skabe øget fokus på it-sikkerhed ved at opbygge og skabe aktuel, relevant og brugbar 

viden. Denne viden gør DK•CERT i stand til at offentliggøre og udsende advarsler og anden information om 

potentielle risici og begyndende sikkerhedsproblemer. 

DK•CERT bygger på en vision om at skabe samfundsmæssig værdi i form af øget it-sikkerhed. Det sker gennem 

offentliggørelse af viden om it-sikkerhed skabt gennem samarbejde med den offentlige og private sektor, forsknings- 

og undervisningsverdenen, samt internationale samarbejdspartnere. 

Denne viden benytter DK•CERT til at udvikle services, der skaber merværdi for DK•CERTs kunder og øvrige 

interessenter og sætter dem i stand til bedre at sikre deres it-systemer. 

DK•CERT, det danske Computer Emergency Response Team, blev oprettet i 1991 som en afdeling af UNI•C, 

Danmarks it-center for uddannelse og forskning, der er en styrelse under Undervisningsministeriet. 

DK•CERT var blandt pionererne, der først i 1990’erne tog initiativ til etablering af et internationalt samarbejde om itsikkerhed 

med grundidé i CERT/CC i USA. Som led i dette samarbejde overvåger, rådgiver og informerer DK•CERT 

om it-sikkerhed i Danmark. 

DK•CERT samarbejder med GovCERT (Government Computer Emergency Response Team), der er den danske 

stats internetvarslingstjeneste. DK•CERT bidrager med information rettet mod borgerne og mindre virksomheder om 

aktuelle trusler og sikkerhedshændelser.

Indholdsfortegnelse 

Om DK•CERT ................................................................................................................................................................... 2 

Indholdsfortegnelse ........................................................................................................................................................... 3 

Indledning .......................................................................................................................................................................... 4 

Fremtiden .......................................................................................................................................................................... 4 

Ulven er ankommet ........................................................................................................................................................... 4 

GolDream.B ....................................................................................................................................................................... 5 

Zitmo (Zeus in the mobile) ................................................................................................................................................ 6 

Analyse af en Zitmo-variant ........................................................................................................................................... 7 

Zbot-varianter ............................................................................................................................................................. 7 

Infektionsprocessen ................................................................................................................................................... 7 

Rettigheder ................................................................................................................................................................ 8 

Zitmo-kilden til alt ondt ............................................................................................................................................. 10 

Rens din Android for Zitmo ...................................................................................................................................... 13 

Referencer ....................................................................................................................................................................... 14

Indledning 

Der har været råbt ulven kommer i mange år om sikkerhedstrusler og især skadelige programmer til mobiltelefoner. 

Efter at smartphone-markedet er eksploderet, er ulven er nu ankommet. 

Denne artikel beskriver to typer skadelig programkode, der har hvert deres formål med at inficere Android-enheder. 

Fremtiden 

Fremtiden for smartphones vil med stor sandsynlighed bringe mange problemstillinger i forhold til sikkerhed. 

Udfordringen ligger i, at enhederne netop er mobile. Derfor er de hverken beskyttet af virksomhedernes fysiske 

sikkerhed eller netværkssikkerheden i form af for eksempel firewalls. 

Mobile enheder udgør en udfordring, som branchen vil arbejde på at løse over de næste mange år. 

De skadelige programmer som vi helt sikkert vil se flere af, vil også blive mere avancerede og finde måder, hvorpå de 

kan skjule sig bedre på enheden. 

Ulven er ankommet 

En smartphone er reelt en lille, ultramobil computer. Derfor har sikkerhedsfolk i mange år ventet på, at skadelig 

software rettet mod platformen skulle dukke op. 

Et af de første eksempler på skadelig software til Googles Android-styresystem blev fundet at Kaspersky Labs i 

august 2010. Truslen fik navnet ”Trojan-SMS.AndroidOS.FakePlayer.a.” Efter installation sender FakePlayer SMSbeskeder 

til overtakserede numre, hvorved bagmændene tjener penge på infektionen. 

FakePlayer inficerer telefoner ved at udgive sig for at være et legitimt program. Den angrebsmetode er fortsat meget 

udbredt. Mere end 97% af den malware, der findes til Android i dag, bliver installeret af brugeren selv. Brugeren har 

altså selv accepteret at installere det skadelige program. Det sker som regel igennem Android Market, hvor brugeren 

selv installerer og accepterer truslen, der giver sig ud for at være en legitim applikation. 

McAfee skriver i firmaets rapport for andet kvartal 2011, at Android nu er den mobilplatform, der findes mest skadelig 

software til. Ud af 1.200 skadelige programmer var 60 procent til Android. 

Kilde: Mcafee Q2 2011 Threat report

På en mere generel statistik kan man også se, at der kommer mere og mere skadelig kode til mobilplatformen. 

GolDream.B 

Kilde: Mcafee Q2 2011 Threat report 

GolDream er et af mange skadelige programmer til Android. Grafikken nedenfor viser, hvordan brugeren selv 

installerer den skadelige kode og accepterer de rettigheder, der skal til, for at den skadelige kode får fuld effekt. 

Brugeren har dog ingen anelse om den fulde funktionalitet af koden, men tror, at programmet er et uskyldigt spil. 

Som også vist på illustrationen til venstre kræver 98 procent af al malware til Android, at 

brugeren aktivt accepterer at installere applikationen. Derfor kan man med fordel lave en 

awareness/oplysningskampagne om sikkerheden på smartphones.

Ved eksempelvis spillet ”Drag Race,” som var inficeret med GolDream, krævede spillet at få adgang til: 

Alle SMS- og MMS-beskeder 

GPS-lokation 

Fuld netværksadgang 

Mulighed for at ændre og slette indhold på SD-kort 

Indsamle information om telefonopkald 

Foretage opkald og sende SMS 

Zitmo (Zeus in the mobile) 

I juli 2011 blev den første type malware fundet, der havde til formål at angribe netbank-løsninger. Den er et 

tillægsmodul til en meget kendt banktrojanerfamilie, der går under navnet Zeus/Zbot. 

Den mobile plug-in er navngivet af antivirus industrien ”Zitmo” eller ”Zeus-in-The-Mobile." Det fulde navn er 

”Android/Zitmo.D!TR.SPY”. 

”Mitmo” er også en beskrivelse, der anvendes i forbindelse med denne type skadelig kode, ”Mitmo” står for ”Man-In- 

The-Mobile.” Begrebet er kendt fra netbank-angreb hvor det går under navnet ”MiTB” eller ”Man-In-The-Browser.” Det 

beskriver en måde, hvorpå den skadelige kode kan ændre indholdet i browseren uden brugerens vidende. 

Den variant af Zitmo som DK-CERT har analyseret, udgav sig for at være en applikation fra Trusteer 

(http://www.trusteer.com/). Det er en sikkerhedsvirksomhed, der fremstiller systemer til bekæmpelse af svindel for 

banker. 

Formålet med at inficere en smartphone er at opsnappe engangspasswords som nogle banker sender til telefonen via 

SMS. Når brugeren vil logge ind på sin netbank, sender banken en kode til telefonen. Først når denne kode indtastes, 

får brugeren adgang. Metoden regnes normalt for sikker. 

Angrebet fungerer ved, at man først inficerer pc’en via et traditionelt drive-by-exploit, eller ved at lokke brugeren til 

selv at installere Zbot/Zeus. Nedenstående illustration lavet af Trusteer viser selve processen. 

Kilde: Trusteer 

Oversættelse af ovenstående illustration 

1. Brugeren tilgår sin netbank fra en pc, der er inficeret med Zbot/Zeus. 

2. Brugeren bliver bedt om at downloade en applikation til sin telefon. Der har også været tilfælde, hvor brugeren 

blot bliver bedt om at indtaste sit telefonnummer, hvorefter linket ankommer som en SMS. 

3. Brugeren downloader og installerer denne ”opdatering”. 

4. Brugeren bliver bedt om at indtaste en ”aktiveringsnøgle” der anvendes af de kriminelle til at binde telefonen 

sammen med den inficerede computer. 

5. Den skadelige kode (Zbot/Zeus) forsøger nu at lave en overførsel fra brugerens PC 

6. Banken sender en engangskode til brugerens mobiltelefon som en SMS. 

7. Den SMS som modtages på brugerens mobil, bliver ikke vist for brugeren, da Zitmo (mobilvirussen) gemmer 

den og videresender informationen til Command & Control-serveren. 

8. De kriminelle kan nu godkende den transaktion, Zbot lavede under punkt 5.

Analyse af en Zitmo-variant 

DK-CERT har analyseret en variant af Zitmo. En test med VirusTotal viser, at 26 ud af 43 antivirusprodukter kan 

genkendte og standse truslen (60,5 procent). Der skal dog tages forbehold for, at VirusTotal primært er et udvalg af 

Windows-baserede skannere samt gateway-produkter. 

MD5: ecbbce17053d6eaf9bf9cb7c71d0af8d 

SHA1: c9368c3edbcfa0bf443e060f093c300796b14673 

Filstørrelse: 19865 bytes 

Scan-dato: 2011-08-02 06:10:05 (UTC) 

Zbot-varianter 

DK-CERT er bekendt med minimum 26 unikke varianter af Zbot, som distribuerede den konfigurationsfil, der blev 

anvendt til at lokke brugeren til at installere Zitmo. 

MD5 Checksum for Zbot trojaneren C&C Serveren 

05CB60D659500A8153AA283872CAA729 http://jlvlinpevovmyqod.org 

6775FB0A3D2D80F44A1BF3B071A2E383 http://jqpxsdvfyjptrujxm.com 

9EDE4B781535539356B64B042BF839AB http://hkdheqxfmpnrwspx.com 

221929C945FEA62C310ED737CBD75B07 http://shsnskhptxqunlp.info 

78DDEAEAFFD0739ABC99211B9E1AC7A2 http://rjilvvuplpsuxtvq.info 

F6EB67B32D9F3514DF46E32D56456401 http://rjilvvuplpsuxtvq.info 

20EFB95718A6CDCA91DD3D25D5948504 http://kzlkngpxtmgsojr.net 

1D1296B0EC4243830E533C27DFF5A4DB http://kzlkngpxtmgsojr.net 

B4001BBF314EBE76A64349FEBD935622 http://tjpmmqrhrlmrhn.com 

E0B6C4C88D41F148975187B183AC8996 http://tjpmmqrhrlmrhn.com 

E3AAE4151490CBC0326BB1198CDEE34D http://kzlkngpxtmgsojr.net 

2436F005E98F93BDDC3458F26BD1230C http://xgamrrqpsrqjvqp.org 

C8B21A49D2FFC97BB361B01A7A98B089 http://tjpmmqrhrlmrhn.com 

C773BFE21DAA3E47D08550D616D3FED0 http://tjpmmqrhrlmrhn.com 

7D70442DD691150F69B5C4792CFDFDF5 http://kksqulqorjyqjvo.org 

712D26996EFCC324D590148B58C741B0 http://tjpmmqrhrlmrhn.com 

F0A9714ADF5DDFBDD81DCF8770E0D089 http://kzlkngpxtmgsojr.net 

39066071EDEC05E01EAA64347DFA753F http://kzlkngpxtmgsojr.net 

E3E66002FF339849B70E1B19B3D3C439 http://kzlkngpxtmgsojr.net 

E8707CBDA2B2E3D329F12DD1EA460A9A http://kzlkngpxtmgsojr.net 

81C143DB17D1AA47EE7F38032ADD44A1 ukendt 

B5C287311B96165F66B6795E96E43C26 ukendt 

15E9BB01E2AEA15CC50FCE450B386D68 ukendt 

4E63CC6541B54F17B3B95D83724632F1 ukendt 

7D0D4AE507F8FE37B1920655280AC500 ukendt 

83347F5FCF0C6F53F479F08538B39907 ukendt 

Infektionsprocessen 

Zitmo-varianten bliver installeret af brugere, hvis pc i forvejen er ramt af Zbot. Dette program har mulighed for at 

modificere, hvad brugeren ser i browseren ved at indlejre ekstra HTML-kode. 

Når en inficeret bruger kommer ind på sin netbank, bliver han/hun præsenteret for følgende billede:

Når brugeren vælger ”Android” og ”Continue,” bliver han/hun introduceret for et link til Zitmo-trojaneren, som skal 

hentes ned på Android-enheden og installeres. Når installationen er komplet og koden køres på enheden, vises et 

unikt ID, som skal indtastes i browservinduet for at knytte Android-enheden til pc’en. 

Billeder af applikationen på Android-enheden kan ses på billedet til højre. Til venstre vises, hvad brugeren ser i sit 

browservindue. 

Rettigheder 

Androidapplikationer installeres enten som en enkeltstående applikation, der hentes fra internettet (det er måden 

Zitmo spredes på), eller via ”Android Market.” Uanset metoden indeholder applikationen altid en fil, der hedder 

”AndroidManifest.xml”. 

”AndroidManifest.xml” er en beskrivelse til Androidenheden om hvilke rettigheder, den pågældende applikation skal 

have for at fungere. 

”AndroidManifest.xml” fra Zitmo-trojaneren. 

Denne XML-fil er også med til at afklare, hvad der skal præsenteres for brugeren, når han eller hun installerer en 

applikation. 

Man kunne tro, at bagmændene blot kunne indtaste falske informationer i 

filen. De kunne for eksempel undlade at beskrive, at applikationen skal 

have adgang til SMS. Men Android-systemet anvender selv 

”AndroidManifest.xml” til at tjekke, hvilke API’er 

(applikationsprogrammeringsinterfaces) der er rettigheder til. 

Det vil sige, at hvis der ikke står i manifestet, at applikationen skal kunne 

læse SMS’er, får den heller ikke adgang til det.

Dybdegående beskrivelse af manifestet 

Android:installLocation=”InternalOnly” 

Betyder at applikationen kun kan installeres på Android-enheden, og ikke på for eksempel et SD-kort. 

Android:MinSdkVersion=”7” 

Enheden skal som minimum køre Android version 2.1, også kendt under navnet ”Eclair”. 

Android:targetSdkVersion=”8” 

Anvendes til at beskrive, hvilken version applikationen er skrevet og primært testet på, har dog ikke så megen 

relevans i dette tilfælde med Zitmo. 

Version 8 er Android version 2.2, kendt under navnet ”Froyo”. 

Android:MaxSdkVersion=”12” 

Denne parameter har ikke været anvendt jævnfør Android-dokumentationen siden Android 2.0.1(Eclair). 

Version 12 er også kendt som Android version 3.1 eller ”Honeycomb”. 

Android.permission.RECEIVE_SMS 

Dette giver applikationen adgang til at læse alle SMS’er der kommer ind på enheden, samt udføre en handling på 

dem. Det udnyttes i tilfældet med Zitmo, hvor SMS’en opsnappes og ikke vises for brugeren. 

Android.persmission.INTERNET 

Tillader applikationen fuld adgang til internettet. 

Android.permission.READ_PHONE_STATE 

Giver applikationen adgang til at læse Android-enhedens status. I forbindelse med Zitmo anvendes denne rettighed til 

at udtrække enhedens ”DeviceID,” som for GSM-enheder er IMEI-nummeret. For CDMA-telefoner er det MEID eller 

ESN. 

Android_debuggable=”false” 

”False” er standardværdien, der beskriver at applikationen ikke kan debugges fra User mode. 

 

Dette filter anvendes til at beskrive og definere, hvilke aktiviteter applikationen arbejder sammen med. Det vil sige de 

typer, som de forskellige delelementer af applikationen har adgang til, og som vil blive kaldt. 

.Activation-delen af applikationen 

I denne applikation er ”.Activation” defineret som startpunktet, det vil sige programstarten. Det defineres 

med: 

.SmsReceiver 

Dette intent filter er ret interessant, da det identificerer at koden i “.SmsReceiver” skal køres, når en 

SMS modtages. Ved at sætte prioriteten til 10000 sikres der i dette tilfælde, at denne kode er det første der 

eksekveres, når en SMS ankommer. 

Service android:name=”.MainService” 

Definerer at applikationen kører som en service. Den er derfor uafhængig af den grafiske del af applikationen og bliver 

startet uden brugerinteraktion.

Zitmo-kilden til alt ondt 

Zitmo er skrevet i Java. Det gør det muligt at få adgang til kildekoden, der i dette tilfælde består af seks .class-filer. 

Activation.class 

DK-CERT vil fokusere på: 

Activation 

MainService 

ServerSession 

SmsReceiver 

Activation.class er anvendt til den grafiske del af Zitmo, hvor der genereres en unik streng, der har til formål at 

sammenkoble den inficerede maskine med den inficerede Android-enhed. 

For at lave en unik værdi, anvendes ”GetDeviceId” som også blev beskrevet under "Dybdegående beskrivelse af 

manifestet," ”Android.permission.READ_PHONE_STATE”. 

Det præsenterer brugeren for en streng med 15 tal. 

Applikationen ”Trusteer Rapport” har set fra brugerens synsvinkel ingen anden funktionalitet 

end vist på billedet til venstre. 

Applikationen vil heller ikke vække den store opmærksomhed under listen af applikationer, 

da den lukrerer på det kendte antisvindelsystem Rapport fra virksomheden Trusteer.

MainService.class 

MainService er den primære kontroldel af Zitmo. Den kører som en service på Android-enheden og monitorerer, om 

de relevante tråde er startet og kører. Endvidere videresender den information til C&C (Command & Control) 

serveren. 

Første punkt på dagsordenen er at sikre, at SMS-blokeringstråden er startet. 

Herefter vil applikationen i det skjulte overvåge og blokere for alle SMS’er der kommer til Androidenheden. Med 

blokering menes, at der ikke vises for brugeren, at der er kommet en SMS. Det foregår i funktionen ”public void run()”. 

Når Android-enheden modtager en SMS, vil den blive analyseret og sendt til C&C serveren, før den fjernes. Igen sker 

alt dette inden for et splitsekund og uden brugerens vidende. 

Indhold af strengværdier 

Str1: Afsenders telefonnummer (eksempelvis: +4500210021) 

Str2: Indholdet af SMS’en (eksempelvis: DK-CERT testbesked) 

Str3: Dette er variabelnavnet for telefon nummeret 

Str4: Dette er variabelnavnet for indholdet af SMS’en 

Str5: Indeholder Android-enhedens GetDeviceID() (eksempelvis IMEI-nummeret) 

Str6: Indeholder variabelnavnet for ”pid” 

Efter at alle disse data er indsamlet, kaldes funktionen ”ServerSession.postRequest”

ServerSession.class 

ServerSession står for at sende via POST et JSON-objekt til C&C (Command & Control) serveren, med data som blev 

indsamlet og defineret i ”MainService.class” 

Data sendes til serveren ”softthrifty.com/security.jsp” 

Domænet blev registreret den 18. marts 2011 med følgende kontaktoplysninger: 

Administrative Contact: 

SHIRLEY POEHLMAN (melodimatkovic26@gmail.com) 

+1.7277433708 

Fax: +1.5555555555 

609 WESTWINDS DRIVE 

PALM HARBOR, FL 34683 

US 

Technical Contact: 

SHIRLEY POEHLMAN (melodimatkovic26@gmail.com) 

+1.7277433708 

Fax: +1.5555555555 

609 WESTWINDS DRIVE 

PALM HARBOR, FL 34683 

US 

Status: Locked 

Name Servers: 

dns1.registrar-servers.com 



Creation date: 18 Mar 2010 23:05:00 

Expiration date: 18 Mar 2012 18:05:00

SmsReceiver.class 

Denne class-fil har til formål at behandle SMS-beskeder, når de ankommer, og distribuere dem videre til de 

ovenstående services. 

Rens din Android for Zitmo 

Da Zitmo ikke har fået mere adgang end en almindelig applikation, er det let at blive fri for denne trussel. 

DK-CERT forventer, at de it-kriminelle i fremtiden finder andre måder at gemme applikationer på systemet, der vil 

gøre det betydeligt sværere at fjerne dem. 

Beskrivelsen her viser, hvordan man fjerner Zitmo fra en HTC Desire. 

Gå ind i ”Menu” ”Indstillinger” ”Programmer” Administrer programmer” 

Såfremt Android-enheden er inficeret med denne variant af Zitmo, vil brugeren kunne 

se applikationen ”Trusteer Rapport”. 

Tryk på applikationsikonet og derefter på ”Afinstaller”. 

Følg vejledningen, hvorefter Zitmo skulle være fjernet fra Android-enheden.

Referencer 

Om Android 

http://da.wikipedia.org/wiki/Android 

Android operativsystemet 

http://en.wikipedia.org/wiki/Android_(operating_system)#Version_history 

Om HTC 

http://en.wikipedia.org/wiki/HTC_Corporation 

First SMS Trojan Detected for Smartphones running Android 

http://www.kaspersky.co.uk/news?id=207576156 

Zitmo Hits Android 

http://blog.fortinet.com/zitmo-hits-android/ 

McAfee Threats Report: First Quarter 2011 

http://www.mcafee.com/us/resources/reports/rp-quarterly-threat-q1-2011.pdf 

Trusteer - Mobile Malware: Why Fraudsters Are Two Steps Ahead 

http://www.trusteer.com/blog/mobile-malware-why-fraudsters-are-two-steps-ahead 

Virustotal skanning af Zitmo 

http://www.virustotal.com/filescan/report.html?id=f6239ba0487ffcf4d09255dba781440d2600d3c509e66018e6a5724912df34a9-1312265405# 

Android developers guide/SDK 

http://developer.android.com/

Kontakt: 

DK•CERT, UNI•C 

Centrifugevej, Bygn. 356 

Kgs. Lyngby 2800 

Tel. +45 3587 8887 

URL: https://www.cert.dk 

Email: cert@cert.dk 

PGP Key ID: 0x79D294CE

Smartphones – Ulven er ankommet - DK Cert

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?