בלוג אבטחת מידע
android-rat

סוס טרויאני אצלכם בסמארטפון

| 4 תגובות

עד כמה קל לחדור לנו לסמארטפון? האם קיימים סמארטפונים חסינים לפריצה? האם כדאי לחזור לנוקיה 3210?

מערכות ההפעלה של גוגל ואפל, אנדרואיד ו- iOS, שתיהן ממשפחת מערכות UNIX (יותר נכון UNIX-like), שהיא בעלת מערכת הרשאות שנחשבת לבטוחה יותר מזו של Windows. למרות המקורות הדומים, בחרו אפל וגוגל בשתי גישות מנוגדות בפיתוח מערכות ההפעלה שלהן: אפל בחרה עבור ה iPhone במערכת הפעלה סגורה ומקודדת, שמאפשרת הורדת אפליקציות אך ורק מה Appstore, חנות האפליקציות הרשמית של אפל, שם כל אחת מהן נבדקת בקפדנות לפני שהיא מקבלת את האישור הסופי. גוגל בחרה במערכת הפעלה בעלת קוד פתוח, שמשמש לא רק את יצרניות הסמארטפונים, אלא גם אנשים פרטיים בפיתוח של גרסאות שונות שלה.

בפוסט זה נתמקד על שתי מערכות ההפעלה האלה כנפוצות ביותר.

הגישה הליברלית של גוגל בחלוקת הקוד שלה, האפשרות להורדת אפליקציות ממקורות שהם לא ה- Android Market, חנות האפליקציות של גוגל, והאפשרות להעלות באנונימיות אפליקציות חדשות ל- Android Market בלי בדיקות יסודיות – כל אלה אפשרו כבר מספר משמעותי של וירוסים והתקפות בשלוש השנים בהן אנדרואיד קיימת.

יש תוכנות מעקב לפאלפונים שדורשות מגע פיזי עם הפאלפון, או את הסיסמה לחשבון שלכם בגוגל. לדוגמה, תוכנות למציאת המכשיר אם נגנב. אמנם תוכנות אלה לא וירוסים, אך צריך להיזהר אם עוזבים את המכשיר ללא השגחה, כך שמישהו יכול להתקין עליו אחת מהתוכנות הנ”ל. לכן, הקפידו לנעול את המכשיר עם סיסמה.

אך המאמר לא על תוכנות איתור. הכלים הבאים שיוצגו הם רוגלות הפועלות מרחוק ולכן דרך ההתגוננות שונה.

התקפות כנגד מערכת ההפעלה אנדרואיד

ראשית יש להזכיר שאת הקובץ הזדוני אפשר לשלוח לקורבן דרך וואטסאפ, SMS וכדומה, ולא בהכרח להעלות לחנות האפליקציות. לא לחינם הזכרתי SMS – חשבתם לשלוח לקורבן את הקובץ מהפאלפון שלכם? טעות… למה לקחת סיכון אם יש היום אתרים שייתנו לכם לשלוח SMS דרך האינטרנט, ולהיות קצת יותר אנונימי (בין אם זה ע"י TOR או שיטות אחרות לזיוף ה- IP וכתובת ה-MAC).

אתר לדוגמא לשליחת SMS חינם לכל העולם: http://www.afreesms.com/freesms

אם חשבתם שרק למחשבים אישיים יש בוטנטים, אז טעיתם. הנה כמה דוגמאות לבוטנט למכשירים סלולאריים:

AndroRAT

כדוגמת "DarkComet" ו- "CyberGate" שהן מערכות RAT למחשב, יצאה גם גרסת קוד פתוח לאנדרואיד. הרעיון הוא אותו הרעיון: שולחים לקורבן את הקובץ (ניתן לשים את הסוס טרויאני כחלק מאפליקציה מסוימת, או כל משחק, ללא מאמץ מרובה ע"י ממשק נוח שנבנה – ראו תמונה). אז מה יכול לעשות התוקף ברגע שפתחתם את הקובץ? כמעט הכול. להפעיל את המצלמה ואת המיקרופון; לגשת לכל המידע על המכשיר, כמו אנשי קשר, תמונות והגדרות; הוא יכול לראות את ה- IEMI (מסוכן מאוד, מכיוון שכך ניתן לחסום את המכשיר).

בוטנט לסמארטפון - בנאי סוס טרויאני

בוטנט לסמארטפון - פאנל ניהול

פאנל ניהול לשרת С&C

RazStealer

דומה ל- keylogger שאתם מכירים, רק שהפעם זה למערכת אנדרואיד. הממשק של בניית הקובץ נוח מאוד. ע"י סימון כמה משבצות והכנסת אימייל שאליו יישלח המידע הגנוב, אתם פשוט יכולים לגשת למידע הרגיש ביותר של הקורבן ע"י מספר פעולות פשוטות – הקלות הבלתי נסבלת שבה אנשים ללא ידע באבטחת מידע יכולים להפוך לבעלי יכולות גבוהות עם הכלים המתאימים מלחיצה. המערכת הזו קצת פחות הרסנית מהקודמת, כי היא נותנת פחות אופציות, אבל עדיין לא נעים.

RazStealer

רגע ,הכול טוב ויפה כל עוד אין לקורבן אנטי וירוס. אבל מה אם יש לו אנטי וירוס? חשבתם שאם יש לכם אנטי וירוס בפאלפון אתם מאובטחים? תחשבו שוב. עד עכשיו היה החלק של יצירת הרוגלה. עכשיו מגיע החלק של ההצפנה. יש הרבה אתרים ותוכנות להצפנת קבצי APK. רובם מתחת ל"ראדר" עקב השימוש הלא חוקי בעליל שהאקרים או גורמים עוינים עושים בהם, אך ישנם גם לגיטימיים. בכל מקרה, אביא לכם שני מנועי הצפנה. הראשון נפוץ השני קצת פחות.

  1. http://www.apkprotect.com
  2. http://www.decompilingandroid.com/secure-your-android-app

עבדכם הנאמן בנה וירוס והצפין אותו והנה התוצאות:

לפני ההצפנה:

https://www.virustotal.com/he/file/9d123a4d84827a60c8b7920aac9d8bfdd0ffec841743544eaf8b9813fcd2c47d/analysis/

תוצאה: 4/47

רק 4 זיהו את הקובץ כוירוס. לדעתי האנטי וירוסים של הפאלפונים בשפל המדרגה לעומת המחשב. אבל הנתון הבא יכניס אתכם (ובצדק) ללחץ.

אחרי ההצפנה:

https://www.virustotal.com/he/file/c7f7c8bb716fea224decdfc286dc70880ae84554507658ffa623a92b5209c8da/analysis/1382045699/

תוצאה: 2/47

רק 2 אנטי וירוסים (Avast ו- Sophos) זיהו את הקובץ כוירוס. זה אומר, שאם יש לכם אנטי וירוס על הפאלפון הוא לא שווה הרבה ומספיק שהייתה הצפנה נוספת על הקובץ, ספק אם אחד מהאנטי וירוסים היה מתריע.

דרכי התגוננות באנדרויד

נוכחנו לדעת שהאנטי וירוסים עדיין לא במיטבם. הם טובים, אבל אם ההאקר באמת נחוש ואתם לא תהיו ערניים הם לא יעמדו בדרכו למטרה.

ההתגוננות היא לא לפתוחSMS מאנשים שאתם לא מכירים. ואם כבר נכנסתם וכתוב שזה אפליקציה חדשה של mako ובאתם להתקין את האפליקצייה, אז קורה הדבר הבא: הדף שאתם תמיד מאשרים הרשאות ולא קוראים צץ. תקראו מה הוא דורש – לא הגיוני ש- mako (לדוגמה) מבקשים הרשאות של גישה למצלמה ול- SMS.

להלן דוגמא של מספר הרשאות בלתי מבוטל:

הרשאות אפליקציה באנדרויד

התקפות כנגד מערכת ההפעלה iOS

גם מכשירי iPhone שמריצים את מערכת ההפעלה iOS אינם חסינים מפגיעה. רבים מהמשתמשים ב- iPhone "פורצים" את ההגנה שלו (Jailbreak) באמצעות כלים אוטומטיים על מנת לאפשר הורדת אפליקציות שלא מה- AppStore. הפריצה מאפשרת גישה מלאה למכשיר, בדומה לגישה הקיימת במרבית הסמאטפונים מבוססי אנדרואיד.

כאשר המערכת iOS לא נפרצת ע"י המשתמש, מעטים הרוגלות שאפשר להריץ עליה.

אבל אם פרצתם את מערכת ה- iOS שלכם, אתם בבעיה. ברגע שתגלשו על WiFi ציבורי, האקר יוכל לגשת לכל המידע על הפאלפון שלכם! יוכל לשלוח ולהעתיק כל קובץ שירצה וזה כולל תוכנות ריגול "חוקיות".

איך זה מתבצע? אם פרצתם את המכשיר, חשוב מאוד לשנות את סיסמת ברירת המחדל של משתמש root. במהלך הפריצה הסיסמה מאופסת לסיסמת ברירת מחדל "alpine", והאקרים יכולים להשתלט על מכשיר פרוץ כזה בקלות במהלך שימוש ברשת ציבורית. ע"י קבלת ה- IP של המכשיר שלכם (ניתן לבצע ע"י תוכנה פשוטה Wireless Network Watcher) וע"י השמת השם משתמש והסיסמא של הבירית מחדל ההאקר מבצע את זממו.

הקשחת משתמש root באייפון

צריך לשנות את הסיסמת ברירת מחדל. נכתב פוסט ארוך המסביר כיצד בדיוק:

http://www.iphoneil.net/?p=61859

לסיכום

גוגל ואפל נוקטות שתיהן בגישה של הכחשה כלפי הוירוסים שמגיעים למערכות ההפעלה שלהן, וכך עוברים חודשים ארוכים עד שהן טורחות לשחרר עדכוני אבטחה עבור פרצות שמתגלות במערכות שלהן. לפני כמה חודשים פורסם שפרצת אבטחה ב- iTunes, שהכרחית לעבודה עם אייפון ואייפד, אפשרה לרגל אחרי משתמשים, נסגרה רק לאחר 3 שנים.

מיקרוסופט כבר הבינה שמדובר בבעיה אמיתית עם עשרות אלפי וירוסים חדשים מידי חודש שמכוונים כלפי Windows, ובכל חודש משחררת יותר ויותר עדכוני אבטחה, שגם הם לא מספיקים כדי לעצור את שטף הוירוסים.

בשנים הקרובות כשמרבית הוירוסים וההתקפות יעברו לאנדרואיד ו- iOS, ייאלצו גם גוגל ואפל להתמודד עם המציאות החדשה, אולם כבר הוכח שלא ניתן בכלים הנוכחיים לסגור את כל הפרצות העתידיות.

עמית כהן

מאת: עמית כהן

עמית כהן (28), עבד 3 שנים בצוות האבטחה של פייסבוק והיה אחראי על אבטחת השרתים ועל הגנת המשתמשים. בצה"ל סווג ליחדת סייבר. היום עובד עם חברות בלשות וגם עם אנשים פרטיים. בשבילו אין דבר כזה מאובטח. הוא גולש תמיד בדרך אנונימית - מזיופי כתובת IP ועד MAC, והוא טוען שאף אחד לא מוגן.

4 תגובות

  1. פוסט מעניין…
    מאז פרסום הפוסט עוד 2 אנטיוירוסים עלו על הקובץ הזדוני..
    ועל הקובץ הזדוני המוצפן נשאר אותו דבר, רק 2 אנטיוריוסים מגלים אותו.

  2. פינגבק: כך פועלות האפליקציות שמשתלטות על הסמארטפון שלכם | גיקטיים

  3. תעשה טובה תישלח לי את הווירוס למייל אני צריך להרוס לאחד שמשגע קטינות
    neve2014@walla.co.il

  4. עמית כהן צור קשר איתי במייל
    Hnsd888@gmail.com

כתיבת תגובה

שדות חובה *.