Malware DroidKungFu


DroidKungFu adalah sebuah malware android yang  canggih dan memiliki banyak varian. Malware DroidKungFu ini mulai terdeteksi pada tahun 2011. Malware ini terus berkembang, Saat ini telah ditemukan ada 6 varian, DroidKungFu, DroidKungFu2, DroidKungFu3, DroidKungFu4, DroidKungFuSapp dan DroidKungFu Update.

DroidKungFu2 menggunakan teknik encrypted C&C server. Maksudnya malware ini dapat berkomunikasi dengan sebuah server dan dapat menerima perintah dari server tersebut. Misalnya perintah pengiriman data, perintah kill atau perintah DOS. Komunikasi dengan server tersebut menggunakan enkripsi,sehingga menyulitkan proses deteksi. Alamat C&C server disimpan dengan cara yang berbeda. Pada Droidkungfu1alamat ini disimpan dalam bentuk plain-text pada sebuah java class file. Pada Droidkungfu2, alamat ini disimpan pada native program. Selain itu alamat C&C server bertambah menjadi 3 server. Pada Droidkungfu3, alamat disimpan pada class Java, tapi dienkripsi, sehingga lebih sulit untuk dideteksi. Pada DroidKungFu4 alamat C&C server kembali disimpan pada nativ program tapi sudah terenkripsi. Sementara pada DroidKungFuSapp menggunakan alamat C&C server baru dan skema enkripsi baru.

droidkungfu
from habrahabr.ru

Varian lainnya DroidKungFu Update. Malware ini menggunakan teknik update attack. Malware menginfeksi sebuah apps android, misalnya Flappy Bird.  Pada saat ini belum ada payload malware. Sehingga oleh antivirus tidak akan terdeteksi sebagai malware dan lolos dari mekanisme keamanan pada google store. Ketika apps dijalankan maka akan ada notifikasi untuk mengunduh update dari Flappy Bird. Nah update ini ternyata bukanlah berisi versi baru dari Flappy Bird, tapi berisi payload malware.

Selain itu malware ini  memiliki kemampuan untuk melakukan root exploit. Dengan cara ini malware mendapatkan akses root. Exploit ini dienkripsi, dan disamarkan sebagai file local resource.

Payload DroidKungFu umumnya menggunakan teknik repackaging. Misalnya sebuah game Angrybird,
apps tersebut dibungkus ulang dan ditambahkan payload malware. Ketika dijalankan maka game tetap berjalan, dan fungsi malware juga berjalan. Kemampuan lainnya dari DroidKungfu adalah memiliki kemampuan obfuscation (pengelabuan) untuk mempersulit proses deteksi malware. Selain mengenkripsi exploit dan alamat C&C Server, malware ini dapat merubah-rubah class name pada payload.

Begitulah, pembuat malware terus membuat teknik baru untuk mempersulit proses deteksi malware. Disinilah serunya, karena analis malware harus terus belajar dan bereksperimen. Menarik bukan? Semoga bermanfaat!

referensi:

Jiang, Zhou, Android Malware , Springer 2013


Satu tanggapan untuk “Malware DroidKungFu”

Silahkan tuliskan tanggapan, kritik maupun saran