Cet article présente un outil d’analyse d’applications Android simple et l’illustration de sa mise en œuvre dans le cadre de l’extraction de la liste des C&C et des victimes du botnet Anubis.
Les analyses de malwares Android dans le but de récupérer des IOC tels que les adresses des C&C accédés ou des informations relatives aux botnets s’avèrent rapidement fastidieuses et répétitives.
Cet article se propose de présenter dans un premier temps l’implémentation d’une sandbox simple permettant d’extraire des informations d’applications suspectes, puis dans une seconde partie d’automatiser la collecte des victimes d’un serveur de C&C Anubis.
1. Sandbox Android
Il existe plusieurs systèmes de sandbox Android commerciales et open source, nous allons voir une implémentation simple d’une sandbox qui regroupe plusieurs modules dans le but d’automatiser l’analyse d’un lot d’applications.
L’implémentation de la sandbox se divise en quatre parties, toutes orchestrées par un moteur écrit en python :
- un émulateur (AVD) ou un appareil physique rooté ;
- une instance mitmproxy ;
- un script Frida permettant d’instrumenter les...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
[1] E. Vanderbéken, « Frida : le couteau suisse de l’analyse dynamique multiplateforme », MISC n°92, juillet 2017 : https://connect.ed-diamond.com/MISC/MISC-092/Frida-le-couteau-suisse-de-l-analyse-dynamique-multiplateforme
[2] Android Malware Sandbox : https://github.com/Areizen/Android-Malware-Sandbox
[3] Tim 'diff' Strazzere : https://github.com/strazzere/anti-emulator
[4] Mattia Vinci, Maurizio Agazzini : https://techblog.mediaservice.net/2018/11/universal-android-ssl-check-bypass-2/
[5] Mobile Malware Analysis Tricks used in Anubis : https://eybisi.run/Mobile-Malware-Analysis-Tricks-used-in-Anubis/
[6] Unpacking Anubis APK : https://sysopfb.github.io/malware,/reverse-engineering/2018/08/30/Unpacking-Anubis-APK.html
[7] Изучаем Anubis : https://xss.is/threads/33393/