Mobile Zararlıların Network Seviyesinde Tespiti

Akıllı telefonlar hayatımızın ve işimizin ciddi bir parçası olduğundan beri saldırganların hedefinde. Şuan sektörde ağırlıklı olarak yer alan Android, iOS,Windows Phone vb. mobil işletim sistemlerine sahip çok sayıda akıllı telefon bulunmaktadır.
Akıllı telefonlar sürekli internete bağlı olduğu için ciddi risk altındadır ve kullanıcıların şahsi verileri ile şirket verileri sürekli risk altındadır. Bir mobil cihazı uzakdan ele geçiren saldırgan, ortam dinleme, webcam’den görüntü kaydetme, adres defteri, mesaj kutusu vb. kayıtlara ulaşma gibi bir çok işlemi yapabilmektedir.
Gelişmekde olan bir sistem olduğu için kullanıcıları da henüz yeterli bilgi güvenliği bilincine sahip değillerdir.
Bu blog girdisinde, Android sistemler için zararlı/casus yazılımların network seviyesinde tespiti için yapılacak pratik çalışmalar yer almaktadır. Bu uygulamada zararlı android uygulamasının davranışlarını ağ trafiğini izleyerek gözlemleyeceğiz. Şüphelendiğiniz bir uygulamayı bu yolla telefonunuza zarar vermeden inceleyebilir veya hali hazırda telefonunuzda benzer bir zararlı/casus yazılım var mı trafiğini izleyerek keşfedebilirsiniz.
Lab. Kurulumu
Bu çalışmada Kali linux dağıtımı kullanılmıştır.Tercih ettiğiniz işletim sistemine göre uygulamaların kurulum adımları farklılık gösterebilir.
Analiz için gerekli labaratuvar araçları aşağıdaki gibidir. Ayrıca detaylı olarak Android lab. kurulumu için aşağıdaki blog girdisine göz atabilirsiniz.
Ağ boyutlu analiz yapabilmek için Android emülatörü gereksinimlerimiz arasında yer almaktadır.Emülatör android geliştiricileri tarafından herhangi bir bilgisayar ortamında android bir cihaza sahip olmayan geliştiricilerin yazdıkları yazılımları test edebilmeleri için üretilmiş android cihaz simülasyonudur.Ayrıca emülatör mobil cihazımızı da riske atmadan gerekli güvenlik testlerini yapabilmemize olanak sağlar.
Android Gereksinimleri:
Android Emülatör:
Ağ paketi analizi için:
Tcpview:
> Linux 32 & 64-bit
Wireshark:
Uygulama:
Uygulama için gerekli lab araçlarını kurduktan sonra terminalden şu komutu girelim.
sh 4.2 # emulator -tcpdump emulator.cap @Android-Malware-Test-device 
Bu komutu girdikten sonra emülator aracılığıyla çalıştırdığınız tüm uygulamaların ağ trafiği  emulator.cap dosyasına kaydedilecektir.
Girilen komutun ardından emülatör şekildeki pencerede açılacaktır.
Emülatör komutunun ardından emülatör bu şekilde çalışarak ağ trafiğini emulator.cap(capture) dosyasına kaydedecektir.
Daha sonra ise bu dosya wireshark vb. bir network analiz  aracı ile analiz edilebilir.
Bu uygulamaların bağlantı kurdukları internet urlleri yada ip adreslerinin virustotal,scanurl gibi servisler yada google arama motoru arama sonuçlarına göre zararlı olup olmadıkları teyit edilerek uygulamanın malware tipi davranış gösterip göstermediğine karar verilebilir.
Bağlantı kurulan linkleri virustotal ve googlede taratarak güvenilirliklerini kontrol edelim.
Böylece sitelerin trojan türevi işlev gören zararlı siteler olduğu kanısına ulaşmış olduk.Son olarakta Mart ayında aktivite olan literatüre Trojan proxy:Not Compatible.A(Detaylı Bilgi) olarak geçen android malwareni inceleyelim.Bu malware bir güvenlik araştırmacısının IDS(Intrusion Detection System)’sine takılan ağ trafik linklerini incelemesi sonucunda keşfedilmiştir.Bu malware genellikle yahoo üzerinden atılan spam mailler ile kullanıcıların mobil cihazlarına enfekte olmaktadır.Akabinde ise güvenlik güncellemesi isminde enfekte olmuş bir apk dosyasını cihaza kurdurmaya çalışmaktadır.
Burada uygulama pek güvenli olduğunu düşünmediğim bir Rusya lokasyonlı siteye yönlendirme isteğinde bulunuyor.
Bu konumda ise url değişmesi yaparak zararlı url linkinden sözde “ güvenlik uygulaması “ isimli trojan türünden zararlı uygulamayı kullanıcıya kurdurmayı amaçlamaktadır.Linklerin enfekte durumunu inceleyelim:
Yapılan son link teyit taramasıylada artık kurup testini yaptığımız android uygulamalarımızın güvenilir olmadığı konusunda hemfikiriz.Testi yapılan ve farklı tür davranış gösteren mobil uygulamalarımızı https://support.google.com/googleplay/answer/2479847 adresindeki yönergeleri takip ederek rapor ederek testimizi sonlandırıyoruz.
Yazar: Oğuzhan AKKAYA
Referanslar:

12 Yorum

  1. Adsız 23 Ocak 2016 09:09

    Mükemmel !

  2. Adsız 23 Aralık 2015 17:55

    teşekkürler

  3. Vehbi 16 Temmuz 2015 02:36

    İşime yaradı,teşekkür ederm

  4. Adsız 10 Ocak 2015 04:38

    İlgi çekici

  5. Alihan 14 Kasım 2014 22:20

    Nefis bir ağ seviyesi analizi olmuş.

  6. C.Ü 16 Ağustos 2014 17:30

    Güzel inceleme

  7. A.Cem 28 Temmuz 2014 17:19

    Sonsuz teşekkürler,gerçekten güzel işlenmiş konu.

  8. Adsız 26 Temmuz 2014 02:43

    Faydalı bir yazı gerçekten

  9. Adsız 23 Haziran 2014 01:22

    Teşekkür ederim

  10. Adsız 2 Haziran 2014 11:10

    İlgi çekici bir yazı olmuş gerçekten.

  11. Adsız 15 Mayıs 2014 11:48

    Güzel yazı.

  12. Adsız 1 Mayıs 2014 00:03

    Etkileyici bir yazı.

Yorum Yaz

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

*
*

Mail listemize üye olarak eğitim fırsatlarını kaçırmayın!
Eğitim ve ücretsiz etkinliklerizden haberdar olmak için e-posta listesimize üye olun!.