Mobile Zararlıların Network Seviyesinde Tespiti

Akıllı telefonlar hayatımızın ve işimizin ciddi bir parçası olduğundan beri saldırganların hedefinde. Şuan sektörde ağırlıklı olarak yer alan Android, iOS,Windows Phone vb. mobil işletim sistemlerine sahip çok sayıda akıllı telefon bulunmaktadır.
Akıllı telefonlar sürekli internete bağlı olduğu için ciddi risk altındadır ve kullanıcıların şahsi verileri ile şirket verileri sürekli risk altındadır. Bir mobil cihazı uzakdan ele geçiren saldırgan, ortam dinleme, webcam’den görüntü kaydetme, adres defteri, mesaj kutusu vb. kayıtlara ulaşma gibi bir çok işlemi yapabilmektedir.
Gelişmekde olan bir sistem olduğu için kullanıcıları da henüz yeterli bilgi güvenliği bilincine sahip değillerdir.
Bu blog girdisinde, Android sistemler için zararlı/casus yazılımların network seviyesinde tespiti için yapılacak pratik çalışmalar yer almaktadır. Bu uygulamada zararlı android uygulamasının davranışlarını ağ trafiğini izleyerek gözlemleyeceğiz. Şüphelendiğiniz bir uygulamayı bu yolla telefonunuza zarar vermeden inceleyebilir veya hali hazırda telefonunuzda benzer bir zararlı/casus yazılım var mı trafiğini izleyerek keşfedebilirsiniz.
Lab. Kurulumu
Bu çalışmada Kali linux dağıtımı kullanılmıştır.Tercih ettiğiniz işletim sistemine göre uygulamaların kurulum adımları farklılık gösterebilir.
Analiz için gerekli labaratuvar araçları aşağıdaki gibidir. Ayrıca detaylı olarak Android lab. kurulumu için aşağıdaki blog girdisine göz atabilirsiniz.
Ağ boyutlu analiz yapabilmek için Android emülatörü gereksinimlerimiz arasında yer almaktadır.Emülatör android geliştiricileri tarafından herhangi bir bilgisayar ortamında android bir cihaza sahip olmayan geliştiricilerin yazdıkları yazılımları test edebilmeleri için üretilmiş android cihaz simülasyonudur.Ayrıca emülatör mobil cihazımızı da riske atmadan gerekli güvenlik testlerini yapabilmemize olanak sağlar.
Android Gereksinimleri:
Android Emülatör:
Ağ paketi analizi için:
Tcpview:
Wireshark:
Uygulama:
Uygulama için gerekli lab araçlarını kurduktan sonra terminalden şu komutu girelim.
sh 4.2 # emulator -tcpdump emulator.cap @Android-Malware-Test-device 
Screenshot from 2014-04-05 02:11:44
Bu komutu girdikten sonra emülator aracılığıyla çalıştırdığınız tüm uygulamaların ağ trafiği  emulator.cap dosyasına kaydedilecektir.
android
Girilen komutun ardından emülatör şekildeki pencerede açılacaktır.
Emülatör komutunun ardından emülatör bu şekilde çalışarak ağ trafiğini emulator.cap(capture) dosyasına kaydedecektir.
Daha sonra ise bu dosya wireshark vb. bir network analiz  aracı ile analiz edilebilir.
wireshark
Bu uygulamaların bağlantı kurdukları internet urlleri yada ip adreslerinin virustotal,scanurl gibi servisler yada google arama motoru arama sonuçlarına göre zararlı olup olmadıkları teyit edilerek uygulamanın malware tipi davranış gösterip göstermediğine karar verilebilir.
pcap2
pcap3.png
Bağlantı kurulan linkleri virustotal ve googlede taratarak güvenilirliklerini kontrol edelim.
virustotal
google
Böylece sitelerin trojan türevi işlev gören zararlı siteler olduğu kanısına ulaşmış olduk.Son olarakta Mart ayında aktivite olan literatüre Trojan proxy:Not Compatible.A(Detaylı Bilgi) olarak geçen android malwareni inceleyelim.Bu malware bir güvenlik araştırmacısının IDS(Intrusion Detection System)’sine takılan ağ trafik linklerini incelemesi sonucunda keşfedilmiştir.Bu malware genellikle yahoo üzerinden atılan spam mailler ile kullanıcıların mobil cihazlarına enfekte olmaktadır.Akabinde ise güvenlik güncellemesi isminde enfekte olmuş bir apk dosyasını cihaza kurdurmaya çalışmaktadır.
Screenshot_from_2014-04-07.png
Burada uygulama pek güvenli olduğunu düşünmediğim bir Rusya lokasyonlı siteye yönlendirme isteğinde bulunuyor.
Screenshot_from_2014-04-07-2.png
Screenshot_from_2014-04-07-3.png
Bu konumda ise url değişmesi yaparak zararlı url linkinden sözde “ güvenlik uygulaması “ isimli trojan türünden zararlı uygulamayı kullanıcıya kurdurmayı amaçlamaktadır.Linklerin enfekte durumunu inceleyelim:
Screenshot from 2014-04-08 00:41:57.pngScreenshot from 2014-04-08 05:53:42.png
Yapılan son link teyit taramasıylada artık kurup testini yaptığımız android uygulamalarımızın güvenilir olmadığı konusunda hemfikiriz.Testi yapılan ve farklı tür davranış gösteren mobil uygulamalarımızı https://support.google.com/googleplay/answer/2479847 adresindeki yönergeleri takip ederek rapor ederek testimizi sonlandırıyoruz.
Yazar: Oğuzhan AKKAYA
Referanslar: