Saya sedang baca presentasi menarik dari Alex Kirk dengan judul “I Know Kung-fu!” Analyzing Mobile Malware. Alex Kirk sendiri adalah senior research Analyst di perusahaan Sourcefire. Sourcefire merupakan sebuah perusahaan keamanaan yang membuat berbagai tools seperti Snort (mesin IDS – intrusion detection system yang populer) dan ClamAV (antivirus opensource).
Presentasi ini memberi gambaran dasar tentang bagaimana melakukan analisa malware Android. Di awal presentasi Alex bercerita saat ini di Clam-AV telah ada 962 sampel malware android, dan 378 sampel malware Symbian. Sementara total sampel malware di Clam-AV (tidak hanya mobile malware) adalah 40.000 sampel malware baru setiap hari.
Beberapa malware android yang populer ada Zeus, trojan SMS di Cina, ada juga SMS trojan di Rusia yang disebarkan melalui QR-code yang ditaruh di website. Kenapa malware Android saat ini semakin banyak, menurut alex karena Android bersifat open platform, sehingga mudah dipelajari. Kemudian karena ada banyak tools yang disediakan google untuk mempermudah developer, serta market share yang cukup tinggi.
APK
Kemudian Alex bercerita tentang APK. APK sebenarnya hanya seperti sebuah file ZIP. Didalamnya biasanya ada folder META-INF/ assets/ manifest/ dan res/. Semua aplikasi android harus mendeklarasikan permission apa yang digunakan. Ada banyak jenis permission di android, misalnya ada CALL_PHONE, ada SEND_SMS ada akses CAMERA dll. Alex menemukan rata-rata permission yang ditemukan pada malware android ada 7 permission. Sementara jumlah terbanyak permission pada sebuah malware yang pernah dia temukan ada 39 permission.
Untuk melakukan analisa malware android kita bisa menggunakan emulator android. Hanya saja banyak kelemahan dari emulator ini, diantaranya di emulator kita tidak bisa mendeteksi malware yang mengirimkan SMS. Kemudian Alex bercerita tentang format dex yang digunakan Android. DEX merupakan sebuah Dalvik executable file. Untuk mempelajari sampel malware kita harus menconvert file dex ini ke dalam bentuk Java. Misalnya dengan DEx2jar. Setelah itu baru kita menggunakan decompiler JAVA misalnya dengan jdgui.
Pada presentasi ini Alex memberi contoh melakukan analisa malware SMS trojan Russia yang disebarkan melalui QR-Code. Setelah dilakukan disasemby terhadap sample kita akan langsung menemukan bahwa malware ini menggunakan teknik obfuscation.
Teknik analisa malware
Alex bercerita juga tentang 2 teknik analisa malware yang digunakan yaitu: Analisa statik dan analisa dinamis. Analisa statik dilakukan dengan mempelajari source code malware. Sementara analisa dinamis dilakukan dengan menjalankan malware dan mempelajari cara kerjanya. Terdapat kelebihan dan kekurangan dan kedua teknik analisa malware ini. Sehingga umumnya analis malware menggunakan kedua teknik ini untuk mempelajari cara kerja malware.
Pada bagian terakhir Alex memberi contoh hasil analisa terhadap malware DroidKungFu. Sebuah malware mobile yang banyak ditemukan di Cina. Alex menjelaskan langkah-langkah analisa yang dia lakukan terhadap malware DroidKungFu ini. Slide presentasi yang sangat menarik. Sangat bermanfaat buat yang ingin belajar melakukan analisa malware Android.
Semoga Bermanfaat!
slide presentasi alex kirk dapat dilihat pada link berikut ini: