JPCERT araştırmacıları, Android kötü amaçlı yazılımlarının dinamik analizinde devrim yaratması beklenen “Smali Gadget Injection” adı verilen yeni bir tekniği keşfetti.
Bu yöntem, Frida gibi mevcut araçlara kıyasla daha esnek bir yaklaşım sunuyor. Frida gibi araçlar yararlı olsa da genel amaçlı yapıları nedeniyle sınırlı içgörüler sağlıyor.
Geleneksel olarak, Android kötü amaçlı yazılımlarını analiz etme dinamik olarak önemli zorluklar ortaya çıkarmıştır. Hata ayıklayıcılar kullanılarak etkili bir şekilde izlenebilen Windows kötü amaçlı yazılımlarının aksine, Android kötü amaçlı yazılımları bu tür basit analizlere direnmiştir.
Smali Gadget Enjeksiyon tekniği, analistlerin özel gadget’ları doğrudan bir APK’nın smali dosyalarına enjekte etmelerine olanak tanıyarak, uygulama içindeki belirli yöntemlerin ayrıntılı izlenmesini ve günlüğe kaydedilmesini sağlayarak bu açığı kapatıyor.
Smali Gadget Enjeksiyonu Nasıl Çalışır?
İşlem, Android kötü amaçlı yazılımındaki hedef kodun tanımlanmasıyla başlar. JADX veya JEB Pro gibi araçlar, APK dosyalarını derlemek ve kodu okunabilir bir Java biçiminde sunmak için kullanılır.
Analistler dinamik olarak analiz etmek istedikleri yöntemleri belirlemelidir. Örneğin, belirli bir kötü amaçlı yazılım örneğinde, bir yöntem, derlenmiş sonuçların Şekil 1’inde gösterildiği gibi, RC4 algoritmasını kullanarak dizeleri şifresini çözebilir.
Smali Dosya Çıkarımı ve Gadget Enjeksiyonu
Yuma Masubuchi’ye göre, JPCert raporundan bir araştırmacı, Hedef yöntem tanımlandıktan sonra, APK Apktool kullanılarak çıkarılır. Bu, analiz aygıtına enjekte etmek için düzenlenebilen dizin yapısını ve smali dosyalarını ortaya çıkarır.
Örneğin dosyada smali/com/fky/lblabjglab/a.smaliyöntemin argümanlarını ve dönüş değerlerini günlüğe kaydetmek için bir araç eklenebilir.
Gadget’a enjekte edildikten sonra, smali dosyaları bir APK’ye yeniden birleştirilir. APK daha sonra bir sertifika ile imzalanmalı ve bir Android cihaza yüklenebildiğinden emin olunmalıdır.
Bu, aşağıdakileri içeren bir dizi komut kullanılarak gerçekleştirilir: apktool, keytoolVe apksigner.
Son adım, yeniden paketlenmiş APK’yı Android Studio aracılığıyla erişilebilen sanal bir Android cihazına yüklemeyi içerir.
Analistler daha sonra Logcat kullanarak uygulamanın davranışını izleyebilir, şifresi çözülmüş dizeleri ve diğer dinamik verileri gözlemlemek için günlükleri filtreleyebilir, Şekil 5’te gösterildiği gibi
Bu yenilikçi teknik tehdit araştırmacılarına yardımcı oluyor ve değişken içeriklerin izlenmesi ve yöntem çağrılarının kesilmesi gibi çeşitli analizlere olanak sağlıyor.
Siber güvenlik uzmanlarına Android kötü amaçlı yazılım tehditlerini anlamak ve azaltmak için güçlü bir araç sağlar.
Smali Gadget Enjeksiyon tekniği, Android kötü amaçlı yazılım analizinde önemli bir ilerlemeyi temsil ediyor.
Dikkatli bir hazırlık ve hedef kodun derinlemesine anlaşılmasını gerektirse de esnekliği ve analiz derinliği benzersizdir.
Siber güvenlik tehditleri gelişmeye devam ettikçe, bu tür teknikler dijital ortamların korunmasında paha biçilmez bir öneme sahip olacak.
Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Access