1TITRE DE LA PRÉSENTATION

ANALYSE DE MALWARE ANDROID

Etienne CHARRONLoïc CLOATREMarc MENUGuillaume SAVY

Projet industriel encadré par Valérie VIET TRIEM TONG

2 ANALYSE DE MALWARE ANDROID

Définitions● Analyse de malware: à partir d’un code considéré

comme malveillant, utiliser des méthodes techniques et des procédures afin de déterminer son fonctionnement (déclenchement, mode(s) d’action).

● Androïd: système d’exploitation mobile appartenant à google.

3 ANALYSE DE MALWARE ANDROID

Objectif 1 : Aider au ciblage de code suspect en analysant les malware (déclenchement, fonctionnement, dissimulation).

Objectif 2 : Alimenter une base de données documentée.

Projet KHARON

Techniquement, il s’agit de :

4 ANALYSE DE MALWARE ANDROID

1/ Repérer et forcer l’exécution de code suspect d’une application.

2/ Obtenir une signature comportementale de l’application.

3/ Vérifier si une signature comportementale de malware est incluse dans la signature comportementale de l’application.

PLAN

5 ANALYSE DE MALWARE ANDROID

1/ Contexte.

2/ Méthodologie et analyse.

3/ Les malware étudiés.

4/ Synthèse - problèmes rencontrés.

6 ANALYSE DE MALWARE ANDROID

1/ CONTEXTE

internet des objets

CONTEXTE Les enjeux

7 ANALYSE DE MALWARE ANDROID

● 80% du marché des smartphones.

● Diversifications:- Androïd Auto- Androïd TV- Androïd Wear- Androïd x86

● Logiciel “open source”.

● Support multi-utilisateur => 1 application/utilisateur.

● Cloisonnement des applications.

Sécurité de l’OS● Basé sur un noyau LINUX.

CONTEXTE

8 ANALYSE DE MALWARE ANDROID

Mais un marché alternatif en pleine explosion.

Les applications

CONTEXTE Sécurité des applications

● Nombre de malware Android en constante augmentation.● Présents sur les marchés alternatifs et même le Google play.● Souvent « repackagés » dans des vraies applications.● Développement à la portée de n’importe qui.

9 ANALYSE DE MALWARE ANDROID

● Sécurité amont: google bouncer.● Système de permissions (accès internet, SMS,etc).● Signature des applications (développeurs de

confiance).

Mais

CONTEXTE Motivations

10 ANALYSE DE MALWARE ANDROID

• Vol de données.

• Utilisation de services payants.

• Publicité intempestive.

• Demande de rançon.

• Prise de contrôle à distance.

CONTEXTE Difficultés de rétro-conception

11 ANALYSE DE MALWARE ANDROID

● Déclenchement retardé:− Attente d’une période de temps.− Attente d’un message d’un serveur maître.− Attente d’un évènement dans le système.

● Mais aussi:− Obfuscation (réflexion, renommage, cryptographie).− Code dynamique, code natif.

CONTEXTE Famille de malware

12 ANALYSE DE MALWARE ANDROID

−RAT (Remote Administration Tool).

−Spyware.

−Ransomsware.

−Adware.

13 ANALYSE DE MALWARE ANDROID

2/ Méthodologie et Analyse

MÉTHODOLOGIE

14 ANALYSE DE MALWARE ANDROID

● Etape 1 : recherche de malware.- https://koodous.com/- http://contagiominidump.blogspot.fr/

● Etape 2 : vérification de la virulence.

● Etape 3 : rétro analyse.- A partir du code source de l’application.- Rechercher le mode de déclenchement.

● Etape 4 : analyse dynamique.- En exécutant l’application sur une plateforme de test.

● Etape 5 : alimentation de la base de données.

RÉTRO-CONCEPTIONVirusTotal

15 ANALYSE DE MALWARE ANDROID

source zagruski

16 ANALYSE DE MALWARE ANDROID

RÉTRO-CONCEPTIONDécompiler

Statique:Analyse du Manifest :

− Points d’entrées.− Permission sur le programme.

Analyse du code :− Code Malveillant.− Condition

d’exécution.

Dynamique:Blare.

17 ANALYSE DE MALWARE ANDROID

MÉTHODOLOGIE

18 ANALYSE DE MALWARE ANDROID

3/ Les Malware étudiés

LES MALWARE ETUDIES

19 ANALYSE DE MALWARE ANDROID

Nom Date d’apparition Type

ZAGRUSKI 2013 envoi de SMS surtaxés

FACEBOOK OTP 02/2015 ? banking malware

MAZAR BOT 01/2016 “multi-tâches”

VIDEO PLAYER 2015 rançonware-vol de données

ANDRORAT 01/2016 vol de données + RAT

MINECRAFT 01/2016 vol de données

KEMOGE 01/2016 vol de données + rootkit

20 ANALYSE DE MALWARE ANDROID

FACEBOOK OTP

21 ANALYSE DE MALWARE ANDROID

FACEBOOK OTP

code mal décompilé:

22 ANALYSE DE MALWARE ANDROID

FACEBOOK OTP

classes renommées:

23 ANALYSE DE MALWARE ANDROID

FACEBOOK OTP

variables renommées:

MAZAR BOT

24 ANALYSE DE MALWARE ANDROIDANALYSE DE MALWARE ANDROID

● Couteau suisse pour un hacker potentiel.

● Ne se détecte pas jusqu’à son activation.

● Probablement en version Béta.

● Se présente sous un icône de MMS messaging.

MAZAR BOTpermissions et activités

25 ANALYSE DE MALWARE ANDROIDANALYSE DE MALWARE ANDROID

● Permissions multiples

MAZAR BOTanalyse statique

26 ANALYSE DE MALWARE ANDROIDANALYSE DE MALWARE ANDROID

● Installation d’un proxy pour surveiller le téléphone de la victime:

MAZAR BOTanalyse statique

27 ANALYSE DE MALWARE ANDROIDANALYSE DE MALWARE ANDROID

● Récupération de l’opérateur de l’appareil:

● N’infecte pas les appareils en langue russe:

MAZAR BOTanalyse statique

28 ANALYSE DE MALWARE ANDROIDANALYSE DE MALWARE ANDROID

● contamination de CHROME:

MAZAR BOTanalyse dynamique

29 ANALYSE DE MALWARE ANDROIDANALYSE DE MALWARE ANDROID

● Application téléchargée non installée

MAZAR BOTanalyse dynamique

30 ANALYSE DE MALWARE ANDROIDANALYSE DE MALWARE ANDROID

● Application installée ⇒ disparition de l’icône

MAZAR BOTanalyse dynamique

31 ANALYSE DE MALWARE ANDROIDANALYSE DE MALWARE ANDROID

● Apparaît néanmoins dans la liste des apps...

MAZAR BOTanalyse dynamique

32 ANALYSE DE MALWARE ANDROIDANALYSE DE MALWARE ANDROID

● mais ne peut se désinstaller

MAZAR BOTanalyse dynamique

33 ANALYSE DE MALWARE ANDROIDANALYSE DE MALWARE ANDROID

VIDEO PLAYER

34 ANALYSE DE MALWARE ANDROID

Descriptions:

● Lecteur vidéo. ● Ransomware & Trojan.

Permissions:

VIDEO PLAYER

35 ANALYSE DE MALWARE ANDROID

● Serveur:

● Ordres:

● Requête:

VIDEO PLAYER

Démonstration de VIDEO PLAYER.

36 ANALYSE DE MALWARE ANDROID

37 ANALYSE DE MALWARE ANDROID

4/ Synthèse Problèmes rencontrés

Classification

38 ANALYSE DE MALWARE ANDROID

Classification

39 ANALYSE DE MALWARE ANDROID

Classification

40 ANALYSE DE MALWARE ANDROID

● Choix du Malware. ● Taille du Malware.

● Serveur C&C souvent injoignable.

● Code obfusqué.

● Similitude entre les malware: famille.

● Temps haché.41 ANALYSE DE MALWARE ANDROID

SYNTHESE

CONCLUSION

● Comprendre et maîtriser le fonctionnement des applications Androïd.

● Afin de comprendre la méthodologie, rejouer l’analyse du malware Simplocker du rapport de Nicolas Kiss.

● Se faire la main sur un virus simple pour comprendre et intégrer la méthodologie.

● Ne pas commencer par un malware obfusqué.

● Pour les malware obfusqués, prévoir un délai important pour l'analyse statique.

42

Recommandations:

43 ANALYSE DE MALWARE ANDROID

MERCI.

QUESTIONS?