AMOS – Android Malware Operating System

Untuk teman-teman yang lagi belajar tentang malware di Android, tentunya teman-teman harus punya tools yang pas. Ada banyak aplikasi yang diperlukan, mulai dari reverse engineering, android emulator, sampe aplikasi untuk melakukan behavioral analysis.  Biasanya aplikasi-aplikasi tersebut terpisah, sehingga kita harus mengunduh satu persatu.

ID-SIRTII/CC sudah menyiapkan OS (Operating System) yang berisi aplikasi yang lengkap untuk melakukan analisa malware android. Di OS ini sudah lengkap bermacam aplikasi yang diperlukan. Jadi kita tidak perlu menginstall aplikasi tersebut satu persatu. OS ini dinamakan AMOS (Android Malware Operating System). OS ini berbasis ubuntu. Di dalamnya terdapat beberapa aplikasi berikut :

1. Androguard : aplikasi ini digunakan untuk melakukan reverse engineering. Androguard berbasis phyton.

2. Android SDK : aplikasi ini sebenarnya digunakan untuk membuat aplikasi android. Tapi dalam proses analisa malware kita perlu juga aplikasi ini.

3. APK Analyser : aplikasi ini kita gunakan dalam melakukan analisa statis.

4. APK Inspector : aplikasi ini juga untuk melakukan reverse engineering. Ada video yang menceritakan tentang fitur APK inspector bisa dilihat di link berikut http://www.youtube.com/watch?v=X538N-x3UUY

5. Android-apktool : Untuk melakukan analisa file apk

6. Smali/Baksmali : aplikasi dissasembler untuk format file dex

7. Dex2jar : aplikasi untuk konversi file dex menjadi file jar (java)

8. Droidbox : aplikasi ini digunakan untuk melakukan analisa dinamis malware

9. IDA (demo) : IDA pro merupakan aplikasi standar yang digunakan untuk reverse engineering.

10.JD-GUI : aplikasi untuk melakukan decompile java file

11. Android Emulator : Kalo yang ini kita gunakan untuk mengemulasi handphone Android. Jadi nanti kita menjalankan malware pada emulator, dan melihat aktifitas apa saja yang dilakukan. Seperti Virtual machine. Emulator ini membutuhkan RAM besar.

Presentasi tentang AMOS bisa dilihat di web ID-SIRTII pada link berikut ini . Selain AMOS ada juga OS lain yang dapat kita gunakan untuk melakukan analisa malware, diantaranya Santoku Linux dan ada juga REMnux . Kalo ada yang membutuhkan AMOS, bisa kontak ID-SIRTII/CC .

Facebook Scam

Minggu lalu teman dari ID-CERT cerita ke saya bahwa sekarang sedang marak beredar di Facebook script yang konon kabarnya bisa digunakan untuk nge-hack password sebuah account Facebook teman kita. Saya diminta untuk melakukan analisa betul gak script itu bisa digunakan untuk ngehack password account Facebook teman kita.

Contoh scriptnya adalah seperti dibawah ini :

var fb_dtsg = document.getElementsByName(‘fb_dtsg’)[0].value;var user_id = document.cookie.match(document.cookie.match(/c_user=(\d+)/)[1]); dst

Scriptnya panjang, script lengkapnya saya dapat dari link ini http://pastie.org/pastes/8744632/text

Kemudian script ini dimasukkan ke console, instruksinya bisa dilihat di link FB berikut ini : https://www.facebook.com/byghostbusterteam . Berikut hasil analisa saya terhadap script diatas :

1. Script ini akan bikin comment atas nama kita dan ngetag semua teman kita dan nyebarin pesan (Horeee teman2 Aku berhasil Asyiikkk …Coba aja kalo gak Percaya… dan nyebarin link dst)
2. Script ini akan nge-like foto juga dan ngetag semua teman kita.
3. Script ini akan ngeadd semua teman kita ke sebuah page.

4. Tidak ditemukan ada fungsi untuk membobol password teman.

Kesimpulannya menurut saya script ini termasuk tipe scam dan tidak ditemukan adanya fungsi yang bisa membobol password teman. Kalau nanti teman-teman dapat pesan atau comment yang menjanjikan cara untuk ngehack akun facebook teman kita, ini sudah jelas facebook scam, sebaiknya abaikan saja. Semoga bermanfaat facebook-account-hacking-scam

Drill Test

Untuk menangani insiden keamanan jaringan, tentunya tentunya tidak mudah. Diperlukan pengetahuan teknis security yang baik seperti traffic analysis, digital forensic, malware analysis dll. Selain itu juga dibutuhkan kemampuan non-teknis, seperti pemahaman prosedur penanganan insiden, kemampuan koordinasi dengan institusi lain seperti CERT (Computer Emergency Response Team), serta kemampuan pengambilan keputusan. Bila tidak ditangani dengan baik, bisa jadi insiden keamanan akan menimbulkan kerugian yang besar. Kemampuan penanganan insiden ini harus dilatih dengan baik agar ketika menghadapi insiden yang sesungguhnya admin tidak gagap, dan dapat mengambil langkah penanganan yang tepat. Untuk itulah biasanya diadakan Drill-Test. Drill test merupakan sebuah latihan untuk menangani insiden keamanan jaringan. Biasanya drill test dibuat dengan skenario yang menyerupai kondisi sebenarnya.

Tanggal 19 Februari 2014 APCERT (Asia Pasific Computer Emergency Response Team) mengadakan Drill Test. Pesertanya ada 20 team dari institusi CERT dari 16 negara asia pasific, antara lain dari Australia (AusCERT), Jepang (JP-Cert) Korean, Thailand, Indonesia, bahkan ada juga dari German. Skenarionya kali ini ada organisasi cyber (hacktivist) yang berusaha menyerang layanan pemerintah sebagai protes dari sebuah kebijakan pemerintah. Nah ada 4 tahap serangan yang dilakukan organisasi ini. Salah satunya skenario penyerangan yang dilakukan adalah organisasi ini membuat aplikasi pada android yang disusupkan dengan malware. Aplikasi ini kemudian disebarkan pada andoid market sehingga siapa saja bisa mengunduhnya. Aplikasi gadungan ini akan melakukan DDos attack pada website pemerintah, tanpa disadari oleh pengguna.

APCERT mempercayakan pembuatan malware android ini pada ID-CERT (Indonesia Computer Emergency Response Team). Nah saya diajak temen-temen ID-CERT untuk ikut merancang dan membuat malware ini. Alhamdulillah tim kami berhasil menyelesaikan pembuatan malware ini tepat waktu. Press Release ID-Cert tentang drill ini bisa dilihat disini. Pengalaman yang sangat menarik walaupun cukup menguras pikiran dan tenaga. Tapi bangga rasanya bisa membuktikan karya bangsa kita bisa diterima dan digunakan dalam event internasional. Semoga bisa menjadi inspirasi teman-teman untuk terus berkarya.