SHARE

Perangkat Android sudah menjadi salah satu perangkat yang paling laris di dunia dikarenakan OS yang dibuat menjadi open source dan cukup terbilang murah dalam hal harga. Seiring berjalannya waktu Android telah meningkat kualitasnya dalam hal keamanan dan kontrol user tetapi walaupun kemajuan yang cukup signifikan tetap tidak ada jaminan bahwa keamanan dalam aplikasi Android tidak dapat ditembus. Salah satu ancaman yang selalu menghantui sistem komputer yaitu adalah malware (malicious software)

salah satu malware android yang cukup terkenal dalam beberapa tahun ini adalah trojan backdoor trida. malware triada merupakan salah satu malware android yang melakukan rooting secara diam-diam di perangkat yang telah mengunduhnya. bukan hanya saja melakukan rooting data pribadi anda juga dapat diambil oleh malware triada.

bacaan lebih lanjut: Attack on Zygote: a new twist in the evolution of mobile threats

karena tertarik dengan kapabilitas dan kemampuan dari malware triada. pengarang mencoba untuk melakukan reverse engineering dan analisa terhadap malware tersebut.

Dalam melakukan reverse engineering aplikasi “android” kebanyakan orang mungkin sudah nyaman dengan memakai apktool,dex2jar,procyon dan bytecode viewer tetapi sebagai penguji keamanan aplikasi perlunya kita untuk membiasakan diri untuk memakai tools lain agar dapat melakukan perbandingan dengan tools yang telah kita kuasai dan lebih bagus lagi jika kita bisa melakukan pembedahan alat yang kita kuasai agar dapat melakukan modifikasi sesuai dengan selera kita.

Dalam konten berikut saya akan memberikan perkenalan bagaimana melakukan analisa malware android “triada” dengan menggunakan radare2 dan tools alternatif yang lain.

catatan: Dalam konten ini saya hanya memberikan cara analisa yang masih terbilang umum dan semua analisa ini dilakukan dalam operating system ubuntu. analisa yang lebih dalam akan dibahas dalam bagian kedua dan yang terakhir semua konten yang sediakan hanya untuk tujuan pendidikan jika terjadi kerusakan pada perangkat atau sistem bukanlah tanggung jawab dari pengarang, Terima kasih.

untuk mendapatkan salah satu sampel pengarang mendownload sampel malware dari virustotal

tautan: virustotal

jika pembaca tertarik untuk melakukan analisa malware yang lain teman-teman dapat mendownload sampel secara gratis di Koodous

Setelah mendapatkan sampel mari kita lanjut ke analisa. beberapa dari orang memiliki kesulitan untuk bagaimana memulai analisa malware android. Saran dari pengarang untuk memulai adalah dengan menganalisa file AndroidManifest.xml yang ada dalam dalam applikasi android.

AndroidManifest.xml adalah file yang menentukan izin dari aplikasi android yang perlu di akses agar aplikasi bisa berjalan dengan baik. contoh: saat pembaca sedang melakukan pengunduhan dari play store sebelum aplikasi tersebut di install ke dalam perangkat, perangkat android memberi tahukan hal apa saja yang akan diakses oleh aplikasi(external storage, phone, audio, contact,internet dll) semua izin tersebut ditetapkan dalam androidmanifest.xml

dengan menganalisa file androidmanifest.xml kita dapat melihat gambaran besar dan kapabilitas dari sebuah malware tentang apa yang dapat dia akses di perangkat kita.

karena .apk hanyalah sebuah zip file, pembaca dapat melakukan unzip melalui command line

setelah melakukan ekstrak dari zip file, pembaca akan dihadirkan dengan beberapa file dalam folder esktrak. untuk saat ini mari fokus terhadap androidmanifest.xml saja. untuk membuka file tersebut pembaca dapat memakai rafind2 yang merupakan bawaan dari radare2.

seperti dilihat dari hasil kita dapat mendapatkan permission yang ada pada aplikasi.

untuk melakukan analisa seperti (activity,content provider, service dan broadcast receiver) pembaca dapat mengganti parameter seperti dibawah:

  • rafind2 -ZS activity triada/AndroidManifest.xml
  • rafind2 -ZS provider triada/AndroidManifest.xml
  • rafind2 -ZS service triada/AndroidManifest.xml
  • rafind2 -ZS receiver triada/AndroidManifest.xml

Alternatif:

pembaca juga dapat memakai tools lain seperti axml2xml.rb

seperti lihat dari beberapa hasil dari gambar yang telah disediakan, aplikasi yang telah di download memiliki kapabilitas untuk mengakses semua resources dari android. Ciri-ciri ini juga termasuk umum dalam malware android jadi berhati-hati jika pembaca bertemu dengan aplikasi yang meminta resources yang cukup terbilang banyak dari perangkat anda.

setelah mendapatkan gambaran besar terhadap aplikasi malware lanjut dengan menganalisa file classes.dex dalam folder ekstraksi malware. classes.dex merupakan source code dari aplikasi tersebut

perintah “aaa” adalah untuk melakukan analisa otomatis fungsi dari file yang akan dianalisa

  • > icq# enumerasi kelas
  • > iiq # untuk external methods
  • > ic # untuk enumerasi kelas and dan metode
  • > izq # enumerasi string ada dalam file

untuk memudahkan analisa lebih baik hasil dari perintah dapat di seleksi dengan memakai python. radare2 support dengan memakai radare2 jadi pembaca dapat membuat program python untuk melakukan analisa secara otomatis menggunakan library r2pipe

berikut adalah source code yang bisa dipakai untuk melakukan sortir dari hasil radare2, pengarang memilih untuk mengambil class yang berada dalam folder base karena selain dalam direktori tersebut hanya merupakan class dari third party

r2pipe dan analisa source code akan dijelaskan dalam part 2 lebih detail.

alternatif dalam melakukan analisa source code:

pembaca dapat melakukan analisa malware dengan menggunakan utility strings dan grep dengan perintah diatas pengarang mencoba untuk melakukan enumerasi website apa saja yang dikontak oleh aplikasi bisa dilihat dari gambar diatas aplikasi malware triada mencoba untuk mendownload beberapa .apk yang lain untuk membantu melakukan rooting dalam perangkat: rootmasterdemo1128_524.apk dan 300010.apk sayangnya server sudah tidak dapat akses lagi karena tercatat dalam virustotal bahwa dilabel sebagain “known infection source” oleh beberapa vendor antivirus dan memungkinkan sudah di matikan oleh ISP

untuk bagi pembaca yang ingin melakukan analisa otomatis semua diatas dapat mencoba memakai apk anal

tautan: apk anal: Android APK analyzer based on radare2 and others

apk anal menggunakan radare2 dan apktool untuk melakukan analisa secara otomatis

Dengan menggunakan tools apk-anal dapat memudahkan pembaca untuk melakukan analisa malware android. sekian yang saya bisa bagi pada hari ini

Terima kasih

Kritik dan saran dibuka

Berikan komentar

This site uses Akismet to reduce spam. Learn how your comment data is processed.