Quark-Engine ist ein in Python geschriebenes Android-Analyse-Framework mit Fokus auf Bedrohungen in APK- und DEX-Dateien. Da das Tool regelbasiert ist, können die mitgelieferten Regeln verwendet, nach Bedarf angepasst oder neue erstellt werden. Zusätzlich wurde ein Dalvik-Bytecode-Loader entwickelt, der Verschleierungstechniken gegen Reverse-Engineering überwindet, um reale Ergebnisse zu erhalten. Quark-Engine ist sehr einfach zu bedienen und bietet außerdem flexible Ausgabeformate. Es gibt drei Arten von Ausgabeberichten: Detailbericht, Aufrufdiagramm und Zusammenfassungsbericht. Mit diesen Berichten können Sie sich schnell einen Überblick über das risikoreiche Verhalten einer Android-App verschaffen.
Installation
Mit der Integration der Quark-Engine in Kali Linux 2021.2 kann die Anwendung direkt installiert werden:
$ sudo apt install quark-engine
Nach der erfolgten Installation müssen noch die Regelsätze aktualisiert werden. Dies geschieht mit dem Befehl freshquark.
$ freshquark
Danach können Sie sich einen Überblick über die Funktionen der Quark-Engine verschaffen:
$ quark-engine --help
Anwendung
Als Nächstes benötigen Sie die APK-Datei der App, die Sie untersuchen möchten. Diese kann von einem APK-Downloadportal wie APKPure heruntergeladen werden. Diese wird mit dem Parameter -a an die Quark-Engine übergeben und mit dem Parameter s wird ein Kurzbericht erstellt.
$ quark -a DATEI.apk -s
Die vorhandenen Regeln werden auf die Android-App angewendet und die verschiedenen Funktionen in der APK-Datei bewertet. Zusammenfassend werden eine Risikoeinschätzung und eine Bewertung in Form von Punkten ausgegeben.
Um einen ausführlichen Bericht mit der Quark-Engine zu erstellen, verwenden Sie den Parameter -d.
$ quark -a DATEI.apk -s -d
Zusätzlich können noch Aufrufdiagramme von den einzelnen detektierten Stellen erstellt werden, um einen Überblick zu bekommen, welche Funktionen in der APK-Datei verwendet werden. Dazu wird der Parameter -g verwendet und die erstellten Abbildungen werden im Ordner call_graph_image abgelegt.
$ quark -a DATEI.apk -s -g
Kali Linux 2021.2 Artikelserie
Dieser Blog-Artikel ist Teil der Kali Linux 2021.2 Artikelserie, bei der ich mich intensiver mit den neuen Anwendungen der aktuellen Version beschäftige.
- CloudBrute – Gezieltes Suchen von Dateien und Apps in der Cloud
- dirsearch – Brute-Force-Verzeichnisse und -Dateien auf Webservern
- Feroxbuster – Einfache, schnelle, rekursive Inhaltssuche
- Ghidra – Reverse-Engineering-Framework
- Pacu – AWS-Exploitation-Framework
- Peirates – Kubernetes Sicherheitsanalyse
- Quark-Engine – Android-Malware-Bewertungssystem