ANDROID - Inriakharon.gforge.inria.fr/documents/slidesCS2016.pdf · Nombre de malware Android en...

1TITRE DE LA PRÉSENTATION

ANALYSE DE MALWARE ANDROID

Etienne CHARRONLoïc CLOATREMarc MENUGuillaume SAVY

Projet industriel encadré par Valérie VIET TRIEM TONG

2 ANALYSE DE MALWARE ANDROID

Définitions● Analyse de malware: à partir d’un code considéré

comme malveillant, utiliser des méthodes techniques et des procédures afin de déterminer son fonctionnement (déclenchement, mode(s) d’action).

● Androïd: système d’exploitation mobile appartenant à google.


Objectif 1 : Aider au ciblage de code suspect en analysant les malware (déclenchement, fonctionnement, dissimulation).

Objectif 2 : Alimenter une base de données documentée.

Projet KHARON

Techniquement, il s’agit de :


1/ Repérer et forcer l’exécution de code suspect d’une application.

2/ Obtenir une signature comportementale de l’application.

3/ Vérifier si une signature comportementale de malware est incluse dans la signature comportementale de l’application.

PLAN


1/ Contexte.

2/ Méthodologie et analyse.

3/ Les malware étudiés.

4/ Synthèse - problèmes rencontrés.


1/ CONTEXTE

internet des objets

CONTEXTE Les enjeux


● 80% du marché des smartphones.

● Diversifications:- Androïd Auto- Androïd TV- Androïd Wear- Androïd x86

● Logiciel “open source”.

● Support multi-utilisateur => 1 application/utilisateur.

● Cloisonnement des applications.

Sécurité de l’OS● Basé sur un noyau LINUX.

CONTEXTE


Mais un marché alternatif en pleine explosion.

Les applications

CONTEXTE Sécurité des applications

● Nombre de malware Android en constante augmentation.● Présents sur les marchés alternatifs et même le Google play.● Souvent « repackagés » dans des vraies applications.● Développement à la portée de n’importe qui.


● Sécurité amont: google bouncer.● Système de permissions (accès internet, SMS,etc).● Signature des applications (développeurs de

confiance).

Mais

CONTEXTE Motivations


• Vol de données.

• Utilisation de services payants.

• Publicité intempestive.

• Demande de rançon.

• Prise de contrôle à distance.

CONTEXTE Difficultés de rétro-conception


● Déclenchement retardé:− Attente d’une période de temps.− Attente d’un message d’un serveur maître.− Attente d’un évènement dans le système.

● Mais aussi:− Obfuscation (réflexion, renommage, cryptographie).− Code dynamique, code natif.

CONTEXTE Famille de malware


−RAT (Remote Administration Tool).

−Spyware.

−Ransomsware.

−Adware.


2/ Méthodologie et Analyse

MÉTHODOLOGIE


● Etape 1 : recherche de malware.- https://koodous.com/- http://contagiominidump.blogspot.fr/

● Etape 2 : vérification de la virulence.

● Etape 3 : rétro analyse.- A partir du code source de l’application.- Rechercher le mode de déclenchement.

● Etape 4 : analyse dynamique.- En exécutant l’application sur une plateforme de test.

● Etape 5 : alimentation de la base de données.

https://koodous.com/

https://koodous.com/

RÉTRO-CONCEPTIONVirusTotal


source zagruski


RÉTRO-CONCEPTIONDécompiler

Statique:Analyse du Manifest :

− Points d’entrées.− Permission sur le programme.

Analyse du code :− Code Malveillant.− Condition

d’exécution.

Dynamique:Blare.


MÉTHODOLOGIE


3/ Les Malware étudiés

LES MALWARE ETUDIES


Nom Date d’apparition Type

ZAGRUSKI 2013 envoi de SMS surtaxés

FACEBOOK OTP 02/2015 ? banking malware

MAZAR BOT 01/2016 “multi-tâches”

VIDEO PLAYER 2015 rançonware-vol de données

ANDRORAT 01/2016 vol de données + RAT

MINECRAFT 01/2016 vol de données

KEMOGE 01/2016 vol de données + rootkit


FACEBOOK OTP


FACEBOOK OTP

code mal décompilé:


FACEBOOK OTP

classes renommées:


FACEBOOK OTP

variables renommées:

MAZAR BOT

24 ANALYSE DE MALWARE ANDROIDANALYSE DE MALWARE ANDROID

● Couteau suisse pour un hacker potentiel.

● Ne se détecte pas jusqu’à son activation.

● Probablement en version Béta.

● Se présente sous un icône de MMS messaging.

MAZAR BOTpermissions et activités


● Permissions multiples

MAZAR BOTanalyse statique


● Installation d’un proxy pour surveiller le téléphone de la victime:



● Récupération de l’opérateur de l’appareil:

● N’infecte pas les appareils en langue russe:



● contamination de CHROME:

MAZAR BOTanalyse dynamique


● Application téléchargée non installée



● Application installée ⇒ disparition de l’icône



● Apparaît néanmoins dans la liste des apps...



● mais ne peut se désinstaller

VIDEO PLAYER


Descriptions:

● Lecteur vidéo. ● Ransomware & Trojan.

Permissions:

VIDEO PLAYER


● Serveur:

● Ordres:

● Requête:

VIDEO PLAYER

Démonstration de VIDEO PLAYER.



4/ Synthèse Problèmes rencontrés

Classification


● Choix du Malware. ● Taille du Malware.

● Serveur C&C souvent injoignable.

● Code obfusqué.

● Similitude entre les malware: famille.

● Temps haché.41 ANALYSE DE MALWARE ANDROID

SYNTHESE

CONCLUSION

● Comprendre et maîtriser le fonctionnement des applications Androïd.

● Afin de comprendre la méthodologie, rejouer l’analyse du malware Simplocker du rapport de Nicolas Kiss.

● Se faire la main sur un virus simple pour comprendre et intégrer la méthodologie.

● Ne pas commencer par un malware obfusqué.

● Pour les malware obfusqués, prévoir un délai important pour l'analyse statique.

42

Recommandations:


MERCI.

QUESTIONS?

ANDROID - Inriakharon.gforge.inria.fr/documents/slidesCS2016.pdf · Nombre de malware Android en...

Documents

Transcript of ANDROID - Inriakharon.gforge.inria.fr/documents/slidesCS2016.pdf · Nombre de malware Android en...