Oğuzhan Topgül - iOS'da Zararlı Yazılım Yok (mu?) OWASP-TR Mobil Güvenlik Çalıştayı 2015 (14 Ekim 2015)

1. iOS’da Zararlı Yazılım Yok
(Mu?)
# OWASP-TRMobileSecurityWorkshop’15
@OguzhanTopgul

2. # whoami
oguzhantopgul.com
/in/oguzhantopgul
@oguzhantopgul

3. iOS Uygulamaları Hakkında
Uygulamalar yalnızca resmi App Store’dan indirilebilir
App Store’a uygulama koyabilmek için geliştirici
kaydı yapılmalıdır
App Store’a koyulmak üzere gönderilen uygulamalar
bir denetimden geçer
Herhangi bir kod parçasının, kütüphanenin cihazda
çalıştırılabilir olması için imzalanmış olması gerekir
(Code Signing)

4. JailBreak Hakkında
JailBreak Code Signing’i devre dışı bırakır
JailBreak sayesinde 3rd Party store’lardan
uygulama indirilebilir (En popüler olanı
Cydia)
JailBreak sayesinde cihaza SSH ile bağlantı
kurulabilir, tüm dosya sistemine erişilebilir.

5. App Store Harici Uygulama
Yükleme Kanalı
JailBreak yapılmamış bir cihaza App Store haricinde iki
şekilde uygulama yüklenebilir:
1. Developer Provisioning: Geliştiricilerin
uygulamalarını kendi cihazlarında test etmelerine
olanak tanır. (Max 100 cihaz)
2. Enterprise Provisioning: Kurumların personel
cihazlarına kurum içi geliştirilen ve App Store’a
koyulmayan uygulamaları yüklemesine olanak
tanır.

6. Mobil Zararlı Yazılım
İstatistikleri
Sadece 2015 Q1’de >1,000,000 yeni mobil zararlı yazılım

7. Mobil Zararlı Yazılım
İstatistikleri
2015 Q1 itibariyle ~7,000,000 mobil zararlı yazılım

8. 2014 Q4 Oranları
Mobil Zararlı Yazılım
İstatistikleri
J2ME Android Symbian Diğer

9. iOS’da Zararlı Yazılım Yok Mu?
VAR TABİ MANYAK MISIN

10. İnterne&e
Tespit
Edilmiş
iKee ve Duh (2009)
"Find and Call” (2012)
Packages (2012, 2013)
AdThief (2014)
Unflod (2014)
AppBuyer (2014)
WireLurker (2014)
Xsser mRAT (2014)
Lock Saver Free (2015)
PawnStrom (2015)
KeyRaider (2015)
XCodeGhost (2015)
YiSpecter (2015)
Ülkeler
Tara4ndan
Kullanılan
FinSpy (2012)
DROPOUTJEEP (2013)
HackingTeam (2014,
2015)
IncepYon (2014)
Xagent (2015)
İnterne&e
Sa9şı Olan
1Mole
Copy9, Copy10
FlexiSpy
iKeyGuard Key Logger
iKeyMonitor Key Logger
InnovaSPY
Mobile Spy
MobiStealth
Mspy
OwnSpy
SpyApp
SpyKey
SteahthGenie
TrapSMS
Araş9rma
Amaçlı
iSAM (2011)
Instastock (2011)
Mactans (2013)
Jekyll (2013)
XARA A]acks (2015)
NeonEggShell (2015)

11. iKEE ve Duh - 2009
iKEE, bilinen ilk iOS zararlısı
Jailbroken cihazları etkiliyor
JB öntanmlı SSH parolası ile
giriş denemesi yapıyor
(root:alpine, mobile:alpine)
Duh, iKEE’nin bir gelişmiş versiyonu.
CC sunucusundan aldığı komutları
işliyor, bilgi çalıyor…
SSH parolasını değiştiriyor (ohshit)

12. iSAM (PoC) - 2011
iKEE gibi jailbroken cihazlarda öntanımlı SSH parolası denemesi
yapıyor.
Jailbroken olmayan cihazları JailBreakME 2.0 Star exploiti ile
Jailbreak Yapmaya çalışıyor.
InstaStock- 2011
Charlie Miller tarafından CodeSigning mekanizmasındaki
bir açıklığı göstermek üzere geliştiriliyor
App Store’da yer alıyor, daha sonra kaldırılıyor

13. Find And Call - 2012
iOS App Store’da yer aldı.
Kullanıcı telefon rehberini
kendi sunucusuna
gönderiyor.
Telefon rehberindeki kişilere
App Store linki SMS olarak
gönderiliyor

14. FinSpy - 2012
Bahreyn’li aktivistleri hedef alan bir saldırının (FinFisher) parçası
Android, iOS, Blackberry, Windows Mobile ve Symbian
versiyonları mevcut
Developer Provisioning Profile kullanılmış ve hedef alınan
cihazların UDID değerleri profile dosyasında yer alıyor
31b4f49bc9007f98b55df555b107cba841219a21,
73b94de27cb5841ff387078c175238d6abac44b2,
0b47179108f7ad5462ed386bc59520da8bfcea86,
320184fb96154522e6a7bd86dcd0c7a9805ce7c0,
11432945ee0b84c7b72e293cbe9acef48f900628,
5a3df0593f1b39b61e3c180f34b9682429f21b4f,
b5bfa7db6a0781827241901d6b67b9d4e5d5dce8

15. DROPOUTJEEP - 2013
Snowden’ın sızdırdığı NSA belgelerinde yer alıyor
iPhone cihazlara yerleştirilen bir arka kapı
sayesinde cihazlar sahiplerini dinleme, izleme ve
casusluk amaçlarıyla kullanılıyor.
Detayları çok net bilinmiyor
NSA’in elinde çok sayıda iOS exploiti olduğu
söyleniyor
Apple’ın NSA ile birlikte çalıştığı iddia edildi,
Apple reddetti.

16. Mactans Malicious Charger
(PoC) - 2013
Provisioning Profile kullanılıyor.
Şarj cihazı görünümlü bir BeagleBone ile malware cihaza yükleniyor

17. Unflod Baby Panda - 2014
Jailbroken cihazları etkiliyor
MobileSubstrate kullanarak
SSLWrite() fonksiyonuna
kanca atıyor
SSL ile gönderilen AppleID ve
parolasını sunucusuna
gönderiyor
Geçerli bir iOS geliştirici
sertifikasıyla imzalanmış

18. Jailbroken olmayan cihazları etkiliyor
Gelişmiş Anti-analiz teknikleri içeriyor.
Saldırı temelde 2 aşamadan oluşuyor:
1. OSX Makine enfekte edilir (3rd Party Mac App Store üzerinden - 467
torjanized OSX App)
2. USB bağlantısı üzerinden iOS cihaz enfekte edilir
Zararlı iOS app üretimi işlemini otomatize bir şekilde yapan ilk zararlı yazılım
Enterprise Provisioning kullanarak 3rd party uygulamaları non-jailbroken
cihazlara kuran ilk zararlı yazılım.
2014

19. OSX makinede çalışan zararlı yazılım internetten iOS app’ler
indiriyor.
Bu app’lerin hepsi Enterprise Provisioning Profile barındırıyor.
2014

20. Herhangi bir cihaz enfekte OSX makineye bağlandığında cihazın JB
olup olmadığı kontrol ediliyor
JB’li ise cihazdaki bazı app’lerin yedeği alınıyor, bu app’ler
torjanize ediliyor ve tekrar cihaza kuruluyor
JB’li değil ise Enterprise Provisioning Profile yardımıyla daha önce
indirilmiş app’ler cihaza kuruluyor.
Zararlı yazılı kurulduğu cihazda, Serial number, Phone number, Model
number, Device type & version name, Apple ID, UDID, Wi-Fi address,
Disk usage, Telefon defteri, SMS Mesajnları gibi bilgileri topluyor,
sunucuya gönderiyor.
2014

21. PawnStorm & XAgent - 2015
Askeri kurumlar, kamu kurumlar, savunma sanayii ve medya
sektörlerini hedef alıyor.
Siber espiyonaj amaçlı bir zararlı yazılım
SEDNIT siber espiyonaj kampanyasının bir parçası
Kişisel veriler çalma (telefon rehberi, SMS mesajları, fotoğraflar,
konum, yüklü uygulamalar), ses kaydı ve ekran kaydı alınması.
Toplanan bilgilerin C&C sunucusuna gönderilmesi
Kod yapısı çok profesyonel

22. PawnStorm & XAgent - 2015
Jailbroken olan cihazları
etkileyen versiyonun yanında
Jailbroken olmayan cihazlar
için de bir versiyonu mevcut
Enterprise Provisioning Profile
kullandığı tahmin ediliyor.

23. HackingTeam - 2014, 2015
CVE-2014-4494, CVE-2015-3722 ve CVE-2015-3725
gibi açıklıklar kullanılmış (Masque)
Popüler uygulamaların trojanized versiyonları ile bilgi
toplama ve izleme yapılıyor
Enterprise Provisioning Profile kullanılmış.
HackingTeam’in sızan belgeleri içerisinde 11 tane
uygulama tespit edildi

24. XCodeGhost - 2015
XCode geliştirme ortamının trojanized hali kullanılarak
compile edilen uygulamaların içerisine zararlı kod enjekte
ediyor.
OSX platformu için geliştirilmiş ilk compiler zararlısı
Torjanize edilmiş 36 iOS uygulaması bulunuyor ve bunlardan
bazıları AppStore kontrollerini geçip App Store’da yer alıyor
Cihazlardan veri toplayıp C&C sunususuna iletiyor.

25. XCodeGhost - 2015

26. XCodeGhost - 2015
Apple XCodeGhost ile ilgili bir bülten yayınladı:
http://www.apple.com/cn/xcodeghost/

27. YiSpecter - 2015
Çinli ve Tayvanlı ISP’lere ait trafik hijack edilerek:
Browse edilen sayfa içerisinde JavaScript ve
HTML kodu enjekte ediliyor.
Uygulama indirme linkleri değiştirilerek
kullanıcılar zararlı uygulamalara yönlendiriliyor
Çinli meçhur Chat uygulaması QQ mesajları
içerisinde zararlı yazılıma yönlendirici linkler
gönderiliyor
Kullanıcılardan +18 video izleyebilecekleri bir
uygulama indirmeleri isteniyor
Hücresel veri veya kurumsal internet üzerinde
böyle bir problem yaşanmıyor.

28. YiSpecter - 2015
Enterprise Provisioning Profile ile imzalanmış 4 adet alt komponentten
oluşuyor.
Bu komponentlerden bazıları kendisini Passbook, Game Center gibi
sistem uygulamaları olarak göseriyor
Private API fonksiyonlarını kullanarak hassas işlemler yapabiliyor ve App
Store kontrollerini atlatabiliyor
Uygulamalarda araya girip reklam gösteriyor
Safari homepage’ini, arama motorunu, bookmark’ları güncelliyor
Cihazdan veri toplayıp C&C sunucusuna gönderiyor

29. MUDA - 2015
12 Eylül 2015’de
sample’ları yayınlandı
2 yıldır aktif olduğu biliniyor
Jailbroken cihazları
etkiliyor
Kullanıcıya reklam
gösteriyor ve kullanıcıdan
app indirmesini istiyor.

30. İnterne&e
Tespit
Edilmiş
iKee ve Duh (2009)
"Find and Call” (2012)
Packages (2012, 2013)
AdThief (2014)
Unflod (2014)
AppBuyer (2014)
WireLurker (2014)
Xsser mRAT (2014)
Lock Saver Free (2015)
PawnStrom (2015)
KeyRaider (2015)
XCodeGhost (2015)
YiSpecter (2015)
Ülkeler
Tara4ndan
Kullanılan
FinSpy (2012)
DROPOUTJEEP (2013)
HackingTeam (2014,
2015)
IncepYon (2014)
Xagent (2015)
İnterne&e
Sa9şı Olan
1Mole
Copy9, Copy10
FlexiSpy
iKeyGuard Key Logger
iKeyMonitor Key Logger
InnovaSPY
Mobile Spy
MobiStealth
Mspy
OwnSpy
SpyApp
SpyKey
SteahthGenie
TrapSMS
Araş9rma
Amaçlı
iSAM (2011)
Instastock (2011)
Mactans (2013)
Jekyll (2013)
XARA A]acks (2015)
NeonEggShell (2015)
İnterne&e
Tespit
Edilmiş
iKee ve Duh (2009)
"Find and Call” (2012)
Packages (2012, 2013)
AdThief (2014)
Unflod (2014)
AppBuyer (2014)
WireLurker (2014)
Xsser mRAT (2014)
Lock Saver Free (2015)
PawnStrom (2015)
KeyRaider (2015)
XCodeGhost (2015)
Muda (2015)
Ülkeler
Tara4ndan
Kullanılan
FinSpy (2012)
DROPOUTJEEP (2013)
HackingTeam (2014,
2015)
IncepYon (2014)
Xagent (2015)
İnterne&e
Sa9şı Olan
1Mole
Copy9, Copy10
FlexiSpy
iKeyGuard Key Logger
iKeyMonitor Key Logger
InnovaSPY
Mobile Spy
MobiStealth
Mspy
OwnSpy
SpyApp
SpyKey
SteahthGenie
TrapSMS
Araş9rma
Amaçlı
iSAM (2011)
Instastock (2011)
Mactans (2013)
Jekyll (2013)
XARA A]acks (2015)
NeonEggShell (2015)

31. Sonuç:
Evet, iOS platformunu tehdit eden zararlı yazılımlar mevcut
Hayır, iOS zararlı yazılımları sadece JailBroken iOS kullanıcılarını etkilemiyor
Evet, Bu zararlı yazılımların bazıları (Toplamda 6-7 tür) App Store’da yer
almış
Evet, Provisioning Profile ile zararlı yazılım yüklenmesi en etkili saldırı
verktörü
Evet, Bilgisayar üzerinden zararlı yazılım yüklenmesi kullanılan saldırı
vektörlerinden
Evet, iOS zararlı yazılım pazarında Çin ve uzak doğu önemli bir rol oynuyor

32. Referanslar
https://mobile-security.zeef.com/oguzhan.topgul#block_54614_ios-malware
https://www.theiphonewiki.com/wiki/Malware_for_iOS
http://blog.fortinet.com/post/ios-malware-does-exist
http://www.engadget.com/2009/11/07/jailbreak-worm-rickrolls-the-unsecured/
https://nakedsecurity.sophos.com/2009/11/23/lightning-strikes-iphone-malware-malicious/
https://securelist.com/blog/incidents/33544/find-and-call-leak-and-spam-57/
https://www.sektioneins.de/en/blog/14-04-18-iOS-malware-campaign-unflod-baby-panda.html
https://www.theiphonewiki.com/wiki/Misuse_of_enterprise_and_developer_certificates
https://www.paloaltonetworks.com/resources/research/unit42-wirelurker-a-new-era-in-ios-and-
os-x-malware.html

33. Referanslar
http://blog.trendmicro.com/trendlabs-security-intelligence/pawn-storm-update-ios-espionage-
app-found/
http://researchcenter.paloaltonetworks.com/2015/09/novel-malware-xcodeghost-modifies-
xcode-infects-apple-ios-apps-and-hits-app-store/
http://researchcenter.paloaltonetworks.com/2015/10/yispecter-first-ios-malware-attacks-non-
jailbroken-ios-devices-by-abusing-private-apis/
http://www.cse.buffalo.edu/~mohaisen/classes/fall2015/cse709/docs/deng-ccs15.pdf
https://citizenlab.org/2012/08/the-smartphone-who-loved-me-finfisher-goes-mobile/
http://www.securityweek.com/ios-malware-found-hacking-team-leak-exploits-masque-flaws
http://link.springer.com/chapter/10.1007%2F978-3-642-21424-0_2
https://gist.github.com/secmobi/257166bb21d0a650fc93

34. Teşekkürler…