Baiklah, kali ini saya coba lanjutkan reportase dari acara kopdar indonesia honeynet chapter tanggal 22 April di Atmajaya. Pada tulisan sebelumnya saya telah ceritakan materi yg disampaikan Mario tentang teknik malware sequence pattern analysis yang digunakan untuk mengidentifikasi malware family.
Presenter berikutnya adalah Rio, murid pak Charles di SGU juga. Rio cerita tentang thesis yang dia kerjakan yaitu risk scoring malware di android. Jadi Rio melakukan analisa malware di Android kemudian mencoba melakukan ranking seberapa berbahaya malware tersebut.
Di awal presentasi, rio cerita tentang berbagai tren malware di Android. Jadi malware di Android ini memang lagi tumbuh pesat kayak jamur di musim hujan. Padahal google telah memiliki platform. Keamanan google bouncer yang digunakan untuk melakukan scanning terhadap apps-apps yang ada di google play. Bahkan seorang peneliti keamanan Jon Oberheide dalam sebuah eksperimen berhasil mengelabui google bouncer. Dia membuat sebuah APK yang mempunyai fungsi menjalankan shell script, kemudian mengupload APK tersebut ke google play. Sayangnya APK tersebut oleh bouncer tidak terdeteksi sebagai malware.
Tren lainnya adalah penggunaan teknik-teknik pengelabuan yang menyulitkan proaes deteksi malware. Misalnya ada teknik repackaging (APK yg resmi dibungkus ulang dan ditambahkan malware), maupun teknik APK in APK permission colaboration violation. Jadi APK yang isinya malware, dibungkus dalam APK baru sehingga ketika dianalisa tidak terlihat permissiin yang mencurigakan.
Selain itu ada juga malware Android yang menggunakan encryption, sehingga susah untuk di reverse. Ada juga yang menggunakan teknik anti emulator. Jadi bila malware kita jalankan di emulator, maka dia akan menyerang emulator. Bisa emulatornya ngehang atau ngerestart sendiri. Ada juga malware yang menggunakan teknik SSL pinning, sehingga kita tidak bisa melakukan analisa trafik jaringan yang digunakan malware.
Selanjutnya Rio bercerita tentang berbagai tools yang dia gunakan untuk menganalisa malware Android, ada dex2jar, androguard, ARE honeypot (android Reverse Engineering), smali, baksmali, JdGui, class2dex, Kibana dan burpsuite. Analisa yang dilakukan adalah analisa statik, selain itu coba ditangkap trafik jaringan yang coba diakses malware.
Semoga Bermanfaat!
Video Jan Oberheide tentang Dissecting Android Bouncer
Tentang Google Bouncer:
http://googlemobile.blogspot.co.id/2012/02/android-and-security.html
http://blog.trendmicro.com/trendlabs-security-intelligence/a-look-at-google-bouncer/
Tentang repackaging APK:
tentang encrypted dan teknik obfuscation malware android
https://www.virusbulletin.com/virusbulletin/2014/07/obfuscation-android-malware-and-how-fight-back
tentang anti emulator
http://resources.infosecinstitute.com/anti-debugging-and-anti-vm-techniques-and-anti-emulation/
tentang SSL Pinning
http://mashable.com/2015/07/16/ssl-pinning/
tentang dex2jar
https://sourceforge.net/projects/dex2jar/
tentang Androguard
tentang ARE Honeypot
https://www.honeynet.org/node/783
Tentang Smali Baksmali
https://github.com/JesusFreke/smali
tentang JD-GUI
tentang Burpsuit
tentang kibana
https://github.com/elastic/kibana