Tobias Scheible Cyber Security & IT-Forensik Dozent
Engine - Motor

Quark-Engine – Android-Malware-Bewertungssystem

Mit der Quark-Engine können Android Apps analysiert und mit einem Malware-Bewertungssystem beurteilt werden. Dabei ist die Quark-Engine sehr einfach zu bedienen und bietet außerdem flexible Ausgabeformate und mehrere Arten von Berichten. Es ist so möglich, sich schnell einen Überblick über eine APK-Datei zu verschaffen.

Sonntag, 26. September 2021
0 Kommentare
Cyber Security
Android, KaliLinux, QuarkEngine, Malware

Quark-Engine ist ein in Python geschriebenes Android-Analyse-Framework mit Fokus auf Bedrohungen in APK- und DEX-Dateien. Da das Tool regelbasiert ist, können die mitgelieferten Regeln verwendet, nach Bedarf angepasst oder neue erstellt werden. Zusätzlich wurde ein Dalvik-Bytecode-Loader entwickelt, der Verschleierungstechniken gegen Reverse-Engineering überwindet, um reale Ergebnisse zu erhalten. Quark-Engine ist sehr einfach zu bedienen und bietet außerdem flexible Ausgabeformate. Es gibt drei Arten von Ausgabeberichten: Detailbericht, Aufrufdiagramm und Zusammenfassungsbericht. Mit diesen Berichten können Sie sich schnell einen Überblick über das risikoreiche Verhalten einer Android-App verschaffen.

Installation

Mit der Integration der Quark-Engine in Kali Linux 2021.2 kann die Anwendung direkt installiert werden:

$ sudo apt install quark-engine

Nach der erfolgten Installation müssen noch die Regelsätze aktualisiert werden. Dies geschieht mit dem Befehl freshquark.

$ freshquark
Quark-Engine - freshquark
Aktualisierung der Regelsätze der Quark-Engine mit dem Tool freshquark
Quark-Engine - freshquark Aktualisierung der Regelsätze der Quark-Engine mit dem Tool freshquark

Danach können Sie sich einen Überblick über die Funktionen der Quark-Engine verschaffen:

$ quark-engine --help
Quark-Engine Help
Ausgabe der möglichen Parameter der Quark-Engine
Quark-Engine Help Ausgabe der möglichen Parameter der Quark-Engine

Anwendung

Als Nächstes benötigen Sie die APK-Datei der App, die Sie untersuchen möchten. Diese kann von einem APK-Downloadportal wie APKPure heruntergeladen werden. Diese wird mit dem Parameter -a an die Quark-Engine übergeben und mit dem Parameter s wird ein Kurzbericht erstellt.

$ quark -a DATEI.apk -s

Die vorhandenen Regeln werden auf die Android-App angewendet und die verschiedenen Funktionen in der APK-Datei bewertet. Zusammenfassend werden eine Risikoeinschätzung und eine Bewertung in Form von Punkten ausgegeben.

Quark-Engine Analyse
Analyse einer Android-App mit der Quark-Engine
Quark-Engine Analyse Analyse einer Android-App mit der Quark-Engine

Um einen ausführlichen Bericht mit der Quark-Engine zu erstellen, verwenden Sie den Parameter -d. 

$ quark -a DATEI.apk -s -d

Zusätzlich können noch Aufrufdiagramme von den einzelnen detektierten Stellen erstellt werden, um einen Überblick zu bekommen, welche Funktionen in der APK-Datei verwendet werden. Dazu wird der Parameter -g verwendet und die erstellten Abbildungen werden im Ordner call_graph_image abgelegt.

$ quark -a DATEI.apk -s -g
Quark-Engine Graphen
Erstelltes Aufrufdiagramm mit der Quark-Engine
Quark-Engine Graphen Erstelltes Aufrufdiagramm mit der Quark-Engine

Kali Linux 2021.2 Artikelserie

Dieser Blog-Artikel ist Teil der Kali Linux 2021.2 Artikelserie, bei der ich mich intensiver mit den neuen Anwendungen der aktuellen Version beschäftige.

Über Tobias Scheible

Tobias Scheible

Hallo, mein Name ist Tobias Scheible. Ich bin begeisterter Informatiker und Sicherheitsforscher mit den Schwerpunkten Cyber Security und IT-Forensik. Mein Wissen teile ich gerne anhand von Fachartikeln hier in meinem Blog und in meinem Fachbuch. Als Referent halte ich Vorträge und Workshops für Verbände und Unternehmen u. a. auch offene Veranstaltungen für den VDI und die IHK.

Kommentare

Es wurde noch kein Kommentar abgegeben.

Schreibe einen Kommentar!

Hilfe zum Kommentieren und Hiweise

Um kommentieren zu können, geben sie bitte mindestens ihren Namen und ihre E-Mail-Adresse an. Bitte nutzen Sie die Kommentarfunktion nicht dazu, andere zu beleidigen oder Spam zu verbreiten. Trolle und Spammer sind hier unerwünscht! Unangemessene Kommentare, die zum Beispiel gegen geltendes Recht verstoßen, eine Gefährdung anderer Besucher darstellen oder keinen sinvollen Inhalt beinhalten, werden gelöscht oder angepasst.

Name: Ihr Name, der oberhalb des Kommentars steht, gerne auch Ihren echten Namen, das erleichtert die Kommunikation für alle. Sollte ein Spam-Keyword als Name verwendet werden, kann dieses entfernt oder korrigiert werden.

E-Mail: Ihre E-Mail Adresse dient zur Identifizierung weiterer Kommentare und damit ich direkt Kontakt aufnehmen kann. Die E-Mail Adresse wird natürlich nicht veröffentlicht und nicht weitergegeben.

Website: Hier können Sie ihren eigenen Blog bzw. ihre eigene Website eintragen, dadurch wird Ihr Name und Ihr Avatar-Bild verlinkt. Werden rein kommerzielle Angebote offensichtlich beworben, setze ich den Link auf nofollow und unangemessene werden einfach entfernt.

Erlaubte HTML-Tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <hr> <big> <small> <sub> <sup> <u>

Ihre E-Mailadresse wird nicht veröffentlicht. Mit dem Absenden anerkennen Sie die Datenschutzhinweis des Blogs.