Mobilní malware na platformě Android Přednáška 1. Ing. Milan Oulehla

Rozměr: px

Začít zobrazení ze stránky:

Download "Mobilní malware na platformě Android Přednáška 1. Ing. Milan Oulehla"

Břetislav Beránek
před 8 lety
Počet zobrazení:

1 Mobilní malware na platformě Android Přednáška 1 Ing. Milan Oulehla

3 Úvod 1 Informace o přednášce: odhalení bezpečnostních chyb na základě vlastního výzkumu: systémové dokumentace studia bezpečnostních mechanismů

4 Úvod 2

5 Úvod 3 Informace o přednášce: o technikách, které používají tvůrci mobilního malware: Bezpečnost živý organismus Vytvoření vlastních zdrojových kódů Replikace postupů

6 APK infekce 1 APK repackage legitimní (placené) aplikace: Dekopilace Vložení malware kódu (Smali) Opětovný buit aplikace Fileshare servery Omezení této techniky Nástroje: Dex2Jar, JD-GUI, Apktool, Virtuous Ten Studio

Opětovný buit aplikace Fileshare servery Omezení této

7 APK infekce 2

8 APK infekce 3 Intruder APK (trojan) Legitimní a nelegitimní část Je zadarmo Něco za něco např. tvůrce malware nabídne hru, ale ta vykrádá kontakty pro spamovou databázi, analytická data pro cílenou reklamu Forma knihoven, JAR souborů opětovné použití Softwarová tržiště třetích stran Google Play Fileshare servery

tvůrce malware nabídne hru, ale ta vykrádá kontakty pro spamovou databázi,

9 APK infekce 4 Hidden APK 1 Často využívá BroadcastReceiver Používá maskovací mechanismy Dvě verze: A, Pro Android a nižší Evil Applications B, Pro Android 3.0 a vyšší povinné svázání BroadcastReceiveru a Aktivity

10 APK infekce 5 Hidden APK 2 - Evil Application Aplikace je tvořena pouze BroadcastReceiverem Reakce na události Malware kód, který na ně reaguje v metodě onreceive()

11 APK infekce 6 Hidden APK 3 - Evil Application Maskování: V souboru AndroidManifest.xml file lze editovat parametr: android: label = "@string/app_name" pomocí.../res/values/strings.xml: <string name = "app_name">our Malware Name</string> <string name="app_name">google Service Setup</string>

xml file lze editovat parametr: android: label = "@string/app_name"

12 APK infekce 7 Hidden APK 4 - Evil Application Android nekontroluje hodnotu parametru app_name! => může tam být cokoliv Existuje "Google Services Framework" Vymyšlené "Google Services Setup" Google 16,200 výsledků (v době vytvoření malware)

13 APK infekce 8 Hidden APK 5 - Evil Application Změna ikony malware aplikace na systémovou z.../sdk/samples/... Výsledek:

14 APK infekce 9 Hidden APK 6 - Evil Application Pokud je aplikace tvořena pouze BroadcastReceiverem:

15 APK infekce 10 Hidden APK 7 - Evil Application Pokud je aplikace tvořena pouze BroadcastReceiverem: Je spuštěna automaticky, jakmile nastane sledovaná událost => malware nepotřebuje ani <uses-permission android:name="android.permission.receive_boot _COMPLETED"/>

jakmile nastane sledovaná událost => malware nepotřebuje ani

16 APK infekce 11 Hidden APK 8 - Evil Application Pokud aplikace je aplikace tvořena pouze BroadcastReceiverem: Neobjeví se v ikonovém seznamu aplikací (po stisku tlačítka Apps) Objeví se pouze v seznamu naistalovaných aplikací (Settings -> Applications -> Manage applications -> List of installed applications)

(po stisku tlačítka Apps) Objeví se pouze v seznamu naistalovaných aplikací

17 APK infekce 12 Hidden APK 9 (with Activity) Také využívá BroadcastReceiver Je svázaný s Activity => musí používat maskovací mechanismy

18 APK infekce 13 Hidden APK 10 (with Activity) Úprava.../res/values/styles.xml

19 APK infekce 14 Hidden APK 11 (with Activity) Úprava XML souboru (layout) popisujícího GUI prvky Activity: Odstranit všechny elementy UI jako např. TextView z XML layout souboru Ponechat pouze základní element, který popisuje samotný layout např. RelativeLayout

20 APK infekce 15 Hidden APK 12 (with Activity) The display freeze fix: Popis problému Zavolat finish() z onresume() Neviditelné probliknutí

21 APK infekce 16 Hidden APK 13 (with Activity) Manipulace parametru v.../res/values/strings.xml: <string name="app_name"></string> <string name="app_name"> </string> <string name="app_name"> </string>

22 APK infekce 17 Hidden APK 14 (with Activity) Nahrazení standartních ikon aplikace průhlednými PNG obrázky. V adresářích:.../res/drawable-hdpi.../res/drawable-mdpi.../res/drawable-xhdpi.../res/drawable-xxhdpi

23 APK infekce 18 Hidden APK 15 (with Activity)

24 APK infekce 19 Hidden APK 16 (with Activity) výsledek:

25 Google Bouncer Google Play Investigation into Google Play security mechanisms via experimental botnet

26 Webová infekce 1 1, <body onload="myonload()"> 2, JavaScript function myonload () { var ua = navigator.useragent.tolowercase(); var isandroid = ua.indexof("android") > -1; //&& ua.indexof("mobile"); if(isandroid) { window.location.href = ' } else { // JINE OS } }

27 Webová infekce 2

28 Webová infekce 3

29 Zneužití activity-alias 1 Úprava AndroidManifest.xml: Potlačení původní ikony v Apps programs Přidání elementu activity-alias

30 Zneužití activity-alias 2 Spuštění škodlivého kódu

31 Zneužití JavaScriptu ve WebView 1 www stránka se škodlivým kódem napadený www server 1 2 Aplikace s WebView 3

32 Zneužití JavaScriptu ve WebView 2 Video ukázka: 28_Video- WebView_JavaScript_part2 Video ukázka: 27_Video- WebView_JavaScript_part1

33 Skrytá realizace DDoS pomocí vlákna na pozadí AndroidVideoPlayer 1 Přehrávání videa Přechod na pozadí 1 DoItInBackground DDoS Video ukázka: 29_Video-DDoS_separate_thread

34 Jak poznat škodlivé Intenty 1 Secure inter-process communication Každá Android aplikace má přiřazeno jedinečné UID a každá musí běžet jako samostatný proces. Procesy aplikací spolu nemohou komunikovat přímo, ale musí použít prostředníka, např: Intents Network sockets atd.

35 Jak poznat škodlivé Intenty 2 Video ukázka: 3_Video-Intent1-suspicious Trigger Is screen locked? yes Do something malicious no

36 Jak poznat škodlivé Intenty 3 Aplikace spolupracuje s uživatelem Aplikace začne akci a uživatel ji dokončí Vývody tohoto přístupu Aplikace nemusí žádat s oprávnění pro tyto akce Uživatel používá standartní uživatelské komponenty, které zná a umí je ovládat Zpátky je možné dostat výsledek akce: startactivityforresult(intent, 1);

37 Jak poznat škodlivé Intenty 4 Podezřelá nebo špatně napsaná aplikace: Normální, správně napsaná aplikace: Lze získat i výsledek interakce s uživatelem pomocí: startactivityforresult

38 Jak poznat škodlivé Intenty 5 Podezřelá nebo špatně napsaná aplikace:

39 Jak poznat škodlivé Intenty 6 Normální, správně napsaná aplikace: Nepotřebuje žádná oprávnění akci (přístup k chráněným prostředkům) dokončí se spoluúčastí uživatele

40 Třídy Android Malware 1 Malware, který útočí na uživatelské aplikace: Krádeže citlivých uživatelský dat (např. textová komunikace instant messenger aplikace). Krádeže aplikačních dat část kombinovaného útoku (např. master password - internet banking aplikací). Zneužití bezpečnostních chyb v aplikacích (např. chyba, která umožní posílat spam přes alternativního ového klienta).

41 Třídy Android Malware 2 Malware, který útočí na chyby v OS Malware, který útočí na chyby v HW Malware, který využívá metod sociálního inženýrství. Napálení uživatele, příklad dekrementace counteru

42 Útok na aplikaci 1

43 Útok na aplikaci 2

44 Útok na aplikaci 3

45 Útok na aplikaci 4

46 Útok na aplikaci 5 I. Statická část Hledání řetězců Řetězce http a https uvést příklad české firmy Zapomenuté Stringy obsahující loginy a hesla z fáze ladění aplikace (Administrátorská úroveň Uživatelská úroveň) Video ukázka: 6_Video-StringDigging-Address

47 Útok na aplikaci 6 Online dekompilace AKP např. pomocí: Dekompilace AKP např. pomocí: Dex2jar a JD-GUI, Virtuous Ten Studio, APKTool

48 Útok na aplikaci 7

49 Útok na aplikaci 8 II. Dynamická část Stažená APK aplikace je útočníky nainstalována do: emulátoru rootnutého telefonu To znamená s právy superuživatele!

50 Útok na aplikaci 9

51 Útok na aplikaci 10 Video ukázka: 17_Video-Zachytavani_logu_pomoci_logcat

52 Děkuji Vám za pozornost.

Podobné dokumenty

Mobilní malware na platformě Android Přednáška 2. Ing. Milan Oulehla

Mobilní malware na platformě Android Přednáška 2 Ing. Milan Oulehla Úvod Informace o technikách, které používají tvůrci mobilního malware: Bezpečnostní chyby se mění v čase Vytvoření vlastních zdrojových