Những ứng dụng chạy trên các thiết bị Android phải đối mặt với nhiều mối nguy mất an toàn dữ liệu. Và thủ phạm lợi dụng những lỗ hổng bảo mật để đánh cắp dữ liệu của chúng ta chính là các ứng dụng độc hại, những Android malware.
Trong bài này, mình sẽ phân tích một vài mẫu Android Malware xuất hiện khá lâu rồi, cụ thể là các mẫu SMSware thuộc họ fakenotify. Qua đó chúng ta có thể thấy một số cách các ứng dụng độc hại xâm nhập được vào thiết bị di động của mình.
Công cụ sử dụng:
Các mẫu malware:
Cài đặt AndroPyTool
B1: Tiến hành cài đặt theo hướng dẫn trên Github của AndroPyTool.
B2: Xóa các file trong thư mục AndroPyTool/DroidBox_AndroPyTool/images
B3: Tải các file ramdisk.img và system.img tại đây, sau đó giải nén vào AndroPyTool/DroidBox_AndroPyTool/images
Như vậy là chúng ta có thể sử dụng AndroPyTool để phân tích tự tộng các mẫu Android malware rồi. Cách chạy tool
Chú ý: khi chạy AndroPyTool nếu terminal liên tục báo boot not complete thì đừng vội tắt đi luôn. Hãy đợi 1 lúc, và tools sẽ chạy bình thường.
Phân tích
AndroPyTool
Sau khi chạy tool với mẫu 5e0da2476bb8ab81281bb61edfc84e18.apk chúng ta sẽ có được một file json dạng như sau (đã lược bớt hầu hết thông tin):
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 | <span class="token punctuation">{</span> <span class="token string">"Pre_static_analysis"</span><span class="token operator">:</span> <span class="token punctuation">{</span> <span class="token string">"Filename"</span><span class="token operator">:</span> <span class="token string">"MW/5e0da2476bb8ab81281bb61edfc84e18.apk"</span><span class="token punctuation">,</span> <span class="token string">"md5"</span><span class="token operator">:</span> <span class="token string">"5e0da2476bb8ab81281bb61edfc84e18"</span><span class="token punctuation">,</span> <span class="token string">"sha256"</span><span class="token operator">:</span> <span class="token string">"fa8cec0e8927c172c84e343797921bf63bf183896bdf913fe41a810263d89a6e"</span><span class="token punctuation">,</span> <span class="token string">"sha1"</span><span class="token operator">:</span> <span class="token string">"05966c6c24c48bc5a4fe56eb76283fef2224e0f5"</span><span class="token punctuation">,</span> <span class="token string">"VT_positives"</span><span class="token operator">:</span> <span class="token number">35</span><span class="token punctuation">,</span> <span class="token string">"VT_engines"</span><span class="token operator">:</span> <span class="token number">62</span><span class="token punctuation">,</span> <span class="token string">"avclass"</span><span class="token operator">:</span> <span class="token string">"trojan"</span> <span class="token punctuation">}</span><span class="token punctuation">,</span> <span class="token string">"Static_analysis"</span><span class="token operator">:</span> <span class="token punctuation">{</span> <span class="token string">"Package name"</span><span class="token operator">:</span> <span class="token string">"ad.notify1"</span><span class="token punctuation">,</span> <span class="token string">"Permissions"</span><span class="token operator">:</span> <span class="token punctuation">[</span> <span class="token string">"android.permission.READ_PHONE_STATE"</span><span class="token punctuation">,</span> <span class="token string">"android.permission.ACCESS_NETWORK_STATE"</span><span class="token punctuation">,</span> <span class="token string">"android.permission.SEND_SMS"</span><span class="token punctuation">,</span> <span class="token string">"android.permission.INTERNET"</span><span class="token punctuation">,</span> <span class="token string">"android.permission.WRITE_EXTERNAL_STORAGE"</span><span class="token punctuation">,</span> <span class="token string">"android.permission.INSTALL_PACKAGES"</span><span class="token punctuation">,</span> <span class="token string">"android.permission.DELETE_PACKAGES"</span> <span class="token punctuation">]</span><span class="token punctuation">,</span> <span class="token string">"Opcodes"</span><span class="token operator">:</span> <span class="token punctuation">{</span> <span class="token string">"array-length"</span><span class="token operator">:</span> <span class="token number">18</span><span class="token punctuation">,</span> <span class="token operator">...</span><span class="token punctuation">.</span> <span class="token punctuation">}</span><span class="token punctuation">,</span> <span class="token string">"Main activity"</span><span class="token operator">:</span> <span class="token string">"ad.notify.OperaUpdaterActivity"</span><span class="token punctuation">,</span> <span class="token string">"API calls"</span><span class="token operator">:</span> <span class="token punctuation">{</span> <span class="token string">"android.app.AlarmManager"</span><span class="token operator">:</span> <span class="token number">1</span><span class="token punctuation">,</span> <span class="token operator">...</span><span class="token punctuation">.</span> <span class="token punctuation">}</span><span class="token punctuation">,</span> <span class="token string">"Strings"</span><span class="token operator">:</span> <span class="token punctuation">{</span> <span class="token string">"RepeatingAlarmService START !!!)"</span><span class="token operator">:</span> <span class="token number">1</span><span class="token punctuation">,</span> <span class="token operator">...</span><span class="token punctuation">.</span> <span class="token punctuation">}</span><span class="token punctuation">,</span> <span class="token string">"API packages"</span><span class="token operator">:</span> <span class="token punctuation">{</span> <span class="token string">"android.app"</span><span class="token operator">:</span> <span class="token number">13</span><span class="token punctuation">,</span> <span class="token operator">...</span><span class="token punctuation">.</span> <span class="token punctuation">}</span><span class="token punctuation">,</span> <span class="token string">"System commands"</span><span class="token operator">:</span> <span class="token punctuation">{</span> <span class="token string">"id"</span><span class="token operator">:</span> <span class="token number">2</span> <span class="token punctuation">}</span><span class="token punctuation">,</span> <span class="token string">"Intents"</span><span class="token operator">:</span> <span class="token punctuation">{</span> <span class="token string">"android.intent.action.PHONE_STATE"</span><span class="token operator">:</span> <span class="token number">1</span><span class="token punctuation">,</span> <span class="token string">"android.intent.action.MAIN"</span><span class="token operator">:</span> <span class="token number">1</span><span class="token punctuation">,</span> <span class="token string">"android.intent.action.USER_PRESENT"</span><span class="token operator">:</span> <span class="token number">1</span><span class="token punctuation">,</span> <span class="token string">"android.intent.action.BOOT_COMPLETED"</span><span class="token operator">:</span> <span class="token number">1</span> <span class="token punctuation">}</span><span class="token punctuation">,</span> <span class="token string">"Activities"</span><span class="token operator">:</span> <span class="token punctuation">{</span> <span class="token string">"ad.notify.OperaUpdaterActivity"</span><span class="token operator">:</span> <span class="token punctuation">[</span> <span class="token string">"android.intent.action.MAIN"</span> <span class="token punctuation">]</span><span class="token punctuation">,</span> <span class="token string">"ad.notify.NotificationActivity"</span><span class="token operator">:</span> <span class="token punctuation">[</span><span class="token punctuation">]</span> <span class="token punctuation">}</span><span class="token punctuation">,</span> <span class="token string">"Services"</span><span class="token operator">:</span> <span class="token punctuation">{</span> <span class="token string">"ad.notify.NotificationService"</span><span class="token operator">:</span> <span class="token punctuation">[</span><span class="token punctuation">]</span> <span class="token punctuation">}</span><span class="token punctuation">,</span> <span class="token string">"Receivers"</span><span class="token operator">:</span> <span class="token punctuation">{</span> <span class="token string">"ad.notify.RepeatingAlarmService"</span><span class="token operator">:</span> <span class="token punctuation">[</span><span class="token punctuation">]</span><span class="token punctuation">,</span> <span class="token string">"ad.notify.AutorunBroadcastReceiver"</span><span class="token operator">:</span> <span class="token punctuation">[</span> <span class="token string">"android.intent.action.PHONE_STATE"</span><span class="token punctuation">,</span> <span class="token string">"android.intent.action.USER_PRESENT"</span><span class="token punctuation">,</span> <span class="token string">"android.intent.action.BOOT_COMPLETED"</span> <span class="token punctuation">]</span> <span class="token punctuation">}</span><span class="token punctuation">,</span> <span class="token string">"FlowDroid"</span><span class="token operator">:</span> <span class="token punctuation">{</span> <span class="token string">"SMS_MMS"</span><span class="token operator">:</span> <span class="token punctuation">{</span> <span class="token string">"SMS_MMS"</span><span class="token operator">:</span> <span class="token number">0</span><span class="token punctuation">,</span> <span class="token string">"FILE_INFORMATION"</span><span class="token operator">:</span> <span class="token number">0</span><span class="token punctuation">,</span> <span class="token string">"UNIQUE_IDENTIFIER"</span><span class="token operator">:</span> <span class="token number">0</span><span class="token punctuation">,</span> <span class="token string">"FILE"</span><span class="token operator">:</span> <span class="token number">0</span><span class="token punctuation">,</span> <span class="token string">"SYNCHRONIZATION_DATA"</span><span class="token operator">:</span> <span class="token number">0</span><span class="token punctuation">,</span> <span class="token string">"BLUETOOTH_INFORMATION"</span><span class="token operator">:</span> <span class="token number">0</span><span class="token punctuation">,</span> <span class="token string">"EMAIL"</span><span class="token operator">:</span> <span class="token number">0</span><span class="token punctuation">,</span> <span class="token string">"VOIP"</span><span class="token operator">:</span> <span class="token number">0</span><span class="token punctuation">,</span> <span class="token string">"LOG"</span><span class="token operator">:</span> <span class="token number">0</span><span class="token punctuation">,</span> <span class="token string">"IMAGE"</span><span class="token operator">:</span> <span class="token number">0</span><span class="token punctuation">,</span> <span class="token string">"DATABASE_INFORMATION"</span><span class="token operator">:</span> <span class="token number">0</span><span class="token punctuation">,</span> <span class="token string">"ACCOUNT_SETTINGS"</span><span class="token operator">:</span> <span class="token number">0</span><span class="token punctuation">,</span> <span class="token string">"VIDEO"</span><span class="token operator">:</span> <span class="token number">0</span><span class="token punctuation">,</span> <span class="token string">"PHONE_CONNECTION"</span><span class="token operator">:</span> <span class="token number">0</span><span class="token punctuation">,</span> <span class="token string">"CALENDAR_INFORMATION"</span><span class="token operator">:</span> <span class="token number">0</span><span class="token punctuation">,</span> <span class="token string">"WIDGET"</span><span class="token operator">:</span> <span class="token number">0</span><span class="token punctuation">,</span> <span class="token string">"NFC"</span><span class="token operator">:</span> <span class="token number">0</span><span class="token punctuation">,</span> <span class="token string">"LOCATION_INFORMATION"</span><span class="token operator">:</span> <span class="token number">0</span><span class="token punctuation">,</span> <span class="token string">"BUNDLE"</span><span class="token operator">:</span> <span class="token number">0</span><span class="token punctuation">,</span> <span class="token string">"BROWSER_INFORMATION"</span><span class="token operator">:</span> <span class="token number">0</span><span class="token punctuation">,</span> <span class="token string">"SYSTEM_SETTINGS"</span><span class="token operator">:</span> <span class="token number">0</span><span class="token punctuation">,</span> <span class="token string">"AUDIO"</span><span class="token operator">:</span> <span class="token number">0</span><span class="token punctuation">,</span> <span class="token string">"PHONE_STATE"</span><span class="token operator">:</span> <span class="token number">0</span><span class="token punctuation">,</span> <span class="token string">"IPC"</span><span class="token operator">:</span> <span class="token number">0</span><span class="token punctuation">,</span> <span class="token string">"NOT_EXISTING"</span><span class="token operator">:</span> <span class="token number">0</span><span class="token punctuation">,</span> <span class="token string">"ACCOUNT_INFORMATION"</span><span class="token operator">:</span> <span class="token number">0</span><span class="token punctuation">,</span> <span class="token string">"BLUETOOTH"</span><span class="token operator">:</span> <span class="token number">0</span><span class="token punctuation">,</span> <span class="token string">"CONTACT_INFORMATION"</span><span class="token operator">:</span> <span class="token number">0</span><span class="token punctuation">,</span> <span class="token string">"NO_CATEGORY"</span><span class="token operator">:</span> <span class="token number">0</span><span class="token punctuation">,</span> <span class="token string">"NETWORK_INFORMATION"</span><span class="token operator">:</span> <span class="token number">0</span><span class="token punctuation">,</span> <span class="token string">"NETWORK"</span><span class="token operator">:</span> <span class="token number">0</span> <span class="token punctuation">}</span><span class="token punctuation">,</span> <span class="token operator">...</span><span class="token punctuation">.</span> <span class="token punctuation">}</span> <span class="token punctuation">}</span><span class="token punctuation">,</span> <span class="token string">"Dynamic_analysis"</span><span class="token operator">:</span> <span class="token punctuation">{</span> <span class="token string">"Droidbox"</span><span class="token operator">:</span> <span class="token punctuation">{</span> <span class="token string">"apkName"</span><span class="token operator">:</span> <span class="token string">"/home/vmbear/Downloads/apk/samples//MW/5e0da2476bb8ab81281bb61edfc84e18.apk"</span><span class="token punctuation">,</span> <span class="token string">"enfperm"</span><span class="token operator">:</span> <span class="token punctuation">[</span><span class="token punctuation">]</span><span class="token punctuation">,</span> <span class="token string">"recvnet"</span><span class="token operator">:</span> <span class="token punctuation">{</span><span class="token punctuation">}</span><span class="token punctuation">,</span> <span class="token string">"cryptousage"</span><span class="token operator">:</span> <span class="token punctuation">{</span><span class="token punctuation">}</span><span class="token punctuation">,</span> <span class="token string">"recvsaction"</span><span class="token operator">:</span> <span class="token punctuation">{</span> <span class="token string">"ad.notify.AutorunBroadcastReceiver"</span><span class="token operator">:</span> <span class="token string">"android.intent.action.PHONE_STATE"</span> <span class="token punctuation">}</span><span class="token punctuation">,</span> <span class="token string">"servicestart"</span><span class="token operator">:</span> <span class="token punctuation">{</span><span class="token punctuation">}</span><span class="token punctuation">,</span> <span class="token string">"sendnet"</span><span class="token operator">:</span> <span class="token punctuation">{</span><span class="token punctuation">}</span><span class="token punctuation">,</span> <span class="token string">"sendsms"</span><span class="token operator">:</span> <span class="token punctuation">{</span> <span class="token string">"2.6926231384277344"</span><span class="token operator">:</span> <span class="token punctuation">{</span> <span class="token string">"message"</span><span class="token operator">:</span> <span class="token string">"8612315902026655873297.1"</span><span class="token punctuation">,</span> <span class="token string">"type"</span><span class="token operator">:</span> <span class="token string">"sms"</span><span class="token punctuation">,</span> <span class="token string">"number"</span><span class="token operator">:</span> <span class="token string">"5537"</span> <span class="token punctuation">}</span> <span class="token punctuation">}</span><span class="token punctuation">,</span> <span class="token string">"accessedfiles"</span><span class="token operator">:</span> <span class="token punctuation">{</span> <span class="token string">"2026177957"</span><span class="token operator">:</span> <span class="token string">"/data/data/ad.notify1/files/settings"</span><span class="token punctuation">,</span> <span class="token operator">...</span><span class="token punctuation">.</span> <span class="token punctuation">}</span><span class="token punctuation">,</span> <span class="token string">"fdaccess"</span><span class="token operator">:</span> <span class="token punctuation">{</span> <span class="token string">"0.9249100685119629"</span><span class="token operator">:</span> <span class="token punctuation">{</span> <span class="token string">"path"</span><span class="token operator">:</span> <span class="token string">"/data/data/ad.notify1/files/settings"</span><span class="token punctuation">,</span> <span class="token string">"operation"</span><span class="token operator">:</span> <span class="token string">"write"</span><span class="token punctuation">,</span> <span class="token string">"data"</span><span class="token operator">:</span> <span class="token string">"efbfbdefbfbd00057372001561642e6e6f746966792e53657474696e67735365742753efbfbd4d4cefbfbdefbfbdefbfbd0200035a000c6973466972737453746172744a000474696d654c0003736d737400124c6a6176612f6c616e672f537472696e673b7870010000000000000000"</span><span class="token punctuation">,</span> <span class="token string">"id"</span><span class="token operator">:</span> <span class="token string">"441631701"</span><span class="token punctuation">,</span> <span class="token string">"type"</span><span class="token operator">:</span> <span class="token string">"file write"</span> <span class="token punctuation">}</span><span class="token punctuation">,</span> <span class="token operator">...</span><span class="token punctuation">.</span> <span class="token punctuation">}</span><span class="token punctuation">,</span> <span class="token string">"dataleaks"</span><span class="token operator">:</span> <span class="token punctuation">{</span><span class="token punctuation">}</span><span class="token punctuation">,</span> <span class="token string">"opennet"</span><span class="token operator">:</span> <span class="token punctuation">{</span><span class="token punctuation">}</span><span class="token punctuation">,</span> <span class="token string">"dexclass"</span><span class="token operator">:</span> <span class="token punctuation">{</span> <span class="token string">"0.0008711814880371094"</span><span class="token operator">:</span> <span class="token punctuation">{</span> <span class="token string">"path"</span><span class="token operator">:</span> <span class="token string">"/data/app/ad.notify1-1.apk"</span><span class="token punctuation">,</span> <span class="token string">"type"</span><span class="token operator">:</span> <span class="token string">"dexload"</span> <span class="token punctuation">}</span> <span class="token punctuation">}</span><span class="token punctuation">,</span> <span class="token string">"hashes"</span><span class="token operator">:</span> <span class="token punctuation">[</span> <span class="token string">"5e0da2476bb8ab81281bb61edfc84e18"</span><span class="token punctuation">,</span> <span class="token string">"05966c6c24c48bc5a4fe56eb76283fef2224e0f5"</span><span class="token punctuation">,</span> <span class="token string">"fa8cec0e8927c172c84e343797921bf63bf183896bdf913fe41a810263d89a6e"</span> <span class="token punctuation">]</span><span class="token punctuation">,</span> <span class="token string">"closenet"</span><span class="token operator">:</span> <span class="token punctuation">{</span><span class="token punctuation">}</span><span class="token punctuation">,</span> <span class="token string">"phonecalls"</span><span class="token operator">:</span> <span class="token punctuation">{</span><span class="token punctuation">}</span> <span class="token punctuation">}</span><span class="token punctuation">,</span> <span class="token string">"Strace"</span><span class="token operator">:</span> <span class="token string">"/home/vmbear/Downloads/apk/Dynamic/Strace/5e0da2476bb8ab81281bb61edfc84e18.csv"</span> <span class="token punctuation">}</span><span class="token punctuation">,</span> <span class="token string">"VirusTotal"</span><span class="token operator">:</span> <span class="token punctuation">{</span> <span class="token string">"scan_id"</span><span class="token operator">:</span> <span class="token string">"fa8cec0e8927c172c84e343797921bf63bf183896bdf913fe41a810263d89a6e-1589766721"</span><span class="token punctuation">,</span> <span class="token string">"sha1"</span><span class="token operator">:</span> <span class="token string">"05966c6c24c48bc5a4fe56eb76283fef2224e0f5"</span><span class="token punctuation">,</span> <span class="token string">"resource"</span><span class="token operator">:</span> <span class="token string">"fa8cec0e8927c172c84e343797921bf63bf183896bdf913fe41a810263d89a6e"</span><span class="token punctuation">,</span> <span class="token string">"response_code"</span><span class="token operator">:</span> <span class="token number">1</span><span class="token punctuation">,</span> <span class="token string">"scan_date"</span><span class="token operator">:</span> <span class="token string">"2020-05-18 01:52:01"</span><span class="token punctuation">,</span> <span class="token string">"permalink"</span><span class="token operator">:</span> <span class="token string">"https://www.virustotal.com/gui/file/fa8cec0e8927c172c84e343797921bf63bf183896bdf913fe41a810263d89a6e/detection/f-fa8cec0e8927c172c84e343797921bf63bf183896bdf913fe41a810263d89a6e-1589766721"</span><span class="token punctuation">,</span> <span class="token string">"verbose_msg"</span><span class="token operator">:</span> <span class="token string">"Scan finished, information embedded"</span><span class="token punctuation">,</span> <span class="token string">"sha256"</span><span class="token operator">:</span> <span class="token string">"fa8cec0e8927c172c84e343797921bf63bf183896bdf913fe41a810263d89a6e"</span><span class="token punctuation">,</span> <span class="token string">"positives"</span><span class="token operator">:</span> <span class="token number">35</span><span class="token punctuation">,</span> <span class="token string">"total"</span><span class="token operator">:</span> <span class="token number">62</span><span class="token punctuation">,</span> <span class="token string">"md5"</span><span class="token operator">:</span> <span class="token string">"5e0da2476bb8ab81281bb61edfc84e18"</span><span class="token punctuation">,</span> <span class="token string">"scans"</span><span class="token operator">:</span> <span class="token punctuation">{</span> <span class="token string">"Bkav"</span><span class="token operator">:</span> <span class="token punctuation">{</span> <span class="token string">"detected"</span><span class="token operator">:</span> <span class="token boolean">false</span><span class="token punctuation">,</span> <span class="token string">"version"</span><span class="token operator">:</span> <span class="token string">"1.3.0.9899"</span><span class="token punctuation">,</span> <span class="token string">"result"</span><span class="token operator">:</span> <span class="token keyword">null</span><span class="token punctuation">,</span> <span class="token string">"update"</span><span class="token operator">:</span> <span class="token string">"20200516"</span> <span class="token punctuation">}</span><span class="token punctuation">,</span> <span class="token operator">...</span><span class="token punctuation">.</span> <span class="token punctuation">}</span> <span class="token punctuation">}</span> <span class="token punctuation">}</span> |
Trên thực tế, output của AndroPyTool với các mẫu malware này không có giá trị gì mấy. Vì các mẫu malware này hầu hết đã ngừng hoạt động từ rất lâu rồi.
Với mẫu SMSware ở trên chúng ta thu được 1 thông tin hữu ích. Đó là malware đã thực hiện gửi tin nhắn SMS tới đầu số 5537 mà không cần sự đồng ý hay xác nhận từ chúng ta:
1 2 3 4 5 6 7 8 | <span class="token string">"sendsms"</span><span class="token operator">:</span> <span class="token punctuation">{</span> <span class="token string">"2.6926231384277344"</span><span class="token operator">:</span> <span class="token punctuation">{</span> <span class="token string">"message"</span><span class="token operator">:</span> <span class="token string">"8612315902026655873297.1"</span><span class="token punctuation">,</span> <span class="token string">"type"</span><span class="token operator">:</span> <span class="token string">"sms"</span><span class="token punctuation">,</span> <span class="token string">"number"</span><span class="token operator">:</span> <span class="token string">"5537"</span> <span class="token punctuation">}</span> <span class="token punctuation">}</span> |
Virustotal
Trong file output của AndroPyTool có dữ liệu scan trên Virustotal, tuy nhiên thông tin không được đầy đủ. Để lấy được các thông tin đầy đủ hơn, chúng ta sẽ trực tiếp xem kết quả phân tích file apk trên Virustototal.
Trong output AndroPyTool cũng chứa đường link đến kết quả phân tích, vì thế chúng ta không cần phải phân tích lại.
1 2 | <span class="token string">"permalink"</span><span class="token operator">:</span> <span class="token string">"https://www.virustotal.com/gui/file/fa8cec0e8927c172c84e343797921bf63bf183896bdf913fe41a810263d89a6e/detection/f-fa8cec0e8927c172c84e343797921bf63bf183896bdf913fe41a810263d89a6e-1589766721"</span> |
DETECTION
Tại tab DETECTION là kết quả scan bằng các công cụ scan virus khác nhau.
DETAIL
Tại tab DETAIL chúng ta có các thông tin chi tiết về malware.
Ở đây có một số thông tin quan trọng:
- History: thời gian các ứng dụng tương tự được upload lên virustotal để kiểm tra
- Names: những file apk khác tên nhưng thực tế là cùng một file với apk mà chúng ta upload
- Android info: gồm nhiều thông tin đáng chú ý như Package Name, Main Activity, thông tin về certificate, Permissions,…
BEHAVIOR
Tại tab BEHAVIOR chúng ta có thể thấy các hành vi mà malware thực hiện.
Tổng kết phân tích tự động
Tóm tắt lại thì với những dữ liệu nhận được qua việc phân tích bằng các tool tự động, chúng ta có thể biết được các thông tin nhận dạng của mẫu malware.
Phân tích tĩnh
Reverse file apk bằng Bytecode Viewer rất dễ dàng do code không bị làm rối, và số lượng activity cũng ít. Mình nhanh chóng tìm được đoạn code gửi tin nhắn.
Rất tiếc là mình không lấy được danh sách các tổng tài tin nhắn trong code. Nhưng khi chạy app (tất nhiên là trong môi trường giả lập) thì app cũng hiển thị toàn bộ tổng đài.
Tìm kiếm trong thư mục resource mình thấy được icon của app. Sau khi kiểm tra và tìm kiếm, mình phát hiện ra mẫu malware này lấy icon của 1 ứng dụng khác, cụ thể là ứng dụng Messenger WithYou.
Phân tích động
Chạy app trong giả lập Genymotion mình phát hiện app bắt buộc chúng ta truy cập link http://android-market-mobile.com/download/index.php
. Hiện tại link này đã chết, tuy nhiên khi tìm kiếm, có 1 topic trên diễn đàn của Nga thảo luận về đường link này.
Tóm tắt lại thì ý họ là: đường dẫn do malware truy cập mạo danh trang web gốc: http://androidmarket.com
. Và trang web android-market-mobile sẽ lừa người dùng tải các ứng dụng bị mạo danh bởi các malware thuộc họ Fakenotify.
Một số mẫu malware khác cùng họ
Mình có phân tích thêm 4 mẫu malware khác cùng họ Fakenotify và có 1 số nhận xét như sau:
- 5 mẫu phân tích đều có source code gần như y hệt nhau.
- Tên ứng dụng sau khi cài đặt y hệt nhau: установка dịch ra tiếng anh nghĩa là “Installation”.
- Icon của mỗi mẫu malware đều lấy icon của 1 ứng dụng khác, mục đích để lừa người dùng.
- Đều thực hiện 3 hành vi:
- Bí mật gửi SMS đến tổng dài có cước phí cao.
- Ép buộc truy cập link
http://android-market-mobile.com/download/index.php
. - Chạy ngầm 1 service có tác dụng hẹn giờ (không thấy hoạt động trong khi phân tích động).
- Thumbprint của 5 mẫu: