Reversing de malware android
|
10-11-2011, 20h23
(Modification du message : 01-02-2012, 22h18 par supersnail.)
Message : #1
|
|
supersnail
Éleveur d'ornithorynques Messages : 1,609 Sujets : 71 Points: 465 Inscription : Jan 2012 |
Reversing de malware android
Bonjour,
Je me permets de publier ici un article que j'ai rédigé sur mon blog concernant le reverse de malwares android. J'étudie ici le malware com.registr.registrator, de nom de fichier operaandroidi14.apk disponible sur mon dépôt. Ce malware nous propose de télécharger le navigateur Opera gratuitement (alors que celui-ci est disponible sur Internet), cependant, l'application effectue quelques actions à l'insu de l'utilisateur avant de donner le lien de téléchargement d'une version d'Opera (très certainement backdoorée...). Je présenterai donc ici la structure d'une application Android, avant d'attaquer le reversing du malware, et la collecte d'informations sur son créateur. Structure d'un fichier APK, et tools nécessaires Une application Android est fichier .apk, qui, techniquement n'est qu'une archive .zip renomée. Cette archive contient quelques fichiers et dossiers qui nous intéresseront:
L'étude de notre malware va donc se focaliser sur ce fameux "classes.dex" ainsi que sur les ressources. Ce fichier contient du bytecode, qu'il va nous falloir désassembler à l'aide de baksmali (il vous faudra bien évidemment installer la JVM). On désassemblera le tout à l'aide de la commande, une fois avoir extrait l'archive APK: Code : java -jar baksmali-1.2.8.jar -s classes.dex Cette commande nous génère un dossier "out", qui contient tout le code "smali" (une sorte d'assembleur pour le bytecode du JIT compiler d'Android) de notre application. Passons donc à l'analyse de cette application. Reversing du malware Si vous n'êtes sous Windows, je vous recommande fortement de lire cet article pour installer les commandes UNIX qui seront massivement utilisées dans ce cours. On va commencer par rechercher le point d'entrée de l'application (repérable grâce à la méthode onCreate). On va donc utiliser un coup de "grep", qui nous informe que le fichier incriminé est out/com/registr/registrator/RegistratorActivity.smali, et le code de la fonction est: Code : .method public onCreate(Landroid/os/Bundle;)V Ce code initialise l'interface utilisateur de l'application, puis pose un ClickListener sur le bouton. On va donc regarder de plus près le listener, contenu dans out/com/registr/registrator/RegistratorActivity$1.smali. On peut aussi remarquer dans le code de RegistratorActivity.smali des méthodes nommées "sendAction" et "sendSMS", ce qui nous permet de deviner que l'application enverra des SMS à un moment ou un autre. Examinons de plus près le code de RegistratorActivity$1.smali. Code : .method public onClick(Landroid/view/View;)V Cette méthode appelle RegistratorActivity.access$000, qui a pour vocation d'appeler RegistratorActivity.sendAction, une des fonctions bizarres repérées à l'instant. Regardons donc de plus près cette fonction. Code : .method private sendAction()V On voit clairement ici que le malware va récupérer la ressource id 0x7f040001, et parser le XML contenu à l'intérieur. Or, un coup de grep nous dit que la ressource 0x7f04001 appartient au fichier "sms.txt". Le malware va enfin passer en revue tous les numéros contenus dans la ressource, et envoyer un SMS à ces numéros, avant d'afficher le lien de téléchargement de l'APK. Notre malware, lors du clic sur le bouton, va donc envoyer un SMS aux numéros contenus dans la ressource à l'insu de l'utilisateur, avant d'afficher le lien de téléchargement du "vrai" navigateur. 4 fun, je vous paste le contenu de sms.txt.  Code : <item number="7495" prefix="amdetoi142f"/> Recherche d'informations Le lien est stocké dans la ressource 0x7f040000, i.e link.txt, qui contient ce lien: hxxp://mini-opera-6.in/files/Opera_Mini_6_1_Android.apk. Un whois sur le domaine nous montre que ce domaine est enregistré au nom de Mikhail Denin, avec pour e-mail de contact whoismail2010@gmail.com. L'adresse IP du serveur est 188.95.54.32, qui possède 5 domaines: browserdupdate.biz, browsergupdate.com, browserfupdate.biz, browserxlupdate.com, opera-mini-6.net, pointant tous vers la même page. On peut donc conclure qu'il s'agit proablement d'une opération d'escroquerie destinée au public russe (les "conditions d'utilition" mentionnent une société nommée "Opera Soft" qui n'a aucune existence ...). Mot de la fin: On peut voir que lorsqu'on tente d'installer l'application, celle-ci demande l'autorisation d'envoyer des SMS. Une question se pose alors: pourquoi un navigateur web (ou une appli devant l'installer) aurait besoin d'envoyer un SMS? Il faut donc TOUJOURS vérifier les autorisations des applications. That's all folks ! :þ |
|
10-11-2011, 21h07
Message : #2
|
|
CyberSee
Admin fondateur de N-PN Messages : 1,721 Sujets : 287 Points: 157 Inscription : Jan 2012 |
Reversing de malware android
Wow felicitation pour ton tuto! Rep +20!
Merci du partage |
|
10-11-2011, 21h57
Message : #3
|
|
fr0g
NTEuNDI2MzcsLTEuNzc4NDg4 Messages : 348 Sujets : 22 Points: 56 Inscription : Aug 2011 |
Reversing de malware android
Joli tuto mec +20 rep
|
|
13-02-2018, 00h55
Message : #4
|
|
Lucky12345
Newbie Messages : 12 Sujets : 2 Points: -2 Inscription : Feb 2018 |
RE: Reversing de malware android
Merci pour ce petit cours rapide !
|
|
22-03-2018, 03h20
Message : #5
|
|
ThomasBr
Newbie Messages : 6 Sujets : 2 Points: 1 Inscription : Mar 2018 |
RE: Reversing de malware android
je suis heureux d'etre parmi vous
|
|
Sujets apparemment similaires… | |||||
Sujet | Auteur | Réponses | Affichages | Dernier message | |
Linux reversing ? | fr0g | 3 | 699 |
16-10-2011, 14h02 Dernier message: fr0g |
Utilisateur(s) parcourant ce sujet : 1 visiteur(s)