From 7ec63a4eed6e3bbfd9cdd316baa50684c2e8f478 Mon Sep 17 00:00:00 2001 From: Translator Date: Thu, 24 Jul 2025 14:14:16 +0000 Subject: [PATCH] Translated ['src/generic-methodologies-and-resources/phishing-methodolog --- src/SUMMARY.md | 1 + .../phishing-methodology/README.md | 68 ++++++++------ .../mobile-phishing-malicious-apps.md | 94 +++++++++++++++++++ 3 files changed, 132 insertions(+), 31 deletions(-) create mode 100644 src/generic-methodologies-and-resources/phishing-methodology/mobile-phishing-malicious-apps.md diff --git a/src/SUMMARY.md b/src/SUMMARY.md index 088f962ff..4a374c24d 100644 --- a/src/SUMMARY.md +++ b/src/SUMMARY.md @@ -32,6 +32,7 @@ - [Clone a Website](generic-methodologies-and-resources/phishing-methodology/clone-a-website.md) - [Detecting Phishing](generic-methodologies-and-resources/phishing-methodology/detecting-phising.md) - [Discord Invite Hijacking](generic-methodologies-and-resources/phishing-methodology/discord-invite-hijacking.md) + - [Mobile Phishing Malicious Apps](generic-methodologies-and-resources/phishing-methodology/mobile-phishing-malicious-apps.md) - [Phishing Files & Documents](generic-methodologies-and-resources/phishing-methodology/phishing-documents.md) - [Basic Forensic Methodology](generic-methodologies-and-resources/basic-forensic-methodology/README.md) - [Baseline Monitoring](generic-methodologies-and-resources/basic-forensic-methodology/file-integrity-monitoring.md) diff --git a/src/generic-methodologies-and-resources/phishing-methodology/README.md b/src/generic-methodologies-and-resources/phishing-methodology/README.md index f0c6f3c49..d9adb552d 100644 --- a/src/generic-methodologies-and-resources/phishing-methodology/README.md +++ b/src/generic-methodologies-and-resources/phishing-methodology/README.md @@ -2,15 +2,15 @@ {{#include ../../banners/hacktricks-training.md}} -## Methodology +## Methodoloji 1. Kurbanı araştır -1. **Kurban alan adını** seç. -2. Kurbanın kullandığı **giriş portallarını** bulmak için bazı temel web taramaları yap ve hangi portaldan **taklit yapacağına** **karar ver**. +1. **Kurban alanını** seç. +2. Kurbanın kullandığı **giriş portallarını** bulmak için bazı temel web sayımı yap ve hangi portaldan **taklit yapacağına** **karar ver**. 3. **E-posta bulmak için** bazı **OSINT** kullan. 2. Ortamı hazırla 1. Phishing değerlendirmesi için kullanacağın **alan adını satın al**. -2. İlgili kayıtları (SPF, DMARC, DKIM, rDNS) **e-posta hizmetini yapılandır**. +2. İlgili kayıtları **e-posta hizmetini yapılandır** (SPF, DMARC, DKIM, rDNS). 3. **gophish** ile VPS'yi yapılandır. 3. Kampanyayı hazırla 1. **E-posta şablonunu** hazırla. @@ -21,10 +21,10 @@ ### Alan Adı Varyasyon Teknikleri -- **Anahtar Kelime**: Alan adı, orijinal alan adının önemli bir **anahtar kelimesini** **içerir** (örneğin, zelster.com-management.com). +- **Anahtar Kelime**: Alan adı, orijinal alanın önemli bir **anahtar kelimesini** **içerir** (örneğin, zelster.com-management.com). - **tireli alt alan**: Bir alt alanın **noktasını tire ile değiştir** (örneğin, www-zelster.com). -- **Yeni TLD**: Aynı alan adı, **yeni bir TLD** kullanarak (örneğin, zelster.org). -- **Homoglif**: Alan adındaki bir harfi, **benzer görünen harflerle** **değiştirir** (örneğin, zelfser.com). +- **Yeni TLD**: Aynı alanı **yeni bir TLD** ile kullan (örneğin, zelster.org). +- **Homoglif**: Alan adındaki bir harfi **benzer görünen harflerle** **değiştirir** (örneğin, zelfser.com). - **Transpozisyon:** Alan adındaki iki harfi **değiştirir** (örneğin, zelsetr.com). - **Tekil/Çoğul**: Alan adının sonuna “s” ekler veya çıkarır (örneğin, zeltsers.com). - **Atlama**: Alan adından bir harfi **çıkarır** (örneğin, zelser.com). @@ -53,7 +53,7 @@ Bu kavram **DNS isteklerine uygulandığında**, **DNS sunucusu tarafından alı Örneğin, "windows.com" alan adındaki tek bir bit değişikliği, onu "windnws.com" yapabilir. -Saldırganlar, **kurbanın alan adına benzer birden fazla bit-flipping alan adı kaydederek** bundan **yararlanabilirler**. Amaçları, meşru kullanıcıları kendi altyapılarına yönlendirmektir. +Saldırganlar, **kurbanın alanına benzer birden fazla bit-flipping alanı kaydederek** bundan **yararlanabilirler**. Amaçları, meşru kullanıcıları kendi altyapılarına yönlendirmektir. Daha fazla bilgi için [https://www.bleepingcomputer.com/news/security/hijacking-traffic-to-microsoft-s-windowscom-with-bitflipping/](https://www.bleepingcomputer.com/news/security/hijacking-traffic-to-microsoft-s-windowscom-with-bitflipping/) @@ -73,8 +73,8 @@ Satın alacağın süresi dolmuş alan adının **iyi bir SEO'ya sahip olduğund - [https://hunter.io/](https://hunter.io) - [https://anymailfinder.com/](https://anymailfinder.com) -Daha fazla geçerli e-posta adresi **bulmak veya** zaten keşfettiğin e-posta adreslerini **doğrulamak için**, kurbanın smtp sunucularını brute-force ile kontrol edebilirsin. [E-posta adresini doğrulama/keşfetme hakkında buradan öğren](../../network-services-pentesting/pentesting-smtp/index.html#username-bruteforce-enumeration).\ -Ayrıca, kullanıcıların **e-postalarına erişmek için herhangi bir web portalı kullanıp kullanmadığını** unutma; eğer kullanıyorsa, **kullanıcı adı brute force** saldırısına karşı savunmasız olup olmadığını kontrol edebilir ve mümkünse bu zafiyeti istismar edebilirsin. +Daha fazla geçerli e-posta adresi **keşfetmek** veya zaten keşfettiğin e-posta adreslerini **doğrulamak** için, kurbanın smtp sunucularını brute-force ile kontrol edebilirsin. [E-posta adresini doğrulama/keşfetme hakkında buradan öğren](../../network-services-pentesting/pentesting-smtp/index.html#username-bruteforce-enumeration).\ +Ayrıca, kullanıcıların **e-postalarına erişmek için herhangi bir web portalı kullanıp kullanmadığını** unutma; eğer kullanıyorsa, **kullanıcı adı brute force**'a karşı savunmasız olup olmadığını kontrol edebilir ve mümkünse bu zafiyeti istismar edebilirsin. ## GoPhish'i Yapılandırma @@ -82,8 +82,8 @@ Ayrıca, kullanıcıların **e-postalarına erişmek için herhangi bir web port Bunu [https://github.com/gophish/gophish/releases/tag/v0.11.0](https://github.com/gophish/gophish/releases/tag/v0.11.0) adresinden indirebilirsin. -İndir ve `/opt/gophish` içine çıkar ve `/opt/gophish/gophish` komutunu çalıştır.\ -Çıktıda, 3333 numaralı portta admin kullanıcı için bir şifre verilecektir. Bu nedenle, o porta eriş ve bu kimlik bilgilerini kullanarak admin şifresini değiştir. O portu yerel olarak tünellemen gerekebilir. +İndirin ve `/opt/gophish` dizinine çıkarın ve `/opt/gophish/gophish` komutunu çalıştırın.\ +Çıktıda, 3333 portundaki admin kullanıcı için bir şifre verilecektir. Bu nedenle, o porta erişin ve bu kimlik bilgilerini kullanarak admin şifresini değiştirin. O portu yerel olarak tünellemeniz gerekebilir: ```bash ssh -L 3333:127.0.0.1:3333 @ ``` @@ -91,7 +91,7 @@ ssh -L 3333:127.0.0.1:3333 @ **TLS sertifika konfigürasyonu** -Bu adımdan önce **kullanacağınız alan adını zaten satın almış olmalısınız** ve bu alan adı **gophish'i yapılandırdığınız VPS'nin IP'sine** **yönlendirilmelidir**. +Bu adımdan önce **kullanacağınız alan adını** **zaten satın almış** olmalısınız ve bu alan adı **gophish**'i yapılandırdığınız **VPS'nin IP'sine** **yönlendirilmiş** olmalıdır. ```bash DOMAIN="" wget https://dl.eff.org/certbot-auto @@ -111,7 +111,7 @@ cp "/etc/letsencrypt/live/$DOMAIN/fullchain.pem" /opt/gophish/ssl_keys/key.crt Başlamak için: `apt-get install postfix` -Sonra alan adını aşağıdaki dosyalara ekleyin: +Ardından, alan adını aşağıdaki dosyalara ekleyin: - **/etc/postfix/virtual_domains** - **/etc/postfix/transport** @@ -122,7 +122,7 @@ Sonra alan adını aşağıdaki dosyalara ekleyin: `myhostname = `\ `mydestination = $myhostname, , localhost.com, localhost` -Son olarak **`/etc/hostname`** ve **`/etc/mailname`** dosyalarını alan adınızla değiştirin ve **VPS'nizi yeniden başlatın.** +Son olarak, dosyaları **`/etc/hostname`** ve **`/etc/mailname`** alan adınıza göre değiştirin ve **VPS'nizi yeniden başlatın.** Şimdi, `mail.` için **DNS A kaydı** oluşturun ve bunu VPS'nin **ip adresine** yönlendirin ve `mail.` için bir **DNS MX** kaydı oluşturun. @@ -223,9 +223,9 @@ service gophish stop ### Bekleyin ve meşru olun -Bir alan adı ne kadar eskiyse, spam olarak yakalanma olasılığı o kadar düşüktür. Bu nedenle, phishing değerlendirmesinden önce mümkün olduğunca uzun süre (en az 1 hafta) beklemelisiniz. Ayrıca, itibarlı bir sektörde bir sayfa oluşturursanız elde edilen itibar daha iyi olacaktır. +Bir alan adı ne kadar eskiyse, spam olarak yakalanma olasılığı o kadar düşüktür. Bu nedenle, phishing değerlendirmesinden önce mümkün olduğunca uzun süre (en az 1 hafta) beklemelisiniz. Ayrıca, itibarlı bir sektörde bir sayfa oluşturursanız, elde edilen itibar daha iyi olacaktır. -Bir hafta beklemeniz gerekse bile, her şeyi şimdi yapılandırmayı tamamlayabileceğinizi unutmayın. +Bir hafta beklemeniz gerekse bile, her şeyi şimdi yapılandırmayı bitirebileceğinizi unutmayın. ### Ters DNS (rDNS) kaydını yapılandırın @@ -247,7 +247,7 @@ v=spf1 mx a ip4:ip.ip.ip.ip ?all Yeni alan için **bir DMARC kaydı yapılandırmalısınız**. DMARC kaydının ne olduğunu bilmiyorsanız [**bu sayfayı okuyun**](../../network-services-pentesting/pentesting-smtp/index.html#dmarc). -Aşağıdaki içeriği içeren `_dmarc.` ana bilgisayarına işaret eden yeni bir DNS TXT kaydı oluşturmalısınız: +Aşağıdaki içeriğe sahip `_dmarc.` ana bilgisayarına işaret eden yeni bir DNS TXT kaydı oluşturmalısınız: ```bash v=DMARC1; p=none ``` @@ -283,19 +283,19 @@ DKIM check: pass Sender-ID check: pass SpamAssassin check: ham ``` -Kontrolünüz altındaki bir **Gmail'e mesaj gönderebilir** ve Gmail gelen kutunuzdaki **e-posta başlıklarını** kontrol edebilirsiniz, `dkim=pass` `Authentication-Results` başlık alanında bulunmalıdır. +Kontrolünüz altındaki bir **Gmail hesabına mesaj gönderebilir** ve Gmail gelen kutunuzda **e-posta başlıklarını** kontrol edebilirsiniz, `dkim=pass` `Authentication-Results` başlık alanında bulunmalıdır. ``` Authentication-Results: mx.google.com; spf=pass (google.com: domain of contact@example.com designates --- as permitted sender) smtp.mail=contact@example.com; dkim=pass header.i=@example.com; ``` -### Spamhouse Kara Listesinden Çıkarma +### ​Spamhouse Kara Listesinden Çıkarma -Sayfa [www.mail-tester.com](https://www.mail-tester.com) alan adınızın spamhouse tarafından engellenip engellenmediğini gösterebilir. Alan adınızın/IP'nizin kaldırılmasını [https://www.spamhaus.org/lookup/](https://www.spamhaus.org/lookup/) adresinden talep edebilirsiniz. +Sayfa [www.mail-tester.com](https://www.mail-tester.com) alan adınızın spamhouse tarafından engellenip engellenmediğini gösterebilir. Alan adınızın/IP adresinizin kaldırılmasını isteyebilirsiniz: ​[https://www.spamhaus.org/lookup/](https://www.spamhaus.org/lookup/) ### Microsoft Kara Listesinden Çıkarma -Alan adınızın/IP'nizin kaldırılmasını [https://sender.office.com/](https://sender.office.com) adresinden talep edebilirsiniz. +Alan adınızın/IP adresinizin kaldırılmasını isteyebilirsiniz [https://sender.office.com/](https://sender.office.com). ## GoPhish Kampanyası Oluşturma ve Başlatma @@ -305,7 +305,7 @@ Alan adınızın/IP'nizin kaldırılmasını [https://sender.office.com/](https: - Phishing e-postalarını hangi hesaptan göndereceğinize karar verin. Öneriler: _noreply, support, servicedesk, salesforce..._ - Kullanıcı adı ve şifreyi boş bırakabilirsiniz, ancak Sertifika Hatalarını Yoksay'ı kontrol ettiğinizden emin olun. -![](<../../images/image (253) (1) (2) (1) (1) (2) (2) (3) (3) (5) (3) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (10) (15) (2).png>) +![](<../../images/image (253) (1) (2) (1) (1) (2) (2) (3) (3) (5) (3) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (10) (15) (2).png>) > [!TIP] > Her şeyin çalıştığını test etmek için "**Test E-postası Gönder**" işlevini kullanmanız önerilir.\ @@ -316,7 +316,7 @@ Alan adınızın/IP'nizin kaldırılmasını [https://sender.office.com/](https: - Şablonu tanımlamak için bir **isim belirleyin** - Ardından bir **konu** yazın (olağan bir e-postada okuyabileceğiniz bir şey olsun) - "**İzleme Resmi Ekle**" seçeneğini işaretlediğinizden emin olun -- **e-posta şablonunu** yazın (aşağıdaki örnekteki gibi değişkenler kullanabilirsiniz): +- **e-posta şablonunu** yazın (aşağıdaki örnekte olduğu gibi değişkenler kullanabilirsiniz): ```html @@ -335,11 +335,11 @@ WRITE HERE SOME SIGNATURE OF SOMEONE FROM THE COMPANY ``` -Not edin ki **e-postanın güvenilirliğini artırmak için**, müşteriden gelen bir e-posta imzası kullanmanız önerilir. Öneriler: +Not edin ki **e-postanın güvenilirliğini artırmak için**, müşteriden gelen bir e-postadan bazı imzalar kullanılması önerilir. Öneriler: - **Mevcut olmayan bir adrese** e-posta gönderin ve yanıtın herhangi bir imza içerip içermediğini kontrol edin. - **Açık e-postalar** arayın, örneğin info@ex.com veya press@ex.com veya public@ex.com ve onlara bir e-posta gönderin ve yanıtı bekleyin. -- **Geçerli bulunan** bir e-posta ile iletişim kurmaya çalışın ve yanıtı bekleyin. +- **Bazı geçerli bulunan** e-postalarla iletişim kurmayı deneyin ve yanıtı bekleyin. ![](<../../images/image (80).png>) @@ -371,9 +371,9 @@ Not edin ki **e-postanın güvenilirliğini artırmak için**, müşteriden gele ### Kampanya -Son olarak, bir kampanya oluşturun, bir isim, e-posta şablonu, açılış sayfası, URL, gönderim profili ve grup seçin. URL'nin kurbanlara gönderilecek bağlantı olacağını unutmayın. +Son olarak, bir isim, e-posta şablonu, açılış sayfası, URL, gönderim profili ve grup seçerek bir kampanya oluşturun. URL'nin kurbanlara gönderilecek bağlantı olacağını unutmayın. -**Gönderim Profili, son phishing e-postasının nasıl görüneceğini görmek için test e-postası göndermeye olanak tanır**: +**Gönderim Profili, test e-postası göndererek son phishing e-postasının nasıl görüneceğini görmenizi sağlar**: ![](<../../images/image (192).png>) @@ -428,20 +428,26 @@ Ancak, kurbanın **şüpheli phishing faaliyetlerini aktif olarak arayıp aramad detecting-phising.md {{#endref}} -Kurbanın alan adıyla **çok benzer bir isimle bir alan adı satın alabilir** ve/veya **kontrolünüz altındaki bir alanın** **alt alanı için bir sertifika** oluşturabilirsiniz **ve kurbanın alan adının** **anahtar kelimesini** içerebilirsiniz. Eğer **kurban** onlarla herhangi bir tür **DNS veya HTTP etkileşimi** gerçekleştirirse, **şüpheli alan adlarını aktif olarak aradığını** bileceksiniz ve çok dikkatli olmanız gerekecek. +Kurbanın alan adına **çok benzer bir isimle bir alan adı satın alabilir** ve/veya **kontrolünüz altındaki bir alanın** **alt alanı için bir sertifika** oluşturabilirsiniz **ve kurbanın alan adının** **anahtar kelimesini** içerebilirsiniz. Eğer **kurban** onlarla herhangi bir tür **DNS veya HTTP etkileşimi** gerçekleştirirse, **şüpheli alan adlarını aktif olarak aradığını** bileceksiniz ve çok dikkatli olmanız gerekecek. ### Phishing'i Değerlendirme E-postanızın spam klasörüne düşüp düşmeyeceğini veya engellenip engellenmeyeceğini veya başarılı olup olmayacağını değerlendirmek için [**Phishious**](https://github.com/Rices/Phishious) kullanın. -## Panoya Ekleme / Pastejacking +## Panoya Ekleme / Yapıştırma Hırsızlığı -Saldırganlar, bir tehlikeye maruz kalmış veya yanlış yazılmış bir web sayfasından kurbanın panosuna kötü niyetli komutları sessizce kopyalayabilir ve ardından kullanıcıyı **Win + R**, **Win + X** veya bir terminal penceresine yapıştırmaya kandırarak, herhangi bir indirme veya ek olmadan rastgele kod çalıştırabilirler. +Saldırganlar, bir tehlikeye atılmış veya yanlış yazılmış bir web sayfasından kurbanın panosuna kötü amaçlı komutları sessizce kopyalayabilir ve ardından kullanıcıyı **Win + R**, **Win + X** veya bir terminal penceresine yapıştırmaya kandırarak, herhangi bir indirme veya ek olmadan rastgele kod çalıştırabilirler. {{#ref}} clipboard-hijacking.md {{#endref}} +## Mobil Phishing ve Kötü Amaçlı Uygulama Dağıtımı (Android ve iOS) + +{{#ref}} +mobile-phishing-malicious-apps.md +{{#endref}} + ## Referanslar - [https://zeltser.com/domain-name-variations-in-phishing/](https://zeltser.com/domain-name-variations-in-phishing/) diff --git a/src/generic-methodologies-and-resources/phishing-methodology/mobile-phishing-malicious-apps.md b/src/generic-methodologies-and-resources/phishing-methodology/mobile-phishing-malicious-apps.md new file mode 100644 index 000000000..1d838f905 --- /dev/null +++ b/src/generic-methodologies-and-resources/phishing-methodology/mobile-phishing-malicious-apps.md @@ -0,0 +1,94 @@ +# Mobil Phishing & Kötü Amaçlı Uygulama Dağıtımı (Android & iOS) + +{{#include ../../banners/hacktricks-training.md}} + +> [!INFO] +> Bu sayfa, tehdit aktörlerinin **kötü amaçlı Android APK'ları** ve **iOS mobil yapılandırma profilleri** dağıtmak için kullandığı teknikleri ele almaktadır (phishing, SEO, sosyal mühendislik, sahte mağazalar, flört uygulamaları vb.). +> Materyal, Zimperium zLabs tarafından ifşa edilen SarangTrap kampanyasından (2025) ve diğer kamu araştırmalarından uyarlanmıştır. + +## Saldırı Akışı + +1. **SEO/Phishing Altyapısı** +* Benzer alan adlarını (flört, bulut paylaşımı, araç servisi…) kaydedin. +– Google'da sıralamak için `` öğesinde yerel dil anahtar kelimeleri ve emojiler kullanın. +– *Hem* Android (`.apk`) hem de iOS kurulum talimatlarını aynı açılış sayfasında barındırın. +2. **İlk Aşama İndirme** +* Android: *imzasız* veya “üçüncü taraf mağaza” APK'sına doğrudan bağlantı. +* iOS: kötü amaçlı **mobileconfig** profiline `itms-services://` veya düz HTTPS bağlantısı (aşağıya bakın). +3. **Kurulum Sonrası Sosyal Mühendislik** +* Uygulama ilk çalıştırıldığında **davetiye / doğrulama kodu** ister (özel erişim yanılsaması). +* Kod, Komut ve Kontrol (C2) sunucusuna **HTTP üzerinden POST edilir**. +* C2 `{"success":true}` yanıtı verir ➜ kötü amaçlı yazılım devam eder. +* Geçerli bir kod göndermeyen Sandbox / AV dinamik analizi **kötü amaçlı davranış görmez** (kaçış). +4. **Çalışma Zamanı İzin İhlali** (Android) +* Tehlikeli izinler yalnızca **pozitif C2 yanıtından sonra** istenir: +```xml +<uses-permission android:name="android.permission.READ_CONTACTS"/> +<uses-permission android:name="android.permission.READ_EXTERNAL_STORAGE"/> +<uses-permission android:name="android.permission.READ_PHONE_STATE"/> +<!-- Eski sürümler ayrıca SMS izinlerini de isterdi --> +``` +* Son varyantlar, `AndroidManifest.xml` dosyasından SMS için `<uses-permission>` **kaldırır** ancak SMS'i yansıma yoluyla okuyan Java/Kotlin kod yolunu bırakır ⇒ izin veren cihazlarda `AppOps` istismarı veya eski hedefler üzerinden işlevsel kalırken statik puanı düşürür. +5. **Facade UI & Arka Plan Toplama** +* Uygulama, yerel olarak uygulanan zararsız görünümler (SMS görüntüleyici, galeri seçici) gösterir. +* Bu arada, aşağıdakileri dışarı sızdırır: +- IMEI / IMSI, telefon numarası +- Tam `ContactsContract` dökümü (JSON dizisi) +- Boyutunu azaltmak için [Luban](https://github.com/Curzibn/Luban) ile sıkıştırılmış JPEG/PNG dosyaları `/sdcard/DCIM`'den +- Opsiyonel SMS içeriği (`content://sms`) +Yükler **toplu olarak ziplenir** ve `HTTP POST /upload.php` üzerinden gönderilir. +6. **iOS Dağıtım Tekniği** +* Tek bir **mobil yapılandırma profili**, cihazı “MDM” benzeri denetim altına almak için `PayloadType=com.apple.sharedlicenses`, `com.apple.managedConfiguration` vb. isteyebilir. +* Sosyal mühendislik talimatları: +1. Ayarları açın ➜ *Profil indirildi*. +2. *Yükle* butonuna üç kez dokunun (phishing sayfasındaki ekran görüntüleri). +3. İmzasız profili güvenilir kılın ➜ saldırgan *Kişiler* & *Fotoğraf* yetkisini App Store incelemesi olmadan kazanır. +7. **Ağ Katmanı** +* Düz HTTP, genellikle `api.<phishingdomain>.com` gibi HOST başlığı ile 80 numaralı portta. +* `User-Agent: Dalvik/2.1.0 (Linux; U; Android 13; Pixel 6 Build/TQ3A.230805.001)` (TLS yok → kolayca tespit edilir). + +## Savunma Testi / Kırmızı Takım İpuçları + +* **Dinamik Analiz Kaçışı** – Kötü amaçlı yazılım değerlendirmesi sırasında, davetiye kodu aşamasını Frida/Objection ile otomatikleştirerek kötü amaçlı dalga ulaşın. +* **Manifest vs. Çalışma Zamanı Farkı** – `aapt dump permissions` ile çalışma zamanı `PackageManager#getRequestedPermissions()`'ı karşılaştırın; tehlikeli izinlerin eksik olması bir kırmızı bayraktır. +* **Ağ Canary** – Kod girişi sonrası sağlam POST patlamalarını tespit etmek için `iptables -p tcp --dport 80 -j NFQUEUE` yapılandırın. +* **mobileconfig İncelemesi** – `security cms -D -i profile.mobileconfig` komutunu macOS'ta kullanarak `PayloadContent`'i listeleyin ve aşırı yetkileri tespit edin. + +## Mavi Takım Tespit Fikirleri + +* **Sertifika Şeffaflığı / DNS Analitiği** aniden anahtar kelime açısından zengin alan adlarının patlamalarını yakalamak için. +* **User-Agent & Path Regex**: `(?i)POST\s+/(check|upload)\.php` Dalvik istemcilerinden Google Play dışında. +* **Davet Kodu Telemetresi** – APK kurulumu sonrası kısa bir süre içinde 6–8 haneli sayısal kodların POST edilmesi, sahneleme göstergesi olabilir. +* **MobileConfig İmzalama** – İmzalanmamış yapılandırma profillerini MDM politikası aracılığıyla engelleyin. + +## Kullanışlı Frida Kodu: Davetiye Kodunu Otomatik Olarak Atla +```python +# frida -U -f com.badapp.android -l bypass.js --no-pause +# Hook HttpURLConnection write to always return success +Java.perform(function() { +var URL = Java.use('java.net.URL'); +URL.openConnection.implementation = function() { +var conn = this.openConnection(); +var HttpURLConnection = Java.use('java.net.HttpURLConnection'); +if (Java.cast(conn, HttpURLConnection)) { +conn.getResponseCode.implementation = function(){ return 200; }; +conn.getInputStream.implementation = function(){ +return Java.use('java.io.ByteArrayInputStream').$new("{\"success\":true}".getBytes()); +}; +} +return conn; +}; +}); +``` +## Göstergeler (Genel) +``` +/req/checkCode.php # invite code validation +/upload.php # batched ZIP exfiltration +LubanCompress 1.1.8 # "Luban" string inside classes.dex +``` +## Referanslar + +- [Romantizmin Karanlık Yüzü: SarangTrap Şantaj Kampanyası](https://zimperium.com/blog/the-dark-side-of-romance-sarangtrap-extortion-campaign) +- [Luban – Android görüntü sıkıştırma kütüphanesi](https://github.com/Curzibn/Luban) + +{{#include ../../banners/hacktricks-training.md}}