Baiklah, kali ini saya coba lanjutkan reportase dari acara kopdar indonesia honeynet chapter tanggal 22 April di Atmajaya. Pada tulisan sebelumnya saya telah ceritakan materi yg disampaikan  Mario tentang teknik malware sequence pattern analysis yang digunakan untuk mengidentifikasi malware family.

Presenter berikutnya adalah Rio, murid pak Charles di SGU juga. Rio cerita tentang thesis yang dia kerjakan yaitu risk scoring malware di android. Jadi Rio melakukan analisa malware di Android kemudian mencoba melakukan ranking seberapa berbahaya malware tersebut.

Di awal presentasi, rio cerita tentang berbagai tren malware di Android. Jadi malware di Android ini memang lagi tumbuh pesat kayak jamur di musim hujan. Padahal google telah memiliki platform. Keamanan google bouncer yang digunakan untuk melakukan scanning terhadap apps-apps yang ada di google play. Bahkan seorang peneliti keamanan Jon Oberheide dalam sebuah eksperimen berhasil mengelabui google bouncer. Dia membuat sebuah APK yang mempunyai fungsi menjalankan shell script, kemudian mengupload APK tersebut ke google play. Sayangnya APK tersebut oleh bouncer tidak terdeteksi sebagai malware.

Tren lainnya adalah penggunaan teknik-teknik pengelabuan yang menyulitkan proaes deteksi malware. Misalnya ada teknik repackaging (APK yg resmi dibungkus ulang dan ditambahkan malware), maupun teknik APK in APK permission colaboration violation. Jadi APK yang isinya malware, dibungkus dalam APK baru sehingga ketika dianalisa tidak terlihat permissiin yang mencurigakan.

Selain itu ada juga malware Android yang menggunakan encryption, sehingga susah untuk di reverse. Ada juga yang menggunakan teknik anti emulator. Jadi bila malware kita jalankan di emulator, maka dia akan menyerang emulator. Bisa emulatornya ngehang atau ngerestart sendiri. Ada juga malware yang menggunakan teknik SSL pinning, sehingga kita tidak bisa melakukan analisa trafik jaringan yang digunakan malware.

Selanjutnya Rio bercerita tentang berbagai tools yang dia gunakan untuk menganalisa malware Android, ada dex2jar, androguard, ARE honeypot (android Reverse Engineering), smali, baksmali, JdGui, class2dex, Kibana dan burpsuite. Analisa yang dilakukan adalah analisa statik, selain itu coba ditangkap trafik jaringan yang coba diakses malware.

 

Semoga Bermanfaat!

Video Jan Oberheide tentang Dissecting Android Bouncer

Tentang Google Bouncer:

http://googlemobile.blogspot.co.id/2012/02/android-and-security.html

http://blog.trendmicro.com/trendlabs-security-intelligence/a-look-at-google-bouncer/

Tentang repackaging APK:

https://www.virusbulletin.com/virusbulletin/2012/05/mobile-banking-vulnerability-android-repackaging-threat

tentang encrypted dan teknik obfuscation malware android

https://www.virusbulletin.com/virusbulletin/2014/07/obfuscation-android-malware-and-how-fight-back

tentang anti emulator

http://resources.infosecinstitute.com/anti-debugging-and-anti-vm-techniques-and-anti-emulation/

tentang SSL Pinning

http://mashable.com/2015/07/16/ssl-pinning/

tentang dex2jar

https://sourceforge.net/projects/dex2jar/

tentang Androguard

https://github.com/androguard

tentang ARE Honeypot

https://www.honeynet.org/node/783

Tentang Smali Baksmali

https://github.com/JesusFreke/smali

tentang JD-GUI

http://jd.benow.ca/

tentang Burpsuit

https://portswigger.net/burp/

tentang kibana

https://github.com/elastic/kibana