Siber Güvenlik

Dikkat Düşman Dinliyor!

“Haberleşme gizliliğinin ihlali ile istihbarı bilgilerin ortalıklarda dolaşmasının oluşturduğu kaos dünyayı kasıp kavurmaktadır. Aslında “Dikkat düşman dinliyor” ifadesi her ne kadar ilk görüşte bizlere garip gelse de işin özünde; uzaktan iletişim gerçekleştirilirken aktarılması gereken bilgilerinin gizlilik durumu düşünülerek transferine karar verilmelidir(1)”. Tabii her zaman karar vermek için geçerli sebebimiz olmuyor, bu yazıda 500 kb boyutu ve istediği izinler ile oldukça zararlı görünen yemek tarifi uygulamasının analizini gerçekleştireceğim. Bu uygulamayı nereden buldun derseniz; malum öğrenci evine çıkınca yemek yapmayı öğrenmek zorunda kalıyorsunuz…

Öncelikle dex2jar yardımı ile apk’yı decompile ediyorum.

Ardından bana class.dex dosyasını .jar olarak decompile edip çıktı olarak veriyor. Bunun ardından apk’yı bir de winrar ile açıp içindeki manifest, assest gibi dosyalara erişmeye çalışıyorum.

Başarıyla paketlenmiş apk’yı parçalıyorum eğer obfuscation uygulanmamışsa rahatça analizimi yapabilirim.

Uygulamanın cihazda talep ettiği izinler ve compenentlerin derlenmiş hali bulunan AndroidManifest dosyasını açıyorum.

Uygulama izinlerine baktığımızda rehberi okuma rehbere yazma, sd karta yazma ve internet erişim izinlerini istemiş. Bunları bir araya getirince rehberimizi yedekleyip bir sunucuya yüklüyor ve rehberimize de sosyal mühendislikte kullanmak için numara yazıyor olabilir. Sizi xxxx numaradan ararken siz rehberinizde kayıtlı olduğunu görüp direkt açabilirsiniz bu sayede çağrıyı yanıtladığınız an para ödemek zorunda kalabilirsiniz.

Jd-Gui programı yardımıyla .jar dosyamı açıyorum.

Biraz kurcaladıktan sonra MyContacts classını buluyorum incelemeye başlıyorum.

backup fonksiyonunda ilk olarak contact_backup.txt adlı dosyanın olup olmadığını kontrol ediyor ardından rehberinizi dosyaya yazmaya başlıyor. Bunun ardından da doInBackground fonksiyonuna baktığımızda oluşturduğu yedek dosyasını zhangdafeng2012@126.com mail adresine yolluyor.

Ardından UploadUtil classını inceliyorum bu class post isteği yapıp yerel adrese http://192.168.2.105:8080/upload_file_service/UploadServlet backup dosyasını yazıyor. Bunun tam amacını anlayamamış olsam da incelemeye devam ediyorum.

Genymotion sanal makinamı çalıştırıyorum. Rootlu android sistemime xposed ve ınspeckage yüklüyorum. Bu; araç analizini yapacağım uygulamaya ait fonksiyonları yakalamaya yarıyor.

İnspeckage ile uygulamayı çalıştırıyorum. Bana verdiği lokal ip adresine gidip web servisine ulaşıyorum. Ardından logcate bağlanıyorum.

Ve rehberimi okuyup maili yollamaya çalışmış ama 126.com’un 25 nolu portu kapalı veya erişilemediğinden maili yollayamamış.

İnspeckage’ye dönüp analize devam ediyorum.

Kayıtlardan hemen dosya yazdığı görüyorum yazdığı dosyayı kontrol etmek için terminale dönüp ilgili dosyayı okuyorum.

Rehberimdeki sahte kaydı dosyaya yazmış. Bir diğer yakaladığım data/data/ dizini altında kendi oluşturduğu veritabanı, içinde bilgilerimizi yazabileceği tablolar var.

Tabii boş, rehberimde veri olmasına rağmen veri tabanına bir şey yazmadı. Sorgu çalıştırdığımda boş görünüyor.

Sebebi de ilgili dosyada görüldüğü gibi sadece tablo oluşturmuş, insert into sorgusu gerçekleştirmemiş.

Ayrıca kullandığı reklam servisi de gps, imei, mac adresi, cihaz bilgileri gibi verileri toplayıp aşağıdaki urllere json formatında gönderiyor.

Yazının kısaca özeti android uygulamaların istediği izinlere dikkat etmemiz gerekiyor. Güvenilir geliştiricileri tercih etmemiz gerekiyor.

(1) Haberleşme_Gizlilik_ve_İstihbarat._DİKKAT_DÜŞMAN_DİNLİYOR

 

Yazar Hakkında

Andhrimnir
Yazara ait blog yazıları eğitim amaçlıdır.Etik kuralların dışında kullanım sorumluluğu kullanıcıya aittir.
~Tanrı denizcilere yardım eder ancak kaptan dümende olmalıdır.

Bu makaleyi 3 dakikada okuyabilirsiniz.
Andhrimnir
Yazara ait blog yazıları eğitim amaçlıdır.Etik kuralların dışında kullanım sorumluluğu kullanıcıya aittir. ~Tanrı denizcilere yardım eder ancak kaptan dümende olmalıdır.