SlideShare a Scribd company logo

Android Zararlı Yazılım Analizi

BGA Cyber Security
BGA Cyber Security

Android Zararlı Yazılım Analizi @BGASecurity | Mücahid Ceylan - Halil Dalabasmaz

Technology
1 of 25
ANDROID ZARARLI YAZILIM ANALİZİ Yazar:MücahidCeylan Mentör:HalilDalabasmaz Baskı:2018
[ANDROID ZARARLI YAZILIM ANALİZİ] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity İÇİNDEKİLER Giriş..................................................................................................................................3 Android Market Bizi Koruyor mu?............................................................................................. 6 İzinleri Kontrol Etmek Bizi Korur mu?........................................................................................ 6 Tespit Edilen Zararlı Uygulamalar ......................................................................................7 Analiz....................................................................................................................................... 9 Manifest Dosyası Analizi........................................................................................................... 9 Atatürk Uygulaması Detaylı Analiz .......................................................................................... 12 Statik Analiz ...................................................................................................................................12 Dinamik Analiz...............................................................................................................................13 Ağ Trafiği Analizi ............................................................................................................................15 Kod Analizi .....................................................................................................................................16 Logcat Kayıtlarının İncelenmesi.....................................................................................................20 Diğer Uygulamalar.................................................................................................................. 21 Sonuç .............................................................................................................................24
[ANDROID ZARARLI YAZILIM ANALİZİ] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Giriş Günümüz bilgisayar sistemleri ve akıllı cihazları sahip oldukları yetenekler ile kullanıcılarına fayda sağlarken, kullanıcı bilgilerini çalmak ya da cihazları başka amaçlarda kullanmak için kötü niyetli kişilerin hedefi olmaktadırlar. Peki biz kontrolsüz büyümesi ile dünyayı saran, henüz uygulama geliştiricilerinin bile tam denetim sahibi olamadığı uygulamalara sahip olan ve neredeyse bedenimize yapışık halde bizimle dolaşan, en mahrem bilgilerimizi bulundurduğumuz mobil cihazlarımızın güvenliklerini ne kadar önemsiyoruz? Bu yazıda sadece sizlerin değil, Android marketin bile farkında olmadan telefonunuzun nasıl kötücül amaçlar için kullanılabileceğinden bahsedilecek, “Play Store” üzerinden geçtiğimiz hafta indirilmiş, tamamen normal gözüken ve Türk kullanıcıları hedef alan zararlı yazılımların nasıl çalıştıklarından bahsedilecektir. Geçtiğimiz hafta itibariyle mağazadan henüz yeni kaldırılan bu uygulamaların, mağazada bulunduğu sırada bizim tarafımızdan allınmış ekran görüntüleri ve indirilme sayısı aşağıda verilmiştir. Ayrıca bu iki uygulamaya benzerlik gösteren, geçtiğimiz ay markette yer almış bir zararlı yazılımdan da inceleme sırasında bahsedilmiştir.
[ANDROID ZARARLI YAZILIM ANALİZİ] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Uygulamalar yüklendikten sonra uygulamalara ait oluşan simgeler ve bu uygulamaların çalışır durumdaki ekran görüntüleri şu şekildedir.
[ANDROID ZARARLI YAZILIM ANALİZİ] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity
[ANDROID ZARARLI YAZILIM ANALİZİ] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Android Market Bizi Koruyor mu? Zararlı yazılımların hedef sisteme bulaşması, büyük bir çoğunlukla bu zararlı uygulamaların kullanıcılar tarafından indirilip çalıştırılması sonucu bulaşır. Android platform üzerinde de indirip yüklediğiniz zaman arka planda sizden habersiz işler yapma uğraşında olan sayısız mobil uygulama mevcuttur. Bu zararlı uygulamalara Android Market dışında başka sitelerden indirilen ücretli uygulamaların ücretsiz versiyonu olan uygulamalar da dahildir düşüncesi çoğu kez doğrudur, ancak “ben Android Market dışarısında başka yerden uygulama indirmiyorum, o yüzden telefonum güvende” kanısı tamamen yanlıştır. Android Market üzerinde denetim sıkı değildir, ne yapmak amacında olduğu bilinmeyen, kullanıcı çekebilmek için ön planda normal bir uygulama görüntüsünde olan zararlı uygulamalar mevcuttur. Android Market içerisindeki bu zararlı uygulamalar sosyal medya, araçlar, oyunlar gibi kategorilerde yer alan uygulamalar içerisine gizlenerek akıllı cihazlara bulaşır. Mağaza bu uygulamalar için kısıtlı güvenlik önlemleri alabilmektedir. İzinleri Kontrol Etmek Bizi Korur mu? Zararlı uygulamalar istekleri doğrultusunda çalışabilmek için sizden yüksek izinler talep eder. Örnek olarak basit bir hesap makinesi uygulamasının sizden telefonunuza gelen SMS mesajlarını okuyabilmeyi, istediği zaman çağrı yapabilmeyi, kişi listenizi okumayı talep etmesi uygulamanın zararlı olabileceği yönündeki şüpheleri çok arttırır. Google, bu tarz uygulamaların tespit edilmesinde kısmen de olsa statik analiz teknikleri ile zararlı tespiti yapabilmektedir. Ancak mağaza üzerinde bu tarz zararlı yazılımların bulunmadığı, ya da market üzerinden kaldırılana kadar amacına ulaşmadığı, kurbanlarından biri sizin olmadığınız anlamına gelmez. Sayılmış olan sebeplerden ötürü izinleri kontrol etmek önemli, her sıradan kullanıcının dikkat etmesi gereken bir konudur. Ancak izinleri kontrol etmeniz bizim incelemiş olduğumuz bu uygulamalar için yeterli bir çözüm değildir. Yüksek izin talep eden ve zararlı kodu kendi içerisinde barındıran bu sebepten ötürü tespit edilmesi kısmen kolay olan zararlı yazılımlardan bahsedildi, ayrıca bulaştığı sistemde ve Android Market üzerinde yakalanma ihtimalini azaltmak veya başka amaçlar için iki bölümden oluşan zararlı yazılımlar mevcuttur. Birinci bölüm yükleyici (loader) olarak adlandırılan sistemde ilk olarak çalışan, ikinci bölümün yüklenmesini ve çalıştırılmasını sağlayan bölümdür. İkinci bölüm ise zararlı yazılımın amacını gerçekleştirdiği, zararlı kodun bulunduğu stage olarak adlandırılan kısımdır. Stage kısmı Android Market üzerinde bulunmaz, dış kaynaklardan loader dediğimiz ilk bölüm kullanılarak indirilir. Bu sayede market üzerindeki zararlı yazılımın bir zararlı olduğu ancak daha gelişmiş davranışsal analiz teknikleri ile tespit edilebilir.
[ANDROID ZARARLI YAZILIM ANALİZİ] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Tespit Edilen Zararlı Uygulamalar 1- Android Market üzerinden masum bir uygulama gibi gözüken ve dropper/loader olarak adlandırdığımız zararlı yazılım kullanıcılar tarafından indirilir. 2- Bu uygulama C&C Server üzerine stage dedğimiz ikinci bölümü indirmek için bir istek yapar ve yeni uygulamanın linkini alır. 3- Cihaz üzerine yeni uygulama indirilir ve çalıştırılır. Ancak yeni uygulamanın çalışabilmesi, uygulama android market üzerinden indirilmediği için cihazın dış kaynaklara izin vermesi ile gerçekleşir. 4- Başka bir kaynaktan indirilen bu uygulama yüzünden cihaz Botnet ağına dahil olur ve C&C Servere hizmet etmek için çalışır.
[ANDROID ZARARLI YAZILIM ANALİZİ] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Tespit edilen yeni 2 uygulama ile daha önce mağazada bulunmuş zararlı Atatürk uygulaması arasındaki benzerlikler şu şekildedir: Mustafa Kemal Ataturk Ezan Saati ve Solitaire Kart Oyunu Obfuscation Yoktur Obfuscation Kullanılmıştır. C&C Server IP’si: Ortak C&C Server IP’si: 91.214.70.163 185.159.129.25 İndirdiği APK: İndirmeye Çalıştığı APK: Servis Güncelleme 5.0 d3mo.apk Ezan Saati ve Solitaire Kart Oyunu uygulamalarında da post edilen bilgilerin ve kod işleyişinin eski uygulama ile aynı olduğu gözlemlenmiştir.
[ANDROID ZARARLI YAZILIM ANALİZİ] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Analiz İncelenen Android uygulamalar Türk kullanıcılarını hedef almaktadır ve Namaz Vakitleri, Mustafa Kemal Atatürk Fotoğrafları gibi ön planda manevi değerlerimizi kullanmaktadır. Teknik analiz sırasında Android ortamı sanallaştırmak adına Genymotion ve Android Studio içerisinde yer alan Android Device Manager emulatorleri, decompiler/disassambler sürecinde apktool, d2jar, jd-gui, androguard, JEB programları kullanılmıştır. İlgili programların kurulum ve kullanımını aşağıdaki linkten incelenebilir. https://www.slideshare.net/bgasecurity/android-zararl-yazlm-analizi-ve-gvenlik-yaklamlar Manifest Dosyası Analizi Zararlı olarak sınıflandırılan uygulamalar apktool programı ile decompile edilerek manifest dosyaları incelenmiştir. Manifest dosyası içerisindeki izinlere baktığımızda, ACCESS_NETWORK_STATE, WAKE_LOCK, RECEIVE_BOOT_COMPLETED, READ_PHONE_STATE, INSTALL_PACKAGES, INTERNET, WRITE_EXTERNAL_STORAGE izinlerinin üç uygulamada da ortak olduğu tespit edilmiştir. ACCESS_NETWORK_STATE izini uygulamanın network durumuna ulaşabilmesini, WAKE_LOCK izini uygulamanın açıkken kilit ekrana geçmesini engellemeyi, RECEIVE_BOOT_COMPLETED izini telefon boot edildikten sonra uygulamanın bu bilgiye “.action.BOOT_COMPLETED” mesajıyla ulaşmasını sağlar, READ_PHONE_STATE izini telefonun durumu hakkında uygulamanın veri alabilmesine izin verir, WRITE_EXTERNAL_STORAGE izini ise sdcard üzerine uygulamanın veri yazabilmesine olanak sağlar, INTERNET izini uygulamanın network soketlerine ulaşım sağlayabilmesini, INSTALL_PACKAGES izini ise uygulamanın paket indirebilmesine olanak sağlar. Bir Ezan vakitleri uygulaması, bir Atatürk Fotoğrafları uygulaması ya da kart oyunu neden sizden paket indirmek için ya da SD kartınıza veri yazmak için izin ister? SD kart belki Atatürk fotoğraflarını kaydetmek için anlamlandırılabilirken, paket indirme izni oldukça dikkat çekmektedir. Son olarak Atatürk uygulamasının manifest dosyasında harici olarak aşağıda ekran görüntüsü verilen izinler bulunmaktadır.
[ANDROID ZARARLI YAZILIM ANALİZİ] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity SET_WALPAPER izninin sebebi uygulamanın fotoğrafları duvar kâğıdı olarak kaydettirebilme özelliği olmasından, bunun içinde SET_WALPAPER izinine ihtiyaç duymasından kaynaklanmaktadır. Yani zararlı kısımla alakalı değildir. Manifest dosyalarının geriye kalan kısımlarını incelediğimizde paket ismi, başlangıç aktivitesi gibi bilgilere daha sonra dönmek üzere geçtiğimizde, üç uygulamada da iki adet service bulunduğu, bu servislerin receiver çalıştırdığı ve uygulamanın çeşitli aktivitelerden oluştuğu tespit edilmiştir.. Kısaca activity; ekranda gördüğümüz sayfaları, service; uygulamanın arka planda çalışan özelliğini, receiver; telefon durumuna göre receive edilen mesajlara ulaşma özelliğidir. Bu uygulamalarda iki adet service ve bu servislerde çalışan birer adet receiver ve çeşitli aktiviteler bulunmaktadır. Intent yapısı ise sayfa geçişleri, diğer uygulamalarla etkileşim gibi çeşitli özellikleri barındıran Android yapısıdır. Örnek olarak Ezan Vakitleri uygulamasındaki aktivitelerden bazıları aşağıdaki ekran görüntüsünde verilmiştir. Aktivite isimlerinin anlamlandırılamadığı, uygulama hakkında fikir yürütmemizi zorlaştırmak amaçlı obfuscation (karmaşıklaştırma) kullanıldığı gözlemlenmektedir. Aynı şekilde service ve receiver isimleri tıpkı aktivitelerde olduğu gibi Ezan Vakitleri ve Kart Oyunu uygulamalarında yorumlanamayan değerler olarak karşımıza çıkmaktadır. Atatürk uygulamasında yer alan aktivite kısmı ise obfuscation (karmaşıklaştırma) kullanılmadığı için yorumlanabilir durumdadır. Uygulama içerisinde ilk başlayan aktivitenin MainActivity olduğu, FullScreen, AdminActivity, WebActivity gibi aktiviteler barındırdığı gözlemlenir.
[ANDROID ZARARLI YAZILIM ANALİZİ] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Atatürk uygulaması üzerine obfuscation (karmaşıklaştırma) uygulanmamasından faydalanarak servis isimleri tespit edilebilir. Ezan Vakitleri uygulamasında admin servisi içerisinde yer alan receiver incelediğimizde Admin actionlarını tespit edilmiştir. Mainservice içerisindeki receiver actionlarını gözlemlediğimizde, action.BOOT_COMPLETED ile telefonun boot edilip edilmediği, action.USER_PRESENT ile kullanıcının telefon başına geçtiği, action.PACKAGE_ADDED ile de yeni bir uygulamanın telefona yüklenip yüklenmediği mesajı almasını sağlar.
[ANDROID ZARARLI YAZILIM ANALİZİ] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Atatürk Uygulaması Detaylı Analiz Mağaza üzerinde tespit edilen yeni uygulamaların nasıl bir işleyişi olabileceğini öngörmek için geçtiğimiz aylarda mağazada yer almış android uygulamasına göz atalım. Statik Analiz Manifest dosyasını okuyarak edindiğimiz bilgileri ve daha fazlasını daha toplu ve kolay elde etmek için AndroGuard programını kullanılmıştır. ataturk.apk uygulaması için paket ismi, kullandığı izinler ve aktivite isimleri aşağıdaki gibi alınmıştır. Daha sonra AndroGuard programı ile APK içerisindeki class isimleri, method isimleri ve içerisinde geçen stringler gözlemlenerek uygulamanın işleyişi ile alakalı bilgiler elde edilmiştir.
[ANDROID ZARARLI YAZILIM ANALİZİ] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Dinamik Analiz Uygulamayı Fenymotion Emulatörünü kullanarak çalıştırdıktan belli bir süre sonra şekildeki uyarı ile karşılaşılır. Emulatör bilinmeyen kaynaklardan uygulamanın indirildiği ve çalıştırılmak istendiği uyarısı vermektedir. İptal seçeneğine basıldıktan sonra, aynı uyarının defalarca karşımıza çıktığı, uygulamanın sürekli yüklenme isteği yaptığını gözlemleriz. Güvenlik ayarlarında “Unkown Sources” seçeneğini mecburen aktif edilmelidir.
[ANDROID ZARARLI YAZILIM ANALİZİ] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Yüksek izinler isteyen Servis Güncelleme 0.5 isminde bir uygulama ile karşılaşılacaktır Uygulamanın nasıl çalıştığı hakkında fikir yürütmek içine network bağlantılarına, decompiler edilmiş kod analizine ve logcat ekranına düşen kayıtlarına bakılabilir.
[ANDROID ZARARLI YAZILIM ANALİZİ] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Ağ Trafiği Analizi Tcpdump programını çalıştırarak alınmış ağ trafiği, Wireshark programı ile incelenmiştir. 10.0.3.15 IP adresine sahip olan genymotion emülatörünün “91.214.70.163” ve “195.142.105.22” IP adresleri ile yaptığı bağlantıları tespit edilmiştir. “195.142.105.22” IP adresi ile HTTP ve TCP bağlantıları yer almaktadır. Yapılan GET isteklerinden herhangi birine bakıldığında, uygulama içerisindeki Atatürk fotoğraflarının webview kullanılarak “i.haber7.com” sitesinden alındığını görülmüştür ve bu IP adresinin zararlı kısımla alakalı olmadığı sonucunu çıkartılmıştır. Son olarak “91.214.70.163” IP adresi ile geynmotion emülatörü arasında TCP bağlantısı oluşturulduğu, encrypted edilmiş bir trafik olduğu gözlemlenir.
[ANDROID ZARARLI YAZILIM ANALİZİ] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Kod Analizi Programın işleyişi hakkında doğru bilgileri edinip, arka planda nelerin döndüğünü anlamak için obfuscation (karmaşıklaştırma) uygulanmamış uygulamada kod analizi yapılır. Aşağıda programa ait belli başlı fonksiyonlar incelenmiştir. Constans.class’ı içerisinde yer alan, set edilen değişkenler incelendiğinde downloads dizini ve “91.214.70.163” IP adresinin 7227 portu karşımıza çıkmaktadır. Daha sonra Connection.class içerisinde SERVERS listesi içerisinde yer alan IP adresine “gate.php” stringi eklenilerek bir server adresi set edilmiştir. Log kayıtlarında da karşımıza çıkan bu adres “91.214.70.163:7227/gate.php” olarak PHP kodu çalıştırmaktadır. Connection gerçekleşmeden önce, NetworkTask objesi oluşturularak servere request yapılır. Daha sonra telefona ait olan imei, uniqnum numarası, model bilgisi ve yapılacak işlem/ serverden gelen bilgiyle orantılı olarak req değeri HashMap içerisine alınarak sunucuya localNetworkTask.postAdd metodu ile gönderilmektedir.
[ANDROID ZARARLI YAZILIM ANALİZİ] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity req_init içerisinde eğer cihaz root yetkilerindeyse, ilk request sırasında servere root bilgisi, ülke kodu ve işletim versiyonu bilgisi iletilir. actionSet için req değeri 4, noAction için 2, confirmTask için 3 değeri atanır. MainReceiver içerisinde cihaz üzerindeki actionlar dinlenir. Bunlar yeni bir görevin olup olmadığı, cihaz sahibinin aktif olup olmadığı, ekranın kapanıp kapanmadığı ve paketin indirilip indirilmediği bilgisini gözlemler ve if yapısını kullanılarak uygulama içerisinde gerekli tepkileri verir.
[ANDROID ZARARLI YAZILIM ANALİZİ] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity DB paketi içerisinde Task oluşturulur ve SQLite veritabanında tutulur. Bu sonradan yüklenecek uygulama için paket ismi gibi bilgileri tutar ve serverden gelen bilgileri içerir.
[ANDROID ZARARLI YAZILIM ANALİZİ] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity İndirme işlemini başlatabilmek için bir adet TableTasks objesi oluşturulur. Consants classı içerisinde tanımladığımız “File” değişkenine atanmış “downloads” dizini kullanılarak uygulamanın ilgili dizine indirilmesini sağlar.
[ANDROID ZARARLI YAZILIM ANALİZİ] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Logcat Kayıtlarının İncelenmesi SD Kart mount edilmiş bir android-studio emulatorunde ATATURK.apk programını çalıştırılır ancak zararlı uygulamayı genymotion emulatöründe olduğu gibi yüklemediğini gözlenir. Downloads dizininde bir dosyanın bulunmadığı, bundan dolayı programın istenildiği gibi çalışılmadığı hatasıyla karşılaşılır. Buradan zararlı yazılımın downloads dizinine indirildiği daha sonra çalıştırıldığı sonucunu çıkararak dosya ismini base64 decoder kullanarak anlamlandırılır ve karşımıza “mcvndicwuz.myturyaivrmkovzxjp” stringi çıkar. İndirilen zararlı yazılımın paket ismini “data/data” klasörünün değişimine bakarak ya da droidbox gibi programlar kullanarak da elde edebilirsiniz. Uygulamanın apk’si “/data/app” klasörü içerisinde karşımıza çıkıyor. adb programı ile emulatör üzerinden uygulamayı pull ederek çıkarıp internette bu apk’nın geçmişinin olup olmadığını anlamak için virüstotal raporu incelenir. Bankacılık zararlı yazılımı olduğu bilgisine ulaştığımız bu uygulamanın, servis güncelleme uygulaması olmadığı, 23 adet güçlü izne sahip olduğu ve telefon üzerindeki bankacılık uygulamalarına casusluk yaparak bu bilgileri C&C servere ilettiği bilgisini ediniyoruz.
[ANDROID ZARARLI YAZILIM ANALİZİ] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Diğer Uygulamalar Uygulamaların birbiriyle benzer yönlerine değinelim. Ezan Vakileri ya da Soliatire Kart Oyunu için aynı M.K.Atatürk uygulamasında yapıldığı gibi tcpdump programı kullanılarak ağ trafiği dinlenir, wireshark programı ile bu trafik incelenir ve bağlantı kurulan IP adresleri gözlemlenir. İki uygulama için de 185.159.129.25 IP adresinin ortak olarak bağlantılarda yer aldığı tespit edilir. Ayrıca aradaki trafiği incelemek istediğimizde encrypt edilmiş benzer trafikler olduğunu gözlemlenir. Uygulamalar çalıştırıldığında, SD kart içerisinde paket isimleri ile şekildeki gibi klasör oluşturdukları gözlemlenir. İlgili klasörün içerisinde uygulamaya ait log kayıtları o tarihe ait olacak şekilde şekildeki gibi tutulur. İlgili dosyanın içerisindeki örnek veriler şekildeki gibidir.
[ANDROID ZARARLI YAZILIM ANALİZİ] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Log dosyası içerisindeki veriler incelendiğinde, her 3 uygulamadaki değişken isimleri, sırası, php dosya ismi (gate.php), C&C servere gönderilecek request şekli kısacası uygulamaların zararlı içeren kısımlarına ait kodların aynı olduğu gözlemlenir. Server IPsi değiştirilen yeni uygulamalarda analiz sırasında tespiti zorlaştırmak amacıyla obfuscation tekniği kullanılmıştır. Uygulamaların SD kart üzerinde ne gibi değişiklik yaptığını droidbox gibi dinamik analiz araçları ile öğrenebileceğiniz gibi, şekildeki gibi emülatör üzerinde log tutan basit bir file editör bile bu örnekte çözüme ulaştırabilir. İlgili uygulamaların logcat ekranına düşen log kayıtları incelendiğinde “kafesohbet.org/d3mo.apk” linkinden zararlı yazılım indirdiği geçen hafta gözlemlenmiştir.
[ANDROID ZARARLI YAZILIM ANALİZİ] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity İlgili uygulamanın ekran görüntüsü şekildeki gibidir. …deneme ismine sahip olan bu uygulamanın virüstotal raporu şekildeki gibidir. …com.mliqzsfefabc.sryrsopsdz paket ismine sahip olan bu uygulama, şuanda ilgili yazılım çalıştırıldığında indirilememektedir. Drop edilen zararlı uygulamanın, hangi siteden indirileceği “gate.php” dosyası tarafından task olarak uygulamaya aktarıldığı bilgisini kod analizinden anladığımız için, set edilen sitenin backend tarafında php dosyasına sahip olanlar tarafından değiştirilebileceği sonucunu çıkarırız. Logcat ekranına düşen veriler incelendiğinde, ilgili kodun ataturk uygulamasıyla aynı olduğu söylenebilir. Bağlantı kurulan server IP adresi şekildeki gibi değişiklik göstermiştir.
[ANDROID ZARARLI YAZILIM ANALİZİ] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Logcat ekranında log kayıtlarına bakıldığında imei numarasının 0000000000000 olduğu gözlemlenir. Php tarafında bunun kontrol edilebilme, bu yüzden serverden aktive task alamama durumunu engellemek için genymotion emülatörünün “/system/etc” dizini altındaki “init.androVM.sh” içerisinde yer alan şekilde gösterilen ilgili kısım farkı sayılarla değişirilebilir. Ama bu zararlı yazılım için emülatörle oluşturulmuş android cihazın imei numarasını değiştirmek bir çözüm getirmemiştir. Sonuç Mağaza üzerinde aynı zararlı yazılım bile farklı uygulamalar arkasına saklanarak ve yeni yöntemler geliştirerek mağaza üzerindeki yaşam döngüsüne devam edebilmektedir. Sadece 2017 yılında 700.000’den fazla android uygulama zararlı olduğu düşüncesiyle mağazadan kaldırılmıştır. Mağaza üzerindeki güvenlik önlemlerinin sıkılaştırılması ve bilinçli kullanıcıların sayısının arttırılması gerekmekte, resmi mağazadan dahi olsa güvendiğiniz uygulamaları tercih etmelisiniz.
[ANDROID ZARARLI YAZILIM ANALİZİ] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity BGA Bilgi Güvenliği A.Ş. Hakkında BGA Bilgi Güvenliği A.Ş. 2008 yılından bu yana siber güvenlik alanında faaliyet göstermektedir. Ülkemizdeki bilgi güvenliği sektörüne profesyonel anlamda destek olmak amacı ile kurulan BGA Bilgi Güvenliği, stratejik siber güvenlik danışmanlığı ve güvenlik eğitimleri konularında kurumlara hizmet vermektedir. Uluslararası geçerliliğe sahip sertifikalı 50 kişilik teknik ekibi ile, faaliyetlerini Ankara ve İstanbul ve USA’da sürdüren BGA Bilgi Güvenliği’nin ilgi alanlarını “Sızma Testleri, Güvenlik Denetimi, SOME, SOC Danışmanlığı, Açık Kaynak Siber Güvenlik Çözümleri, Büyük Veri Güvenlik Analizi ve Yeni Nesil Güvenlik Çözümleri” oluşturmaktadır. Gerçekleştirdiği başarılı danışmanlık projeleri ve eğitimlerle sektörde saygın bir yer edinen BGA Bilgi Güvenliği, kurulduğu günden bugüne alanında lider finans, enerji, telekom ve kamu kuruluşlarına 1.000'den fazla eğitim ve danışmanlık projeleri gerçekleştirmiştir. BGA Bilgi Güvenliği, kurulduğu 2008 yılından beri ülkemizde bilgi güvenliği konusundaki bilgi ve paylaşımların artması amacı ile güvenlik e-posta listeleri oluşturulması, seminerler, güvenlik etkinlikleri düzenlenmesi, üniversite öğrencilerine kariyer ve bilgi sağlamak için siber güvenlik kampları düzenlenmesi ve sosyal sorumluluk projeleri gibi birçok konuda gönüllü faaliyetlerde bulunmuştur. BGA Bilgi Güvenliği AKADEMİSİ Hakkında BGA Bilgi Güvenliği A.Ş.’nin eğitim ve sosyal sorumluluk markası olarak çalışan Bilgi Güvenliği AKADEMİSİ, siber güvenlik konusunda ticari, gönüllü eğitimlerin düzenlenmesi ve siber güvenlik farkındalığını arttırıcı gönüllü faaliyetleri yürütülmesinden sorumludur. Bilgi Güvenliği AKADEMİSİ markasıyla bugüne kadar “Siber Güvenlik Kampları”, “Siber Güvenlik Staj Okulu”, “Siber Güvenlik Ar- Ge Destek Bursu”, “Ethical Hacking yarışmaları” ve “Siber Güvenlik Kütüphanesi” gibi birçok gönüllü faaliyetin destekleyici olmuştur.

Recommended

Android Zararlı Yazılım Analizi ve Güvenlik Yaklaşımları
Android Zararlı Yazılım Analizi ve Güvenlik YaklaşımlarıAndroid Zararlı Yazılım Analizi ve Güvenlik Yaklaşımları
Android Zararlı Yazılım Analizi ve Güvenlik YaklaşımlarıBGA Cyber Security
 
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC Kullanımı
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC KullanımıZararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC Kullanımı
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC KullanımıBGA Cyber Security
 
Bilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9BGA Cyber Security
 
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıZararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıBGA Cyber Security
 
Kablosuz Ağlarda Adli Analiz
Kablosuz Ağlarda Adli AnalizKablosuz Ağlarda Adli Analiz
Kablosuz Ağlarda Adli AnalizBGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik Temelleri
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik TemelleriBeyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik Temelleri
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik TemelleriPRISMA CSI
 
Mobil Sistemler ve Uygulama Güvenliği
Mobil Sistemler ve Uygulama GüvenliğiMobil Sistemler ve Uygulama Güvenliği
Mobil Sistemler ve Uygulama GüvenliğiBGA Cyber Security
 

Recommended

Android Zararlı Yazılım Analizi ve Güvenlik Yaklaşımları
Android Zararlı Yazılım Analizi ve Güvenlik YaklaşımlarıAndroid Zararlı Yazılım Analizi ve Güvenlik Yaklaşımları
Android Zararlı Yazılım Analizi ve Güvenlik YaklaşımlarıBGA Cyber Security
 
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC Kullanımı
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC KullanımıZararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC Kullanımı
Zararlı Yazılım Tespiti ve Siber i̇stihbarat Amaçlı IOC KullanımıBGA Cyber Security
 
Bilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBilgi Güvenliğinde Sızma Testleri
Bilgi Güvenliğinde Sızma TestleriBGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9BGA Cyber Security
 
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıZararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıBGA Cyber Security
 
Kablosuz Ağlarda Adli Analiz
Kablosuz Ağlarda Adli AnalizKablosuz Ağlarda Adli Analiz
Kablosuz Ağlarda Adli AnalizBGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik Temelleri
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik TemelleriBeyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik Temelleri
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik TemelleriPRISMA CSI
 
Mobil Sistemler ve Uygulama Güvenliği
Mobil Sistemler ve Uygulama GüvenliğiMobil Sistemler ve Uygulama Güvenliği
Mobil Sistemler ve Uygulama GüvenliğiBGA Cyber Security
 
BTRisk Adli Bilişim Eğitimi Sunumu
BTRisk Adli Bilişim Eğitimi SunumuBTRisk Adli Bilişim Eğitimi Sunumu
BTRisk Adli Bilişim Eğitimi SunumuBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Uygulamalı Ağ Güvenliği Eğitim Notları
Uygulamalı Ağ Güvenliği Eğitim NotlarıUygulamalı Ağ Güvenliği Eğitim Notları
Uygulamalı Ağ Güvenliği Eğitim NotlarıBGA Cyber Security
 
Hacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziHacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziBGA Cyber Security
 
Hacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziHacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziBGA Cyber Security
 
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların KullanımıPenetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların KullanımıBGA Cyber Security
 
Adli Bilişim ve Adli Bilişim Araçları
Adli Bilişim ve Adli Bilişim AraçlarıAdli Bilişim ve Adli Bilişim Araçları
Adli Bilişim ve Adli Bilişim AraçlarıAhmet Gürel
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6BGA Cyber Security
 
Siber Saldırılar i̇çin Erken Uyarı Sistemi
Siber Saldırılar i̇çin Erken Uyarı SistemiSiber Saldırılar i̇çin Erken Uyarı Sistemi
Siber Saldırılar i̇çin Erken Uyarı SistemiBGA Cyber Security
 
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15BGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 19
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 19Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 19
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 19BGA Cyber Security
 
Derinlemesine Paket İnceleme (Deep Packet Inspection)
Derinlemesine Paket İnceleme (Deep Packet Inspection)Derinlemesine Paket İnceleme (Deep Packet Inspection)
Derinlemesine Paket İnceleme (Deep Packet Inspection)BGA Cyber Security
 
Mobil Pentest Eğitim Dökümanı
Mobil Pentest Eğitim DökümanıMobil Pentest Eğitim Dökümanı
Mobil Pentest Eğitim DökümanıAhmet Gürel
 
Siber İstihbarat Eğitim Dokümanı
Siber İstihbarat Eğitim DokümanıSiber İstihbarat Eğitim Dokümanı
Siber İstihbarat Eğitim DokümanıBGA Cyber Security
 
GÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMAGÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMABGA Cyber Security
 
İleri Seviye Ağ Güvenliği Lab Kitabı
İleri Seviye Ağ Güvenliği Lab Kitabıİleri Seviye Ağ Güvenliği Lab Kitabı
İleri Seviye Ağ Güvenliği Lab KitabıBGA Cyber Security
 
Open Source SOC Kurulumu
Open Source SOC KurulumuOpen Source SOC Kurulumu
Open Source SOC KurulumuBGA Cyber Security
 
Log Yönetimi ve Saldırı Analizi Eğitimi - 2
Log Yönetimi ve Saldırı Analizi Eğitimi - 2Log Yönetimi ve Saldırı Analizi Eğitimi - 2
Log Yönetimi ve Saldırı Analizi Eğitimi - 2BGA Cyber Security
 
Beyaz Şapkalı Hacker Eğitimi Yardımcı Ders Notları
Beyaz Şapkalı Hacker Eğitimi Yardımcı Ders NotlarıBeyaz Şapkalı Hacker Eğitimi Yardımcı Ders Notları
Beyaz Şapkalı Hacker Eğitimi Yardımcı Ders NotlarıBGA Cyber Security
 
BGA CTF Ethical Hacking Yarışması Çözümleri
BGA CTF Ethical Hacking Yarışması ÇözümleriBGA CTF Ethical Hacking Yarışması Çözümleri
BGA CTF Ethical Hacking Yarışması ÇözümleriBGA Cyber Security
 
Mobil Uygulama Güvenliği (Mobile Security)
Mobil Uygulama Güvenliği (Mobile Security)Mobil Uygulama Güvenliği (Mobile Security)
Mobil Uygulama Güvenliği (Mobile Security)Cihan Özhan
 
ISG Admin Guide TR.pdf
ISG Admin Guide TR.pdfISG Admin Guide TR.pdf
ISG Admin Guide TR.pdfMert339194
 

More Related Content

What's hot

Uygulamalı Ağ Güvenliği Eğitim Notları
Uygulamalı Ağ Güvenliği Eğitim NotlarıUygulamalı Ağ Güvenliği Eğitim Notları
Uygulamalı Ağ Güvenliği Eğitim NotlarıBGA Cyber Security
 
Hacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziHacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziBGA Cyber Security
 
Hacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziHacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziBGA Cyber Security
 
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların KullanımıPenetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların KullanımıBGA Cyber Security
 
Adli Bilişim ve Adli Bilişim Araçları
Adli Bilişim ve Adli Bilişim AraçlarıAdli Bilişim ve Adli Bilişim Araçları
Adli Bilişim ve Adli Bilişim AraçlarıAhmet Gürel
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6BGA Cyber Security
 
Siber Saldırılar i̇çin Erken Uyarı Sistemi
Siber Saldırılar i̇çin Erken Uyarı SistemiSiber Saldırılar i̇çin Erken Uyarı Sistemi
Siber Saldırılar i̇çin Erken Uyarı SistemiBGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15BGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 19
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 19Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 19
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 19BGA Cyber Security
 
Derinlemesine Paket İnceleme (Deep Packet Inspection)
Derinlemesine Paket İnceleme (Deep Packet Inspection)Derinlemesine Paket İnceleme (Deep Packet Inspection)
Derinlemesine Paket İnceleme (Deep Packet Inspection)BGA Cyber Security
 
Mobil Pentest Eğitim Dökümanı
Mobil Pentest Eğitim DökümanıMobil Pentest Eğitim Dökümanı
Mobil Pentest Eğitim DökümanıAhmet Gürel
 
Siber İstihbarat Eğitim Dokümanı
Siber İstihbarat Eğitim DokümanıSiber İstihbarat Eğitim Dokümanı
Siber İstihbarat Eğitim DokümanıBGA Cyber Security
 
GÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMAGÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMABGA Cyber Security
 
İleri Seviye Ağ Güvenliği Lab Kitabı
İleri Seviye Ağ Güvenliği Lab Kitabıİleri Seviye Ağ Güvenliği Lab Kitabı
İleri Seviye Ağ Güvenliği Lab KitabıBGA Cyber Security
 
Log Yönetimi ve Saldırı Analizi Eğitimi - 2
Log Yönetimi ve Saldırı Analizi Eğitimi - 2Log Yönetimi ve Saldırı Analizi Eğitimi - 2
Log Yönetimi ve Saldırı Analizi Eğitimi - 2BGA Cyber Security
 
Beyaz Şapkalı Hacker Eğitimi Yardımcı Ders Notları
Beyaz Şapkalı Hacker Eğitimi Yardımcı Ders NotlarıBeyaz Şapkalı Hacker Eğitimi Yardımcı Ders Notları
Beyaz Şapkalı Hacker Eğitimi Yardımcı Ders NotlarıBGA Cyber Security
 
BGA CTF Ethical Hacking Yarışması Çözümleri
BGA CTF Ethical Hacking Yarışması ÇözümleriBGA CTF Ethical Hacking Yarışması Çözümleri
BGA CTF Ethical Hacking Yarışması ÇözümleriBGA Cyber Security
 

What's hot (20)

BTRisk Adli Bilişim Eğitimi Sunumu
BTRisk Adli Bilişim Eğitimi SunumuBTRisk Adli Bilişim Eğitimi Sunumu
BTRisk Adli Bilişim Eğitimi Sunumu
 
Uygulamalı Ağ Güvenliği Eğitim Notları
Uygulamalı Ağ Güvenliği Eğitim NotlarıUygulamalı Ağ Güvenliği Eğitim Notları
Uygulamalı Ağ Güvenliği Eğitim Notları
 
Hacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziHacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu Analizi
 
Hacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziHacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem Analizi
 
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların KullanımıPenetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
 
Adli Bilişim ve Adli Bilişim Araçları
Adli Bilişim ve Adli Bilişim AraçlarıAdli Bilişim ve Adli Bilişim Araçları
Adli Bilişim ve Adli Bilişim Araçları
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
 
Siber Saldırılar i̇çin Erken Uyarı Sistemi
Siber Saldırılar i̇çin Erken Uyarı SistemiSiber Saldırılar i̇çin Erken Uyarı Sistemi
Siber Saldırılar i̇çin Erken Uyarı Sistemi
 
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 2
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 19
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 19Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 19
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 19
 
Derinlemesine Paket İnceleme (Deep Packet Inspection)
Derinlemesine Paket İnceleme (Deep Packet Inspection)Derinlemesine Paket İnceleme (Deep Packet Inspection)
Derinlemesine Paket İnceleme (Deep Packet Inspection)
 
Mobil Pentest Eğitim Dökümanı
Mobil Pentest Eğitim DökümanıMobil Pentest Eğitim Dökümanı
Mobil Pentest Eğitim Dökümanı
 
Siber İstihbarat Eğitim Dokümanı
Siber İstihbarat Eğitim DokümanıSiber İstihbarat Eğitim Dokümanı
Siber İstihbarat Eğitim Dokümanı
 
GÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMAGÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMA
 
İleri Seviye Ağ Güvenliği Lab Kitabı
İleri Seviye Ağ Güvenliği Lab Kitabıİleri Seviye Ağ Güvenliği Lab Kitabı
İleri Seviye Ağ Güvenliği Lab Kitabı
 
Open Source SOC Kurulumu
Open Source SOC KurulumuOpen Source SOC Kurulumu
Open Source SOC Kurulumu
 
Log Yönetimi ve Saldırı Analizi Eğitimi - 2
Log Yönetimi ve Saldırı Analizi Eğitimi - 2Log Yönetimi ve Saldırı Analizi Eğitimi - 2
Log Yönetimi ve Saldırı Analizi Eğitimi - 2
 
Beyaz Şapkalı Hacker Eğitimi Yardımcı Ders Notları
Beyaz Şapkalı Hacker Eğitimi Yardımcı Ders NotlarıBeyaz Şapkalı Hacker Eğitimi Yardımcı Ders Notları
Beyaz Şapkalı Hacker Eğitimi Yardımcı Ders Notları
 
BGA CTF Ethical Hacking Yarışması Çözümleri
BGA CTF Ethical Hacking Yarışması ÇözümleriBGA CTF Ethical Hacking Yarışması Çözümleri
BGA CTF Ethical Hacking Yarışması Çözümleri
 

Similar to Android Zararlı Yazılım Analizi

Mobil Uygulama Güvenliği (Mobile Security)
Mobil Uygulama Güvenliği (Mobile Security)Mobil Uygulama Güvenliği (Mobile Security)
Mobil Uygulama Güvenliği (Mobile Security)Cihan Özhan
 
ISG Admin Guide TR.pdf
ISG Admin Guide TR.pdfISG Admin Guide TR.pdf
ISG Admin Guide TR.pdfMert339194
 
Gömülü Cihaz Güvenliği ve Zollard Botnet Analizi
Gömülü Cihaz Güvenliği ve Zollard Botnet AnaliziGömülü Cihaz Güvenliği ve Zollard Botnet Analizi
Gömülü Cihaz Güvenliği ve Zollard Botnet AnaliziIbrahim Baliç
 
Siber Dünyada Modern Arka Kapılar
Siber Dünyada Modern Arka KapılarSiber Dünyada Modern Arka Kapılar
Siber Dünyada Modern Arka KapılarBGA Cyber Security
 
Windows 7 Ortamında Zararlı Yazılım Analizi
Windows 7 Ortamında Zararlı Yazılım AnaliziWindows 7 Ortamında Zararlı Yazılım Analizi
Windows 7 Ortamında Zararlı Yazılım AnaliziBGA Cyber Security
 
Uygulamalarınızı ASO ile Nasıl Güçlendirebilirsiniz?
Uygulamalarınızı ASO ile Nasıl Güçlendirebilirsiniz?Uygulamalarınızı ASO ile Nasıl Güçlendirebilirsiniz?
Uygulamalarınızı ASO ile Nasıl Güçlendirebilirsiniz?Samet Özsüleyman
 
Siber Sigorta Nedir? Nasıl Yapılır?
Siber Sigorta Nedir? Nasıl Yapılır?Siber Sigorta Nedir? Nasıl Yapılır?
Siber Sigorta Nedir? Nasıl Yapılır?BGA Cyber Security
 
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu ÇözümlerSOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu ÇözümlerBGA Cyber Security
 
Man in-the-browser Saldırılarının Analizi
Man in-the-browser Saldırılarının AnaliziMan in-the-browser Saldırılarının Analizi
Man in-the-browser Saldırılarının AnaliziBGA Cyber Security
 
Android Teknolojileri
Android TeknolojileriAndroid Teknolojileri
Android TeknolojileriMuharrem Tac
 
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİRAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİBGA Cyber Security
 
QR Code'lardaki Tehlike
QR Code'lardaki TehlikeQR Code'lardaki Tehlike
QR Code'lardaki TehlikeAlper Başaran
 
SOME ve SOC Ekipleri İçin Açık Kaynak Çözümler
SOME ve SOC Ekipleri İçin Açık Kaynak ÇözümlerSOME ve SOC Ekipleri İçin Açık Kaynak Çözümler
SOME ve SOC Ekipleri İçin Açık Kaynak ÇözümlerBGA Cyber Security
 
MOBİL CİHAZLARDAN MANUEL VERİ ELDE ETME YÖNTEMLERİNİN İNCELENMESİ
MOBİL CİHAZLARDAN MANUEL VERİ ELDE ETME YÖNTEMLERİNİN İNCELENMESİMOBİL CİHAZLARDAN MANUEL VERİ ELDE ETME YÖNTEMLERİNİN İNCELENMESİ
MOBİL CİHAZLARDAN MANUEL VERİ ELDE ETME YÖNTEMLERİNİN İNCELENMESİibrahim BALOGLU
 
Lecture 1 Siber Güvenlik Temel Kavramlar
Lecture 1 Siber Güvenlik Temel KavramlarLecture 1 Siber Güvenlik Temel Kavramlar
Lecture 1 Siber Güvenlik Temel KavramlarTurkIOT
 
GUVENLI YAZILIM ve BILGI GUVENLIGI
GUVENLI YAZILIM ve BILGI GUVENLIGIGUVENLI YAZILIM ve BILGI GUVENLIGI
GUVENLI YAZILIM ve BILGI GUVENLIGIAhmet Pekel
 
Yasayan Bir Organizma: YAZILIM - YTU-KVK Finans ve Yazilim Gunleri - 18.11.2013
Yasayan Bir Organizma: YAZILIM - YTU-KVK Finans ve Yazilim Gunleri - 18.11.2013Yasayan Bir Organizma: YAZILIM - YTU-KVK Finans ve Yazilim Gunleri - 18.11.2013
Yasayan Bir Organizma: YAZILIM - YTU-KVK Finans ve Yazilim Gunleri - 18.11.2013Hakan ERDOGAN
 
Android'e Giriş Eğitimleri 2_1
Android'e Giriş Eğitimleri 2_1Android'e Giriş Eğitimleri 2_1
Android'e Giriş Eğitimleri 2_1Univerist
 

Similar to Android Zararlı Yazılım Analizi (20)

Mobil Uygulama Güvenliği (Mobile Security)
Mobil Uygulama Güvenliği (Mobile Security)Mobil Uygulama Güvenliği (Mobile Security)
Mobil Uygulama Güvenliği (Mobile Security)
 
ISG Admin Guide TR.pdf
ISG Admin Guide TR.pdfISG Admin Guide TR.pdf
ISG Admin Guide TR.pdf
 
Gömülü Cihaz Güvenliği ve Zollard Botnet Analizi
Gömülü Cihaz Güvenliği ve Zollard Botnet AnaliziGömülü Cihaz Güvenliği ve Zollard Botnet Analizi
Gömülü Cihaz Güvenliği ve Zollard Botnet Analizi
 
Siber Dünyada Modern Arka Kapılar
Siber Dünyada Modern Arka KapılarSiber Dünyada Modern Arka Kapılar
Siber Dünyada Modern Arka Kapılar
 
Windows 7 Ortamında Zararlı Yazılım Analizi
Windows 7 Ortamında Zararlı Yazılım AnaliziWindows 7 Ortamında Zararlı Yazılım Analizi
Windows 7 Ortamında Zararlı Yazılım Analizi
 
Uygulamalarınızı ASO ile Nasıl Güçlendirebilirsiniz?
Uygulamalarınızı ASO ile Nasıl Güçlendirebilirsiniz?Uygulamalarınızı ASO ile Nasıl Güçlendirebilirsiniz?
Uygulamalarınızı ASO ile Nasıl Güçlendirebilirsiniz?
 
Siber Sigorta Nedir? Nasıl Yapılır?
Siber Sigorta Nedir? Nasıl Yapılır?Siber Sigorta Nedir? Nasıl Yapılır?
Siber Sigorta Nedir? Nasıl Yapılır?
 
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu ÇözümlerSOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
 
Man in-the-browser Saldırılarının Analizi
Man in-the-browser Saldırılarının AnaliziMan in-the-browser Saldırılarının Analizi
Man in-the-browser Saldırılarının Analizi
 
Android Teknolojileri
Android TeknolojileriAndroid Teknolojileri
Android Teknolojileri
 
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİRAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
 
QR Code'lardaki Tehlike
QR Code'lardaki TehlikeQR Code'lardaki Tehlike
QR Code'lardaki Tehlike
 
SOME ve SOC Ekipleri İçin Açık Kaynak Çözümler
SOME ve SOC Ekipleri İçin Açık Kaynak ÇözümlerSOME ve SOC Ekipleri İçin Açık Kaynak Çözümler
SOME ve SOC Ekipleri İçin Açık Kaynak Çözümler
 
MOBİL CİHAZLARDAN MANUEL VERİ ELDE ETME YÖNTEMLERİNİN İNCELENMESİ
MOBİL CİHAZLARDAN MANUEL VERİ ELDE ETME YÖNTEMLERİNİN İNCELENMESİMOBİL CİHAZLARDAN MANUEL VERİ ELDE ETME YÖNTEMLERİNİN İNCELENMESİ
MOBİL CİHAZLARDAN MANUEL VERİ ELDE ETME YÖNTEMLERİNİN İNCELENMESİ
 
Lecture 1 Siber Güvenlik Temel Kavramlar
Lecture 1 Siber Güvenlik Temel KavramlarLecture 1 Siber Güvenlik Temel Kavramlar
Lecture 1 Siber Güvenlik Temel Kavramlar
 
Bilgi sis..
Bilgi sis..Bilgi sis..
Bilgi sis..
 
GUVENLI YAZILIM ve BILGI GUVENLIGI
GUVENLI YAZILIM ve BILGI GUVENLIGIGUVENLI YAZILIM ve BILGI GUVENLIGI
GUVENLI YAZILIM ve BILGI GUVENLIGI
 
Yasayan Bir Organizma: YAZILIM - YTU-KVK Finans ve Yazilim Gunleri - 18.11.2013
Yasayan Bir Organizma: YAZILIM - YTU-KVK Finans ve Yazilim Gunleri - 18.11.2013Yasayan Bir Organizma: YAZILIM - YTU-KVK Finans ve Yazilim Gunleri - 18.11.2013
Yasayan Bir Organizma: YAZILIM - YTU-KVK Finans ve Yazilim Gunleri - 18.11.2013
 
Mail Sniper Nedir?
Mail Sniper Nedir?Mail Sniper Nedir?
Mail Sniper Nedir?
 
Android'e Giriş Eğitimleri 2_1
Android'e Giriş Eğitimleri 2_1Android'e Giriş Eğitimleri 2_1
Android'e Giriş Eğitimleri 2_1
 

More from BGA Cyber Security

WEBSOCKET Protokolünün Derinlemesine İncelenmesi
WEBSOCKET Protokolünün Derinlemesine İncelenmesiWEBSOCKET Protokolünün Derinlemesine İncelenmesi
WEBSOCKET Protokolünün Derinlemesine İncelenmesiBGA Cyber Security
 
Tatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdfTatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdfBGA Cyber Security
 
Ücretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık EğitimiÜcretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık EğitimiBGA Cyber Security
 
3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?BGA Cyber Security
 
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBGA Cyber Security
 
Webinar: Popüler black marketler
Webinar: Popüler black marketlerWebinar: Popüler black marketler
Webinar: Popüler black marketlerBGA Cyber Security
 
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım SenaryolarıWebinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım SenaryolarıBGA Cyber Security
 
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020BGA Cyber Security
 
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm ÖnerileriDNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm ÖnerileriBGA Cyber Security
 
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini ArttırmakWebinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini ArttırmakBGA Cyber Security
 
Open Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-IIOpen Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-IIBGA Cyber Security
 
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner GüvenliğiWebinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner GüvenliğiBGA Cyber Security
 
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing RaporuBGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing RaporuBGA Cyber Security
 
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of SecretsVeri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of SecretsBGA Cyber Security
 
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi ToplamaAktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi ToplamaBGA Cyber Security
 
SSL Sertifikalarından Phishing Domain Tespiti
SSL Sertifikalarından Phishing Domain TespitiSSL Sertifikalarından Phishing Domain Tespiti
SSL Sertifikalarından Phishing Domain TespitiBGA Cyber Security
 
Güvenlik Testlerinde Açık Kaynak İstihbaratı Kullanımı
Güvenlik Testlerinde Açık Kaynak İstihbaratı KullanımıGüvenlik Testlerinde Açık Kaynak İstihbaratı Kullanımı
Güvenlik Testlerinde Açık Kaynak İstihbaratı KullanımıBGA Cyber Security
 
Güncel DDOS Saldırılarının ve Teknik Analizi
Güncel DDOS Saldırılarının ve Teknik AnaliziGüncel DDOS Saldırılarının ve Teknik Analizi
Güncel DDOS Saldırılarının ve Teknik AnaliziBGA Cyber Security
 
SOCMINT Nedir? Kullanımı ve Örnekler
SOCMINT Nedir? Kullanımı ve ÖrneklerSOCMINT Nedir? Kullanımı ve Örnekler
SOCMINT Nedir? Kullanımı ve ÖrneklerBGA Cyber Security
 

More from BGA Cyber Security (20)

WEBSOCKET Protokolünün Derinlemesine İncelenmesi
WEBSOCKET Protokolünün Derinlemesine İncelenmesiWEBSOCKET Protokolünün Derinlemesine İncelenmesi
WEBSOCKET Protokolünün Derinlemesine İncelenmesi
 
Tatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdfTatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdf
 
Ücretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık EğitimiÜcretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık Eğitimi
 
3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?
 
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
 
Webinar: Popüler black marketler
Webinar: Popüler black marketlerWebinar: Popüler black marketler
Webinar: Popüler black marketler
 
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım SenaryolarıWebinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
 
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
 
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm ÖnerileriDNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
 
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini ArttırmakWebinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
 
Open Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-IIOpen Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-II
 
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner GüvenliğiWebinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
 
Siber Fidye 2020 Raporu
Siber Fidye 2020 RaporuSiber Fidye 2020 Raporu
Siber Fidye 2020 Raporu
 
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing RaporuBGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
 
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of SecretsVeri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
 
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi ToplamaAktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
 
SSL Sertifikalarından Phishing Domain Tespiti
SSL Sertifikalarından Phishing Domain TespitiSSL Sertifikalarından Phishing Domain Tespiti
SSL Sertifikalarından Phishing Domain Tespiti
 
Güvenlik Testlerinde Açık Kaynak İstihbaratı Kullanımı
Güvenlik Testlerinde Açık Kaynak İstihbaratı KullanımıGüvenlik Testlerinde Açık Kaynak İstihbaratı Kullanımı
Güvenlik Testlerinde Açık Kaynak İstihbaratı Kullanımı
 
Güncel DDOS Saldırılarının ve Teknik Analizi
Güncel DDOS Saldırılarının ve Teknik AnaliziGüncel DDOS Saldırılarının ve Teknik Analizi
Güncel DDOS Saldırılarının ve Teknik Analizi
 
SOCMINT Nedir? Kullanımı ve Örnekler
SOCMINT Nedir? Kullanımı ve ÖrneklerSOCMINT Nedir? Kullanımı ve Örnekler
SOCMINT Nedir? Kullanımı ve Örnekler
 

Android Zararlı Yazılım Analizi

  • 2. [ANDROID ZARARLI YAZILIM ANALİZİ] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity İÇİNDEKİLER Giriş..................................................................................................................................3 Android Market Bizi Koruyor mu?............................................................................................. 6 İzinleri Kontrol Etmek Bizi Korur mu?........................................................................................ 6 Tespit Edilen Zararlı Uygulamalar ......................................................................................7 Analiz....................................................................................................................................... 9 Manifest Dosyası Analizi........................................................................................................... 9 Atatürk Uygulaması Detaylı Analiz .......................................................................................... 12 Statik Analiz ...................................................................................................................................12 Dinamik Analiz...............................................................................................................................13 Ağ Trafiği Analizi ............................................................................................................................15 Kod Analizi .....................................................................................................................................16 Logcat Kayıtlarının İncelenmesi.....................................................................................................20 Diğer Uygulamalar.................................................................................................................. 21 Sonuç .............................................................................................................................24
  • 3. [ANDROID ZARARLI YAZILIM ANALİZİ] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Giriş Günümüz bilgisayar sistemleri ve akıllı cihazları sahip oldukları yetenekler ile kullanıcılarına fayda sağlarken, kullanıcı bilgilerini çalmak ya da cihazları başka amaçlarda kullanmak için kötü niyetli kişilerin hedefi olmaktadırlar. Peki biz kontrolsüz büyümesi ile dünyayı saran, henüz uygulama geliştiricilerinin bile tam denetim sahibi olamadığı uygulamalara sahip olan ve neredeyse bedenimize yapışık halde bizimle dolaşan, en mahrem bilgilerimizi bulundurduğumuz mobil cihazlarımızın güvenliklerini ne kadar önemsiyoruz? Bu yazıda sadece sizlerin değil, Android marketin bile farkında olmadan telefonunuzun nasıl kötücül amaçlar için kullanılabileceğinden bahsedilecek, “Play Store” üzerinden geçtiğimiz hafta indirilmiş, tamamen normal gözüken ve Türk kullanıcıları hedef alan zararlı yazılımların nasıl çalıştıklarından bahsedilecektir. Geçtiğimiz hafta itibariyle mağazadan henüz yeni kaldırılan bu uygulamaların, mağazada bulunduğu sırada bizim tarafımızdan allınmış ekran görüntüleri ve indirilme sayısı aşağıda verilmiştir. Ayrıca bu iki uygulamaya benzerlik gösteren, geçtiğimiz ay markette yer almış bir zararlı yazılımdan da inceleme sırasında bahsedilmiştir.
  • 4. [ANDROID ZARARLI YAZILIM ANALİZİ] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Uygulamalar yüklendikten sonra uygulamalara ait oluşan simgeler ve bu uygulamaların çalışır durumdaki ekran görüntüleri şu şekildedir.
  • 5. [ANDROID ZARARLI YAZILIM ANALİZİ] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity
  • 6. [ANDROID ZARARLI YAZILIM ANALİZİ] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Android Market Bizi Koruyor mu? Zararlı yazılımların hedef sisteme bulaşması, büyük bir çoğunlukla bu zararlı uygulamaların kullanıcılar tarafından indirilip çalıştırılması sonucu bulaşır. Android platform üzerinde de indirip yüklediğiniz zaman arka planda sizden habersiz işler yapma uğraşında olan sayısız mobil uygulama mevcuttur. Bu zararlı uygulamalara Android Market dışında başka sitelerden indirilen ücretli uygulamaların ücretsiz versiyonu olan uygulamalar da dahildir düşüncesi çoğu kez doğrudur, ancak “ben Android Market dışarısında başka yerden uygulama indirmiyorum, o yüzden telefonum güvende” kanısı tamamen yanlıştır. Android Market üzerinde denetim sıkı değildir, ne yapmak amacında olduğu bilinmeyen, kullanıcı çekebilmek için ön planda normal bir uygulama görüntüsünde olan zararlı uygulamalar mevcuttur. Android Market içerisindeki bu zararlı uygulamalar sosyal medya, araçlar, oyunlar gibi kategorilerde yer alan uygulamalar içerisine gizlenerek akıllı cihazlara bulaşır. Mağaza bu uygulamalar için kısıtlı güvenlik önlemleri alabilmektedir. İzinleri Kontrol Etmek Bizi Korur mu? Zararlı uygulamalar istekleri doğrultusunda çalışabilmek için sizden yüksek izinler talep eder. Örnek olarak basit bir hesap makinesi uygulamasının sizden telefonunuza gelen SMS mesajlarını okuyabilmeyi, istediği zaman çağrı yapabilmeyi, kişi listenizi okumayı talep etmesi uygulamanın zararlı olabileceği yönündeki şüpheleri çok arttırır. Google, bu tarz uygulamaların tespit edilmesinde kısmen de olsa statik analiz teknikleri ile zararlı tespiti yapabilmektedir. Ancak mağaza üzerinde bu tarz zararlı yazılımların bulunmadığı, ya da market üzerinden kaldırılana kadar amacına ulaşmadığı, kurbanlarından biri sizin olmadığınız anlamına gelmez. Sayılmış olan sebeplerden ötürü izinleri kontrol etmek önemli, her sıradan kullanıcının dikkat etmesi gereken bir konudur. Ancak izinleri kontrol etmeniz bizim incelemiş olduğumuz bu uygulamalar için yeterli bir çözüm değildir. Yüksek izin talep eden ve zararlı kodu kendi içerisinde barındıran bu sebepten ötürü tespit edilmesi kısmen kolay olan zararlı yazılımlardan bahsedildi, ayrıca bulaştığı sistemde ve Android Market üzerinde yakalanma ihtimalini azaltmak veya başka amaçlar için iki bölümden oluşan zararlı yazılımlar mevcuttur. Birinci bölüm yükleyici (loader) olarak adlandırılan sistemde ilk olarak çalışan, ikinci bölümün yüklenmesini ve çalıştırılmasını sağlayan bölümdür. İkinci bölüm ise zararlı yazılımın amacını gerçekleştirdiği, zararlı kodun bulunduğu stage olarak adlandırılan kısımdır. Stage kısmı Android Market üzerinde bulunmaz, dış kaynaklardan loader dediğimiz ilk bölüm kullanılarak indirilir. Bu sayede market üzerindeki zararlı yazılımın bir zararlı olduğu ancak daha gelişmiş davranışsal analiz teknikleri ile tespit edilebilir.
  • 7. [ANDROID ZARARLI YAZILIM ANALİZİ] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Tespit Edilen Zararlı Uygulamalar 1- Android Market üzerinden masum bir uygulama gibi gözüken ve dropper/loader olarak adlandırdığımız zararlı yazılım kullanıcılar tarafından indirilir. 2- Bu uygulama C&C Server üzerine stage dedğimiz ikinci bölümü indirmek için bir istek yapar ve yeni uygulamanın linkini alır. 3- Cihaz üzerine yeni uygulama indirilir ve çalıştırılır. Ancak yeni uygulamanın çalışabilmesi, uygulama android market üzerinden indirilmediği için cihazın dış kaynaklara izin vermesi ile gerçekleşir. 4- Başka bir kaynaktan indirilen bu uygulama yüzünden cihaz Botnet ağına dahil olur ve C&C Servere hizmet etmek için çalışır.
  • 8. [ANDROID ZARARLI YAZILIM ANALİZİ] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Tespit edilen yeni 2 uygulama ile daha önce mağazada bulunmuş zararlı Atatürk uygulaması arasındaki benzerlikler şu şekildedir: Mustafa Kemal Ataturk Ezan Saati ve Solitaire Kart Oyunu Obfuscation Yoktur Obfuscation Kullanılmıştır. C&C Server IP’si: Ortak C&C Server IP’si: 91.214.70.163 185.159.129.25 İndirdiği APK: İndirmeye Çalıştığı APK: Servis Güncelleme 5.0 d3mo.apk Ezan Saati ve Solitaire Kart Oyunu uygulamalarında da post edilen bilgilerin ve kod işleyişinin eski uygulama ile aynı olduğu gözlemlenmiştir.
  • 9. [ANDROID ZARARLI YAZILIM ANALİZİ] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Analiz İncelenen Android uygulamalar Türk kullanıcılarını hedef almaktadır ve Namaz Vakitleri, Mustafa Kemal Atatürk Fotoğrafları gibi ön planda manevi değerlerimizi kullanmaktadır. Teknik analiz sırasında Android ortamı sanallaştırmak adına Genymotion ve Android Studio içerisinde yer alan Android Device Manager emulatorleri, decompiler/disassambler sürecinde apktool, d2jar, jd-gui, androguard, JEB programları kullanılmıştır. İlgili programların kurulum ve kullanımını aşağıdaki linkten incelenebilir. https://www.slideshare.net/bgasecurity/android-zararl-yazlm-analizi-ve-gvenlik-yaklamlar Manifest Dosyası Analizi Zararlı olarak sınıflandırılan uygulamalar apktool programı ile decompile edilerek manifest dosyaları incelenmiştir. Manifest dosyası içerisindeki izinlere baktığımızda, ACCESS_NETWORK_STATE, WAKE_LOCK, RECEIVE_BOOT_COMPLETED, READ_PHONE_STATE, INSTALL_PACKAGES, INTERNET, WRITE_EXTERNAL_STORAGE izinlerinin üç uygulamada da ortak olduğu tespit edilmiştir. ACCESS_NETWORK_STATE izini uygulamanın network durumuna ulaşabilmesini, WAKE_LOCK izini uygulamanın açıkken kilit ekrana geçmesini engellemeyi, RECEIVE_BOOT_COMPLETED izini telefon boot edildikten sonra uygulamanın bu bilgiye “.action.BOOT_COMPLETED” mesajıyla ulaşmasını sağlar, READ_PHONE_STATE izini telefonun durumu hakkında uygulamanın veri alabilmesine izin verir, WRITE_EXTERNAL_STORAGE izini ise sdcard üzerine uygulamanın veri yazabilmesine olanak sağlar, INTERNET izini uygulamanın network soketlerine ulaşım sağlayabilmesini, INSTALL_PACKAGES izini ise uygulamanın paket indirebilmesine olanak sağlar. Bir Ezan vakitleri uygulaması, bir Atatürk Fotoğrafları uygulaması ya da kart oyunu neden sizden paket indirmek için ya da SD kartınıza veri yazmak için izin ister? SD kart belki Atatürk fotoğraflarını kaydetmek için anlamlandırılabilirken, paket indirme izni oldukça dikkat çekmektedir. Son olarak Atatürk uygulamasının manifest dosyasında harici olarak aşağıda ekran görüntüsü verilen izinler bulunmaktadır.
  • 10. [ANDROID ZARARLI YAZILIM ANALİZİ] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity SET_WALPAPER izninin sebebi uygulamanın fotoğrafları duvar kâğıdı olarak kaydettirebilme özelliği olmasından, bunun içinde SET_WALPAPER izinine ihtiyaç duymasından kaynaklanmaktadır. Yani zararlı kısımla alakalı değildir. Manifest dosyalarının geriye kalan kısımlarını incelediğimizde paket ismi, başlangıç aktivitesi gibi bilgilere daha sonra dönmek üzere geçtiğimizde, üç uygulamada da iki adet service bulunduğu, bu servislerin receiver çalıştırdığı ve uygulamanın çeşitli aktivitelerden oluştuğu tespit edilmiştir.. Kısaca activity; ekranda gördüğümüz sayfaları, service; uygulamanın arka planda çalışan özelliğini, receiver; telefon durumuna göre receive edilen mesajlara ulaşma özelliğidir. Bu uygulamalarda iki adet service ve bu servislerde çalışan birer adet receiver ve çeşitli aktiviteler bulunmaktadır. Intent yapısı ise sayfa geçişleri, diğer uygulamalarla etkileşim gibi çeşitli özellikleri barındıran Android yapısıdır. Örnek olarak Ezan Vakitleri uygulamasındaki aktivitelerden bazıları aşağıdaki ekran görüntüsünde verilmiştir. Aktivite isimlerinin anlamlandırılamadığı, uygulama hakkında fikir yürütmemizi zorlaştırmak amaçlı obfuscation (karmaşıklaştırma) kullanıldığı gözlemlenmektedir. Aynı şekilde service ve receiver isimleri tıpkı aktivitelerde olduğu gibi Ezan Vakitleri ve Kart Oyunu uygulamalarında yorumlanamayan değerler olarak karşımıza çıkmaktadır. Atatürk uygulamasında yer alan aktivite kısmı ise obfuscation (karmaşıklaştırma) kullanılmadığı için yorumlanabilir durumdadır. Uygulama içerisinde ilk başlayan aktivitenin MainActivity olduğu, FullScreen, AdminActivity, WebActivity gibi aktiviteler barındırdığı gözlemlenir.
  • 11. [ANDROID ZARARLI YAZILIM ANALİZİ] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Atatürk uygulaması üzerine obfuscation (karmaşıklaştırma) uygulanmamasından faydalanarak servis isimleri tespit edilebilir. Ezan Vakitleri uygulamasında admin servisi içerisinde yer alan receiver incelediğimizde Admin actionlarını tespit edilmiştir. Mainservice içerisindeki receiver actionlarını gözlemlediğimizde, action.BOOT_COMPLETED ile telefonun boot edilip edilmediği, action.USER_PRESENT ile kullanıcının telefon başına geçtiği, action.PACKAGE_ADDED ile de yeni bir uygulamanın telefona yüklenip yüklenmediği mesajı almasını sağlar.
  • 12. [ANDROID ZARARLI YAZILIM ANALİZİ] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Atatürk Uygulaması Detaylı Analiz Mağaza üzerinde tespit edilen yeni uygulamaların nasıl bir işleyişi olabileceğini öngörmek için geçtiğimiz aylarda mağazada yer almış android uygulamasına göz atalım. Statik Analiz Manifest dosyasını okuyarak edindiğimiz bilgileri ve daha fazlasını daha toplu ve kolay elde etmek için AndroGuard programını kullanılmıştır. ataturk.apk uygulaması için paket ismi, kullandığı izinler ve aktivite isimleri aşağıdaki gibi alınmıştır. Daha sonra AndroGuard programı ile APK içerisindeki class isimleri, method isimleri ve içerisinde geçen stringler gözlemlenerek uygulamanın işleyişi ile alakalı bilgiler elde edilmiştir.
  • 13. [ANDROID ZARARLI YAZILIM ANALİZİ] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Dinamik Analiz Uygulamayı Fenymotion Emulatörünü kullanarak çalıştırdıktan belli bir süre sonra şekildeki uyarı ile karşılaşılır. Emulatör bilinmeyen kaynaklardan uygulamanın indirildiği ve çalıştırılmak istendiği uyarısı vermektedir. İptal seçeneğine basıldıktan sonra, aynı uyarının defalarca karşımıza çıktığı, uygulamanın sürekli yüklenme isteği yaptığını gözlemleriz. Güvenlik ayarlarında “Unkown Sources” seçeneğini mecburen aktif edilmelidir.
  • 14. [ANDROID ZARARLI YAZILIM ANALİZİ] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Yüksek izinler isteyen Servis Güncelleme 0.5 isminde bir uygulama ile karşılaşılacaktır Uygulamanın nasıl çalıştığı hakkında fikir yürütmek içine network bağlantılarına, decompiler edilmiş kod analizine ve logcat ekranına düşen kayıtlarına bakılabilir.
  • 15. [ANDROID ZARARLI YAZILIM ANALİZİ] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Ağ Trafiği Analizi Tcpdump programını çalıştırarak alınmış ağ trafiği, Wireshark programı ile incelenmiştir. 10.0.3.15 IP adresine sahip olan genymotion emülatörünün “91.214.70.163” ve “195.142.105.22” IP adresleri ile yaptığı bağlantıları tespit edilmiştir. “195.142.105.22” IP adresi ile HTTP ve TCP bağlantıları yer almaktadır. Yapılan GET isteklerinden herhangi birine bakıldığında, uygulama içerisindeki Atatürk fotoğraflarının webview kullanılarak “i.haber7.com” sitesinden alındığını görülmüştür ve bu IP adresinin zararlı kısımla alakalı olmadığı sonucunu çıkartılmıştır. Son olarak “91.214.70.163” IP adresi ile geynmotion emülatörü arasında TCP bağlantısı oluşturulduğu, encrypted edilmiş bir trafik olduğu gözlemlenir.
  • 16. [ANDROID ZARARLI YAZILIM ANALİZİ] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Kod Analizi Programın işleyişi hakkında doğru bilgileri edinip, arka planda nelerin döndüğünü anlamak için obfuscation (karmaşıklaştırma) uygulanmamış uygulamada kod analizi yapılır. Aşağıda programa ait belli başlı fonksiyonlar incelenmiştir. Constans.class’ı içerisinde yer alan, set edilen değişkenler incelendiğinde downloads dizini ve “91.214.70.163” IP adresinin 7227 portu karşımıza çıkmaktadır. Daha sonra Connection.class içerisinde SERVERS listesi içerisinde yer alan IP adresine “gate.php” stringi eklenilerek bir server adresi set edilmiştir. Log kayıtlarında da karşımıza çıkan bu adres “91.214.70.163:7227/gate.php” olarak PHP kodu çalıştırmaktadır. Connection gerçekleşmeden önce, NetworkTask objesi oluşturularak servere request yapılır. Daha sonra telefona ait olan imei, uniqnum numarası, model bilgisi ve yapılacak işlem/ serverden gelen bilgiyle orantılı olarak req değeri HashMap içerisine alınarak sunucuya localNetworkTask.postAdd metodu ile gönderilmektedir.
  • 17. [ANDROID ZARARLI YAZILIM ANALİZİ] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity req_init içerisinde eğer cihaz root yetkilerindeyse, ilk request sırasında servere root bilgisi, ülke kodu ve işletim versiyonu bilgisi iletilir. actionSet için req değeri 4, noAction için 2, confirmTask için 3 değeri atanır. MainReceiver içerisinde cihaz üzerindeki actionlar dinlenir. Bunlar yeni bir görevin olup olmadığı, cihaz sahibinin aktif olup olmadığı, ekranın kapanıp kapanmadığı ve paketin indirilip indirilmediği bilgisini gözlemler ve if yapısını kullanılarak uygulama içerisinde gerekli tepkileri verir.
  • 18. [ANDROID ZARARLI YAZILIM ANALİZİ] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity DB paketi içerisinde Task oluşturulur ve SQLite veritabanında tutulur. Bu sonradan yüklenecek uygulama için paket ismi gibi bilgileri tutar ve serverden gelen bilgileri içerir.
  • 19. [ANDROID ZARARLI YAZILIM ANALİZİ] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity İndirme işlemini başlatabilmek için bir adet TableTasks objesi oluşturulur. Consants classı içerisinde tanımladığımız “File” değişkenine atanmış “downloads” dizini kullanılarak uygulamanın ilgili dizine indirilmesini sağlar.
  • 20. [ANDROID ZARARLI YAZILIM ANALİZİ] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Logcat Kayıtlarının İncelenmesi SD Kart mount edilmiş bir android-studio emulatorunde ATATURK.apk programını çalıştırılır ancak zararlı uygulamayı genymotion emulatöründe olduğu gibi yüklemediğini gözlenir. Downloads dizininde bir dosyanın bulunmadığı, bundan dolayı programın istenildiği gibi çalışılmadığı hatasıyla karşılaşılır. Buradan zararlı yazılımın downloads dizinine indirildiği daha sonra çalıştırıldığı sonucunu çıkararak dosya ismini base64 decoder kullanarak anlamlandırılır ve karşımıza “mcvndicwuz.myturyaivrmkovzxjp” stringi çıkar. İndirilen zararlı yazılımın paket ismini “data/data” klasörünün değişimine bakarak ya da droidbox gibi programlar kullanarak da elde edebilirsiniz. Uygulamanın apk’si “/data/app” klasörü içerisinde karşımıza çıkıyor. adb programı ile emulatör üzerinden uygulamayı pull ederek çıkarıp internette bu apk’nın geçmişinin olup olmadığını anlamak için virüstotal raporu incelenir. Bankacılık zararlı yazılımı olduğu bilgisine ulaştığımız bu uygulamanın, servis güncelleme uygulaması olmadığı, 23 adet güçlü izne sahip olduğu ve telefon üzerindeki bankacılık uygulamalarına casusluk yaparak bu bilgileri C&C servere ilettiği bilgisini ediniyoruz.
  • 21. [ANDROID ZARARLI YAZILIM ANALİZİ] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Diğer Uygulamalar Uygulamaların birbiriyle benzer yönlerine değinelim. Ezan Vakileri ya da Soliatire Kart Oyunu için aynı M.K.Atatürk uygulamasında yapıldığı gibi tcpdump programı kullanılarak ağ trafiği dinlenir, wireshark programı ile bu trafik incelenir ve bağlantı kurulan IP adresleri gözlemlenir. İki uygulama için de 185.159.129.25 IP adresinin ortak olarak bağlantılarda yer aldığı tespit edilir. Ayrıca aradaki trafiği incelemek istediğimizde encrypt edilmiş benzer trafikler olduğunu gözlemlenir. Uygulamalar çalıştırıldığında, SD kart içerisinde paket isimleri ile şekildeki gibi klasör oluşturdukları gözlemlenir. İlgili klasörün içerisinde uygulamaya ait log kayıtları o tarihe ait olacak şekilde şekildeki gibi tutulur. İlgili dosyanın içerisindeki örnek veriler şekildeki gibidir.
  • 22. [ANDROID ZARARLI YAZILIM ANALİZİ] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Log dosyası içerisindeki veriler incelendiğinde, her 3 uygulamadaki değişken isimleri, sırası, php dosya ismi (gate.php), C&C servere gönderilecek request şekli kısacası uygulamaların zararlı içeren kısımlarına ait kodların aynı olduğu gözlemlenir. Server IPsi değiştirilen yeni uygulamalarda analiz sırasında tespiti zorlaştırmak amacıyla obfuscation tekniği kullanılmıştır. Uygulamaların SD kart üzerinde ne gibi değişiklik yaptığını droidbox gibi dinamik analiz araçları ile öğrenebileceğiniz gibi, şekildeki gibi emülatör üzerinde log tutan basit bir file editör bile bu örnekte çözüme ulaştırabilir. İlgili uygulamaların logcat ekranına düşen log kayıtları incelendiğinde “kafesohbet.org/d3mo.apk” linkinden zararlı yazılım indirdiği geçen hafta gözlemlenmiştir.
  • 23. [ANDROID ZARARLI YAZILIM ANALİZİ] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity İlgili uygulamanın ekran görüntüsü şekildeki gibidir. …deneme ismine sahip olan bu uygulamanın virüstotal raporu şekildeki gibidir. …com.mliqzsfefabc.sryrsopsdz paket ismine sahip olan bu uygulama, şuanda ilgili yazılım çalıştırıldığında indirilememektedir. Drop edilen zararlı uygulamanın, hangi siteden indirileceği “gate.php” dosyası tarafından task olarak uygulamaya aktarıldığı bilgisini kod analizinden anladığımız için, set edilen sitenin backend tarafında php dosyasına sahip olanlar tarafından değiştirilebileceği sonucunu çıkarırız. Logcat ekranına düşen veriler incelendiğinde, ilgili kodun ataturk uygulamasıyla aynı olduğu söylenebilir. Bağlantı kurulan server IP adresi şekildeki gibi değişiklik göstermiştir.
  • 24. [ANDROID ZARARLI YAZILIM ANALİZİ] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity Logcat ekranında log kayıtlarına bakıldığında imei numarasının 0000000000000 olduğu gözlemlenir. Php tarafında bunun kontrol edilebilme, bu yüzden serverden aktive task alamama durumunu engellemek için genymotion emülatörünün “/system/etc” dizini altındaki “init.androVM.sh” içerisinde yer alan şekilde gösterilen ilgili kısım farkı sayılarla değişirilebilir. Ama bu zararlı yazılım için emülatörle oluşturulmuş android cihazın imei numarasını değiştirmek bir çözüm getirmemiştir. Sonuç Mağaza üzerinde aynı zararlı yazılım bile farklı uygulamalar arkasına saklanarak ve yeni yöntemler geliştirerek mağaza üzerindeki yaşam döngüsüne devam edebilmektedir. Sadece 2017 yılında 700.000’den fazla android uygulama zararlı olduğu düşüncesiyle mağazadan kaldırılmıştır. Mağaza üzerindeki güvenlik önlemlerinin sıkılaştırılması ve bilinçli kullanıcıların sayısının arttırılması gerekmekte, resmi mağazadan dahi olsa güvendiğiniz uygulamaları tercih etmelisiniz.
  • 25. [ANDROID ZARARLI YAZILIM ANALİZİ] BGA Bilgi Güvenliği A.Ş. | bgasecurity.com | @bgasecurity BGA Bilgi Güvenliği A.Ş. Hakkında BGA Bilgi Güvenliği A.Ş. 2008 yılından bu yana siber güvenlik alanında faaliyet göstermektedir. Ülkemizdeki bilgi güvenliği sektörüne profesyonel anlamda destek olmak amacı ile kurulan BGA Bilgi Güvenliği, stratejik siber güvenlik danışmanlığı ve güvenlik eğitimleri konularında kurumlara hizmet vermektedir. Uluslararası geçerliliğe sahip sertifikalı 50 kişilik teknik ekibi ile, faaliyetlerini Ankara ve İstanbul ve USA’da sürdüren BGA Bilgi Güvenliği’nin ilgi alanlarını “Sızma Testleri, Güvenlik Denetimi, SOME, SOC Danışmanlığı, Açık Kaynak Siber Güvenlik Çözümleri, Büyük Veri Güvenlik Analizi ve Yeni Nesil Güvenlik Çözümleri” oluşturmaktadır. Gerçekleştirdiği başarılı danışmanlık projeleri ve eğitimlerle sektörde saygın bir yer edinen BGA Bilgi Güvenliği, kurulduğu günden bugüne alanında lider finans, enerji, telekom ve kamu kuruluşlarına 1.000'den fazla eğitim ve danışmanlık projeleri gerçekleştirmiştir. BGA Bilgi Güvenliği, kurulduğu 2008 yılından beri ülkemizde bilgi güvenliği konusundaki bilgi ve paylaşımların artması amacı ile güvenlik e-posta listeleri oluşturulması, seminerler, güvenlik etkinlikleri düzenlenmesi, üniversite öğrencilerine kariyer ve bilgi sağlamak için siber güvenlik kampları düzenlenmesi ve sosyal sorumluluk projeleri gibi birçok konuda gönüllü faaliyetlerde bulunmuştur. BGA Bilgi Güvenliği AKADEMİSİ Hakkında BGA Bilgi Güvenliği A.Ş.’nin eğitim ve sosyal sorumluluk markası olarak çalışan Bilgi Güvenliği AKADEMİSİ, siber güvenlik konusunda ticari, gönüllü eğitimlerin düzenlenmesi ve siber güvenlik farkındalığını arttırıcı gönüllü faaliyetleri yürütülmesinden sorumludur. Bilgi Güvenliği AKADEMİSİ markasıyla bugüne kadar “Siber Güvenlik Kampları”, “Siber Güvenlik Staj Okulu”, “Siber Güvenlik Ar- Ge Destek Bursu”, “Ethical Hacking yarışmaları” ve “Siber Güvenlik Kütüphanesi” gibi birçok gönüllü faaliyetin destekleyici olmuştur.