SDK Tespit Listesi

Fraud Protection senaryolarında kullanılan cihaz/ortam güvenliği ve uygulama bütünlüğü tespitleri aşağıda listelenmiştir.

Build Hatası

MDX içinde ${string} ifadesi hata çıkarır.
rwPath: /\$\{string\} olarak escape edildi.

---

✅ 3rd Party Keyboard
328 – Android: overlay activity
210 – Android: Accessibility service

---

✅ Apps from untrusted sources detection
260 – Android: Unknown sources download enabled
918 – Android: Application downloaded from a non-legitimate source
953 – Android: Application from a non-legitimate source has access to admin privileges
3228 – Android: Application from a non-legitimate source has access to read SMS
4410 – Android: Application from a non-legitimate source has access to NFC

---

✅ Debugger and developer mode
255 – Android: Developer mode enabled
256 – Android: Debugger used
1835 – iOS: Debugger used
1836 – iOS: Application analysis tool has been identified (Frida)

---

✅ Emulator Check
91 – Device Emulator used
361 – Android emulator usage detected
824 – WifiSSID on BlueStacks mobile emulator
1401 – Emulator (BlueStacks) - BstSharedFolder exists
1502 – Non-ARM Android device
1504 – Android x86 supported
1772 – Windows Subsystem for Android (WSA) detected
2800 – Android not ARM cpu

---

✅ Hooking Framework
1836 – iOS: Application analysis tool has been identified (Frida)
1346 – Dynamic instrumentation toolkit Frida detected

---

✅ Jailbreak / Root Detection
116 – iOS device used for sign in has super-user rights (rooted device)
209 – Android: Rooted device
2513 – A root application is installed in the device
2514 – A root cloak application is installed in the device
3020 – Android: Rooted device
3021 – Android: Suspicion of using a rooted device (ro.debuggable=1)
3022 – Android: Suspicion of using a rooted device (which_su: true)
3024 – Android: Suspicion of using a rooted device (test-keys: true)
3025 – Android: Suspicion of using a rooted device (rwPath: /${string})
3027 – Android: Suspicion of using a rooted device (which_su: true)

---

✅ Screen Mirroring Protection
2002 – Android: active screen sharing (Assistant)
437 – Android: active screen sharing
495 – Android: active screen sharing (Discord)
497 – Android: active screen sharing (TeamViewer)
862 – Android: Screen Sharing from Blacklisted Apps
1505 – Android: active screen sharing (private)
3301 – iOS: Long Screen Sharing
3302 – Android: Long Screen Sharing (High-Risk App)

---

✅ Screen Reader protection
210 – Android: Accessibility service

---

✅ Overlay Detection
951 – Android: Possibly malicious SMS application (overlay activity)

---

✅ Other Threat Detection
93 – Mobile Trojan
94 – Mobile Banking Trojan
2519 – Android: A variation of Inattv is installed
2522 – High-risk application is installed within the last 7 days
1750 – FakeCleaningService Malicious Application
1515 – Android: CraxsRAT
1517 – Android: persistent files directory does not exist (native code)
1518 – Android: inconsistent filesystem
1519 – Android: error during existence check of persistent files directory
1523 – Android: gallery camera applications from global list are installed
1524 – Android: gallery camera applications from system list are installed

---

Politikalar ve Kontroller

a) Anti-keylogging – 328, 210 (481 Fraud senaryosu)
Sanal Klavye: Uygulama içinde yerel klavye yerine sanal klavye kullanılabilir.
Şifreleme: Tuş vuruşları uygulamaya iletilmeden önce şifrelenebilir.
Ekran Yakalama Önleme: Screenshot veya ekran kaydı engellenebilir.

---

b) Anti-injection – 1346 (532 Fraud senaryosu)
Kod Bütünlüğü Doğrulama: SDK kodu hash doğrulaması yapılabilir.
Dinamik Koruma: Obfuscation, anti-tamper, dinamik analiz engelleme.

---

c) Anti-debugging & Anti-emulation – 256, 91, 361, 824, 1401, 1502, 1504, 255, 1503 (419 Fraud senaryosu)
Debugger Algılama: OS API çağrılarıyla debugger varlığı kontrol edilebilir.
Emülatör Algılama: IMEI, CPU, sensör tutarlılığı kontrol edilebilir.
Kullanıcı Bildirimi: Debug veya emülatör tespitinde uyarı verilebilir, uygulama sonlandırılabilir.

note

1502 ve 255 için ayrı kural tanımı yoktur.

---

d) Device-binding – 111, 305 ve diğer yeni cihaz kuralları
Cihaz Kimliği: Aktivasyonda IMEI, UUID, MAC adresi kaydedilir.
Oturum Doğrulama: Her oturumda cihaz eşleşmesi kontrol edilir.

---

e) Anti-malware – 1802, 93, 94, 92, 1713 (440, 520, 490, 474 Fraud senaryoları)
Davranış Analizi: İzin ihlali, veri sızıntısı davranışları izlenir.
Tehdit İstihbaratı: Bilinen kötü yazılım veritabanı ile karşılaştırma yapılır.
İzolasyon: Hassas işlemler güvenli ortamda çalıştırılır.

---

f) Jailbreaking – 116, 209 (471 ve 418 Fraud kuralları)
İşletim Sistemi Kontrolü: Sistem dosyaları, root izleri, izinler kontrol edilir.
API Doğrulama: Standart dışı API çağrıları tespit edilir.
Çalışmayı Engelleme: Jailbreak tespitinde uygulama sonlandırılır, kullanıcı bilgilendirilir.

---

tip

Çoklu sinyaller birlikte değerlendirilerek risk skoru üretmek en doğru yaklaşımdır. Tekil sinyaller yanıltıcı olabilir.