ANDROID - Inriakharon.gforge.inria.fr/documents/slidesCS2016.pdf · Nombre de malware Android en...
Transcript of ANDROID - Inriakharon.gforge.inria.fr/documents/slidesCS2016.pdf · Nombre de malware Android en...
1TITRE DE LA PRÉSENTATION
ANALYSE DE MALWARE ANDROID
Etienne CHARRONLoïc CLOATREMarc MENUGuillaume SAVY
Projet industriel encadré par Valérie VIET TRIEM TONG
2 ANALYSE DE MALWARE ANDROID
Définitions● Analyse de malware: à partir d’un code considéré
comme malveillant, utiliser des méthodes techniques et des procédures afin de déterminer son fonctionnement (déclenchement, mode(s) d’action).
● Androïd: système d’exploitation mobile appartenant à google.
3 ANALYSE DE MALWARE ANDROID
Objectif 1 : Aider au ciblage de code suspect en analysant les malware (déclenchement, fonctionnement, dissimulation).
Objectif 2 : Alimenter une base de données documentée.
Projet KHARON
Techniquement, il s’agit de :
4 ANALYSE DE MALWARE ANDROID
1/ Repérer et forcer l’exécution de code suspect d’une application.
2/ Obtenir une signature comportementale de l’application.
3/ Vérifier si une signature comportementale de malware est incluse dans la signature comportementale de l’application.
PLAN
5 ANALYSE DE MALWARE ANDROID
1/ Contexte.
2/ Méthodologie et analyse.
3/ Les malware étudiés.
4/ Synthèse - problèmes rencontrés.
6 ANALYSE DE MALWARE ANDROID
1/ CONTEXTE
internet des objets
CONTEXTE Les enjeux
7 ANALYSE DE MALWARE ANDROID
● 80% du marché des smartphones.
● Diversifications:- Androïd Auto- Androïd TV- Androïd Wear- Androïd x86
● Logiciel “open source”.
● Support multi-utilisateur => 1 application/utilisateur.
● Cloisonnement des applications.
Sécurité de l’OS● Basé sur un noyau LINUX.
CONTEXTE
8 ANALYSE DE MALWARE ANDROID
Mais un marché alternatif en pleine explosion.
Les applications
CONTEXTE Sécurité des applications
● Nombre de malware Android en constante augmentation.● Présents sur les marchés alternatifs et même le Google play.● Souvent « repackagés » dans des vraies applications.● Développement à la portée de n’importe qui.
9 ANALYSE DE MALWARE ANDROID
● Sécurité amont: google bouncer.● Système de permissions (accès internet, SMS,etc).● Signature des applications (développeurs de
confiance).
Mais
CONTEXTE Motivations
10 ANALYSE DE MALWARE ANDROID
• Vol de données.
• Utilisation de services payants.
• Publicité intempestive.
• Demande de rançon.
• Prise de contrôle à distance.
CONTEXTE Difficultés de rétro-conception
11 ANALYSE DE MALWARE ANDROID
● Déclenchement retardé:− Attente d’une période de temps.− Attente d’un message d’un serveur maître.− Attente d’un évènement dans le système.
● Mais aussi:− Obfuscation (réflexion, renommage, cryptographie).− Code dynamique, code natif.
CONTEXTE Famille de malware
12 ANALYSE DE MALWARE ANDROID
−RAT (Remote Administration Tool).
−Spyware.
−Ransomsware.
−Adware.
13 ANALYSE DE MALWARE ANDROID
2/ Méthodologie et Analyse
MÉTHODOLOGIE
14 ANALYSE DE MALWARE ANDROID
● Etape 1 : recherche de malware.- https://koodous.com/- http://contagiominidump.blogspot.fr/
● Etape 2 : vérification de la virulence.
● Etape 3 : rétro analyse.- A partir du code source de l’application.- Rechercher le mode de déclenchement.
● Etape 4 : analyse dynamique.- En exécutant l’application sur une plateforme de test.
● Etape 5 : alimentation de la base de données.
RÉTRO-CONCEPTIONVirusTotal
15 ANALYSE DE MALWARE ANDROID
source zagruski
16 ANALYSE DE MALWARE ANDROID
RÉTRO-CONCEPTIONDécompiler
Statique:Analyse du Manifest :
− Points d’entrées.− Permission sur le programme.
Analyse du code :− Code Malveillant.− Condition
d’exécution.
Dynamique:Blare.
17 ANALYSE DE MALWARE ANDROID
MÉTHODOLOGIE
18 ANALYSE DE MALWARE ANDROID
3/ Les Malware étudiés
LES MALWARE ETUDIES
19 ANALYSE DE MALWARE ANDROID
Nom Date d’apparition Type
ZAGRUSKI 2013 envoi de SMS surtaxés
FACEBOOK OTP 02/2015 ? banking malware
MAZAR BOT 01/2016 “multi-tâches”
VIDEO PLAYER 2015 rançonware-vol de données
ANDRORAT 01/2016 vol de données + RAT
MINECRAFT 01/2016 vol de données
KEMOGE 01/2016 vol de données + rootkit
20 ANALYSE DE MALWARE ANDROID
FACEBOOK OTP
21 ANALYSE DE MALWARE ANDROID
FACEBOOK OTP
code mal décompilé:
22 ANALYSE DE MALWARE ANDROID
FACEBOOK OTP
classes renommées:
23 ANALYSE DE MALWARE ANDROID
FACEBOOK OTP
variables renommées:
MAZAR BOT
24 ANALYSE DE MALWARE ANDROIDANALYSE DE MALWARE ANDROID
● Couteau suisse pour un hacker potentiel.
● Ne se détecte pas jusqu’à son activation.
● Probablement en version Béta.
● Se présente sous un icône de MMS messaging.
MAZAR BOTpermissions et activités
25 ANALYSE DE MALWARE ANDROIDANALYSE DE MALWARE ANDROID
● Permissions multiples
MAZAR BOTanalyse statique
26 ANALYSE DE MALWARE ANDROIDANALYSE DE MALWARE ANDROID
● Installation d’un proxy pour surveiller le téléphone de la victime:
MAZAR BOTanalyse statique
27 ANALYSE DE MALWARE ANDROIDANALYSE DE MALWARE ANDROID
● Récupération de l’opérateur de l’appareil:
● N’infecte pas les appareils en langue russe:
MAZAR BOTanalyse statique
28 ANALYSE DE MALWARE ANDROIDANALYSE DE MALWARE ANDROID
● contamination de CHROME:
MAZAR BOTanalyse dynamique
29 ANALYSE DE MALWARE ANDROIDANALYSE DE MALWARE ANDROID
● Application téléchargée non installée
MAZAR BOTanalyse dynamique
30 ANALYSE DE MALWARE ANDROIDANALYSE DE MALWARE ANDROID
● Application installée ⇒ disparition de l’icône
MAZAR BOTanalyse dynamique
31 ANALYSE DE MALWARE ANDROIDANALYSE DE MALWARE ANDROID
● Apparaît néanmoins dans la liste des apps...
MAZAR BOTanalyse dynamique
32 ANALYSE DE MALWARE ANDROIDANALYSE DE MALWARE ANDROID
● mais ne peut se désinstaller
MAZAR BOTanalyse dynamique
33 ANALYSE DE MALWARE ANDROIDANALYSE DE MALWARE ANDROID
VIDEO PLAYER
34 ANALYSE DE MALWARE ANDROID
Descriptions:
● Lecteur vidéo. ● Ransomware & Trojan.
Permissions:
VIDEO PLAYER
35 ANALYSE DE MALWARE ANDROID
● Serveur:
● Ordres:
● Requête:
VIDEO PLAYER
Démonstration de VIDEO PLAYER.
36 ANALYSE DE MALWARE ANDROID
37 ANALYSE DE MALWARE ANDROID
4/ Synthèse Problèmes rencontrés
Classification
38 ANALYSE DE MALWARE ANDROID
Classification
39 ANALYSE DE MALWARE ANDROID
Classification
40 ANALYSE DE MALWARE ANDROID
● Choix du Malware. ● Taille du Malware.
● Serveur C&C souvent injoignable.
● Code obfusqué.
● Similitude entre les malware: famille.
● Temps haché.41 ANALYSE DE MALWARE ANDROID
SYNTHESE
CONCLUSION
● Comprendre et maîtriser le fonctionnement des applications Androïd.
● Afin de comprendre la méthodologie, rejouer l’analyse du malware Simplocker du rapport de Nicolas Kiss.
● Se faire la main sur un virus simple pour comprendre et intégrer la méthodologie.
● Ne pas commencer par un malware obfusqué.
● Pour les malware obfusqués, prévoir un délai important pour l'analyse statique.
42
Recommandations:
43 ANALYSE DE MALWARE ANDROID
MERCI.
QUESTIONS?