- 10 Ağu 2019
- 985
- 17
Merhabalar, bildiğiniz üzere teknolojinin biraz daha mobile kayması ile birlikte mobil cihazlar için üretilen farklı zararlı yazılımlar ve programlar daha da çoğaldı. Mobil zararlı yazılımların çoğalmasıyla birlikte bunları önlemeye çalışan kurum ve şahıs sayısı da paralel olarak arttı. Bu konuda ise sizlerle beraber bir adet mobil zararlı yazılım inceleyeceğiz. Eğer sizler de bu alanda testler gerçekleştirmek isterseniz aşağıdaki sitelerden incelemek içinzararlı yazılım bulabilirsiniz.
Zararlı Yazılım Paylaşan Siteler;
https://github.com/ashishb/android-malware
https://github.com/fouroctets/Android-Malware-Samples
https://virusshare.com/
https://koodous.com/
Öncelikle zararlı olduğunu düşündüğümüz uygulamayı indiriyoruz. Tıkla
"file skype.apk" komutu ile dosyanın jar(java) dosyası olduğunu görüyoruz.
İndirdiğimiz apk dosyasını extract ediyoruz ve "skype" isimli bir klasör ile karşılaşıyoruz. İçerisine açtığımızda program hakkında bilgi edinebileceğimiz dosyaları görüyoruz.
İçeride bulunan dosyaları incelediğimizde yazıları okuyamadığımızı, dosyalarda bir sorun olduğunu anlıyoruz.
Apktool aracılığıyla apk dosyasını decompile ediyoruz ve yine aynı şekilde skype dosyası ile karşılaşıyoruz.
Dosyaları incelemeye çalıştığımızda herhangi bir sorunun olmadığını ve düzgün şekilde açıldıklarını görüyoruz. AndroidManifest.xml'i incelediğimizde "skype.apk" uygulamasında istenilen izinleri birazını görebiliyoruz. Tabiki skype uygulamasının telefon uygulamaları üzerinde yetki isteği de şüphelendirmedi değil. <uses-permission android:name="android.permission.READ_PHONE_STATE"/>
Tekrardan "ls" komutu ile dosya içerisinde bulunan dizinleri incelediğimizde "smali" isimli bir dizin olduğunu görüyoruz. Smali aslında assembly gibi okunması zor, düşük seviye bir programlama dilidir. Program hakkında bilgi edinmemizi sağlayabileceği için içerisinde bulunan kaynak kodlarını inceliyoruz ancak şimdilik fazla bir şey çıkmıyor.
Tekrardan ana dizine girdiğimizde "res" klasörü içerisinde string değerlerini barındıran bir dosya olduğunu görüyoruz. Açtığımızda yine fazla bilgi edinemiyoruz.
İndirdiğimiz apk dosyasına geri döndüyoruz ve bir klasörün içerisine çıkartıyoruz. İçerisini açtığımızda ise classes.dex gibi decompile ettiğimizde karşılaşmadığımız dosyaları görüyoruz.
Bulduğumuz classes.dex dosyasını dex2jar aracı ile analiz etmek için java dosyasına çeviriyoruz.
jd-gui ile jar dosyasını açtığımızda obfusucate edilmiş diyebileceğimiz dosyalar ile karşılaşıyoruz.
"a.class" dosyasına baktığımızda telephony manager denilen aslında sms, arama gibi telefon servisleri hakkında bilgi veren bir servisi içeri aktardığını görüyoruz
Aynı şekilde telephony manager'ı aktif hale getirip kullandığını da görebiliyoruz.
Chmod gibi komutlar aracılığıyla yetkilendirmeler ile oynadığını ve program içerisinde shell script olduğunu anlamış oluyoruz.
Tekrardan programın asset dosyalarını incelediğimizde içerisinde binary ve data dosyaları olduğunu görüyoruz ancak 1 adet jar dosyası tespit ediyoruz.
Bulduğumuz jar dosyasını tekardan apktool ile decompile ediyoruz.
Decompile edilmiş dosyanın içerisine girip AndroidManifest.xml dosyasını incelediğimizde programın arkaplanda neredeyse telefon üzerinde bulunan bütün yetkilendirmelere erişmeye çalıştığını görüyoruz. Tabiki bu programa zararlı teşhisi koymamız için yeterli oluyor ve aslında ilk başta decompile edip araştırdığımız skype programının sadece bu programı cihaza kurmak için bir aracı olduğunu görüyoruz. Böyle bir işlemin yapılma nedeni ise anti virüs bypass ve benzeri işlemler olabilir.
Skype programının içerisinden çıkardığımız zararlı yazılımın string değerlerine baktığımızda ise çince yazılar ve farklı bilgiler ile karşılaşıyoruz (dil çevirisi olabilir, programın nereden çıktığını tespit etmeye yarayabilir)
Daha detaylı bir arama için tespit ettiğimiz programın classes.dex dosyasını jar'a çeviriyoruz.
Aynı şekilde jar dosyasını jd-gui programı ile açıyoruz ve zararlı yazılım hakkında daha da detaylı bilgiye erişebiliyoruz.
Yaptığımız işlemler ve uygulamalar ile programın zararlı olduğunu hepimiz gördük.
Mobil teknoloji sektörünün gelişmesi ile bu ve benzeri zararlı yazılımlar daha da artacaktır.
Elimizden geldiğince önlemlerimizi almalıyız )
Zararlı Yazılım Paylaşan Siteler;
https://github.com/ashishb/android-malware
https://github.com/fouroctets/Android-Malware-Samples
https://virusshare.com/
https://koodous.com/
Öncelikle zararlı olduğunu düşündüğümüz uygulamayı indiriyoruz. Tıkla
"file skype.apk" komutu ile dosyanın jar(java) dosyası olduğunu görüyoruz.
İndirdiğimiz apk dosyasını extract ediyoruz ve "skype" isimli bir klasör ile karşılaşıyoruz. İçerisine açtığımızda program hakkında bilgi edinebileceğimiz dosyaları görüyoruz.
İçeride bulunan dosyaları incelediğimizde yazıları okuyamadığımızı, dosyalarda bir sorun olduğunu anlıyoruz.
Apktool aracılığıyla apk dosyasını decompile ediyoruz ve yine aynı şekilde skype dosyası ile karşılaşıyoruz.
Dosyaları incelemeye çalıştığımızda herhangi bir sorunun olmadığını ve düzgün şekilde açıldıklarını görüyoruz. AndroidManifest.xml'i incelediğimizde "skype.apk" uygulamasında istenilen izinleri birazını görebiliyoruz. Tabiki skype uygulamasının telefon uygulamaları üzerinde yetki isteği de şüphelendirmedi değil. <uses-permission android:name="android.permission.READ_PHONE_STATE"/>
Tekrardan "ls" komutu ile dosya içerisinde bulunan dizinleri incelediğimizde "smali" isimli bir dizin olduğunu görüyoruz. Smali aslında assembly gibi okunması zor, düşük seviye bir programlama dilidir. Program hakkında bilgi edinmemizi sağlayabileceği için içerisinde bulunan kaynak kodlarını inceliyoruz ancak şimdilik fazla bir şey çıkmıyor.
Tekrardan ana dizine girdiğimizde "res" klasörü içerisinde string değerlerini barındıran bir dosya olduğunu görüyoruz. Açtığımızda yine fazla bilgi edinemiyoruz.
İndirdiğimiz apk dosyasına geri döndüyoruz ve bir klasörün içerisine çıkartıyoruz. İçerisini açtığımızda ise classes.dex gibi decompile ettiğimizde karşılaşmadığımız dosyaları görüyoruz.
Bulduğumuz classes.dex dosyasını dex2jar aracı ile analiz etmek için java dosyasına çeviriyoruz.
jd-gui ile jar dosyasını açtığımızda obfusucate edilmiş diyebileceğimiz dosyalar ile karşılaşıyoruz.
"a.class" dosyasına baktığımızda telephony manager denilen aslında sms, arama gibi telefon servisleri hakkında bilgi veren bir servisi içeri aktardığını görüyoruz
Aynı şekilde telephony manager'ı aktif hale getirip kullandığını da görebiliyoruz.
Chmod gibi komutlar aracılığıyla yetkilendirmeler ile oynadığını ve program içerisinde shell script olduğunu anlamış oluyoruz.
Tekrardan programın asset dosyalarını incelediğimizde içerisinde binary ve data dosyaları olduğunu görüyoruz ancak 1 adet jar dosyası tespit ediyoruz.
Bulduğumuz jar dosyasını tekardan apktool ile decompile ediyoruz.
Decompile edilmiş dosyanın içerisine girip AndroidManifest.xml dosyasını incelediğimizde programın arkaplanda neredeyse telefon üzerinde bulunan bütün yetkilendirmelere erişmeye çalıştığını görüyoruz. Tabiki bu programa zararlı teşhisi koymamız için yeterli oluyor ve aslında ilk başta decompile edip araştırdığımız skype programının sadece bu programı cihaza kurmak için bir aracı olduğunu görüyoruz. Böyle bir işlemin yapılma nedeni ise anti virüs bypass ve benzeri işlemler olabilir.
Skype programının içerisinden çıkardığımız zararlı yazılımın string değerlerine baktığımızda ise çince yazılar ve farklı bilgiler ile karşılaşıyoruz (dil çevirisi olabilir, programın nereden çıktığını tespit etmeye yarayabilir)
Daha detaylı bir arama için tespit ettiğimiz programın classes.dex dosyasını jar'a çeviriyoruz.
Aynı şekilde jar dosyasını jd-gui programı ile açıyoruz ve zararlı yazılım hakkında daha da detaylı bilgiye erişebiliyoruz.
Yaptığımız işlemler ve uygulamalar ile programın zararlı olduğunu hepimiz gördük.
Mobil teknoloji sektörünün gelişmesi ile bu ve benzeri zararlı yazılımlar daha da artacaktır.
Elimizden geldiğince önlemlerimizi almalıyız )