BÁO CÁO THỰC TẬP

Nghiên cứu các Trojan, Malware cho phép đánh cắp dữ liệu như danh sách contact, tin nhắn trên điện thoại sử dụng Android và gửi ra ngoài

Sinh viên thực hiện :Nguyễn Hoàng Thạch

GVHD: Võ Đỗ Thắng

TP.HCM, ngày 4 tháng 8 năm 2014

CÀI ĐẶT TROJAN CHO ANDROID

I.Nghiên cứu lỗ hổng bảo mật trên Android và cách xâm nhập.

1. Thực trạng:

Một báo cáo mới vừa được công bố, cho thấy mức độ nghiêm trọng của mã độc trên Android - hệ điều hành di động phổ biến nhất thế giới có đến 99,9% số lượng mã độc mới được phát hiện trong quý I năm 2013 được thiết kế để nhắm đến nền tảng Android. Đây là một con số báo động về tình trạng mã độc trên nền tảng di động của Google vừa được hãng bảo mật Kaspersky Lab công bố.

Phần lớn trong số các loại mã độc trên Android là virus trojan, một dạng virus chủ yếu để sử dụng để đánh cắp tiền của người dùng bị lây nhiễm bằng cách gửi đến họ những tin nhắn lừa đảo, đọc lén các thông tin cần thiết và gửi báo cáo đến nơi khác, ăn cắp thông tin như là mật khẩu và số thẻ tín dụng, cài đặt lén các phần mềm chưa được cho phép, ….. Loại mã độc này chiếm đến 63% tổng số các loại mã độc mới được phát tán trên Android trong quý I năm 2013.

Các nhà nghiên cứu bảo mật của Kaspersky cũng báo cáo một sự bùng nồ về số lượng các mã độc hại trên di động. Theo đó chỉ tính riêng trong 3 tháng đầu năm 2013, Kaspersky đã phát hiện được số lượng mã độc mới trên các nền tảng di độngbằng tổng số lượng mã độc được phát hiện trong cả năm 2012 mà Android là nền tảng chịu ảnh hưởng nặng nhất.

Với việc Android tiếp tục trở thành “mồi ngon” của hacker trong việc phát tán các loại mã độc, có vẻ như Android đang dần trở thành một “Windows thứ 2” trên lĩnh vực bảo mật, khi sự phổ biến của nền tảng này đang thu hút tối đa sự chú ý của các tin tặc, đồng thời việc quản lý các ứng dụng cho Android một cách lỏng lẻo càng tạo điều kiện cho mã độc được phát tán dễ dàng hơn trên nền tảng di động này.

Bên cạnh lĩnh vực mã độc trên nền tảng di động, báo cáo về tình trạng bảo mật trong quý I/2013 của Kaspersky cũng cho biết 91% các vụ phát tán mã độc chủ yếu dựa vào việc phát tán các đường link trang web có chứa mã độc. Các đường link có chứa mã độc này chủ yếu được phát tán thông qua email và trên các mạng xã hội như Facebook, Twitter… Đây được xem là biện pháp được yêu thích nhất hiện nay của hacker.

2. Nghiên cứu lỗ hổng bảo mật trên Android. 2.1.Malware trên Android.

Malware (phần mềm ác tính) viết tắt của cụm từ Malicious Sofware, là một phần mềm máy tính được thiết kế với mục đích thâm nhập hoặc gây hỏng hóc máy tính mà người sử dụng không hề hay biết.

Theo thống kê của các hãng bảo mật trên thế giới thì hiện các Malware hiện nay mới chỉ dừng lại ở mức độ xâm nhập và ăn cắp thông tin của người dùng và nó chưa có cơ chế lây lan. Theo các kết quả trên thì Malware trên Smartphone hiện nay về cách thức hoạt động giống như một phần mềm gián điệp (Trojan) hơn là một virus phá hủy.

2.2.Cơ chế hoạt động của Malware.

Lấy một ví dụ cụ thể về 1 Malware rất phổ biến trong thời gian vừa qua đó là Malware DroidDream. Malware này hoạt động qua 2 giai đoạn:

- Giai đoạn đầu: DroidDream được nhúng vào trong một ứng dụng (số lượng ứng dụng chứa Malware này hiện đã nhiều hơn 50 ứng dụng) và sẽ chiếm được quyền root vào thiết bị của bạn ngay sau khi bạn chạy ứng dụng đó trong lần sử dụng đầu tiên.

- Giai đoạn 2 : Tự động cài đặt một ứng dụng thứ 2 với một permission đặc biệt cho phép quyền uninstall. Một khi các ứng dụng thứ 2 được cài đặt, nó có thể gửi các thông tin nhạy cảm tới một máy chủ từ xa và âm thầm tải thêm các ứng dụng khác

Một khi DroidDream chiếm được quyền root, Malware này sẽ chờ đợi và âm thầm cài đặt một ứng dụng thứ hai, DownloadProviderManager.apk như một ứng dụng hệ thống. Việc cài đặt ứng dụng hệ thống này nhằm ngăn ngừa người dùng xem hoặc gỡ

bỏ cài đặt các ứng dụng mà không được phép.Không giống như giai đoạn đầu, người dùng phải khởi động ứng dụng để bắt đầu

việc lây nhiễm, ở giai đoạn thứ 2 ứng dụng tự động làm một số việc như là confirm, checkin….Một điều nữa khiến cho bạn không thể biết chúng hoạt động lúc nào, đó là Malware DroidDream này được lập trình để làm hầu hết các công việc của mình vào khoảng thời gian từ 11h đêm tới 8h sáng ngày hôm sau. Đây là khoảng thời gian mà điện thoại ít có khả năng được sử dụng nhất. Điều này làm cho người dùng khó khăn hơn trong việc phát hiện một hành vi bất thường trên chiếc smartphone của mình.

2.3.Mục đích của Malware DroidDream

DroidDream được coi là một trong những Malware đầu tiên trên Android, mục đích của con DroidDream này mới chỉ dừng lại ở mức độ làm cho chiếc điện thoại của người dùng tự động cài đặt những ứng dụng chứa mã độc khác. Tuy nhiên các biến thể của nó đã kịp thời biến đổi để gây ra các mối nguy hại lớn hơn rất nhiều. Ví dụ như Hippo SMS được tìm thấy mới đây có khả năng tự gửi tin nhắn mà không cần sự cho phép của người dùng, việc này sẽ khiến tiền cước phí của người dùng tăng lên một cách chóng mặt mà người dùng không biết rõ lí do tại sao. Hoặc một Malware khác là Zitmo, Malware này đưa ra các ứng dụng kích hoạt mọi hành động liên quan đến dịch vụ ngân hàng, tiếp nhận SMS gửi đến và chuyển tới máy chủ. Các đoạn code dùng 1 lần mà các ngân hàng thường gửi tới khách hàng thông qua tin nhắn SMS để chứng thực sẽ bị thu thập bởi các malware này.

Hiện nay còn có một số Malware còn có khả năng nghe lén tất cả các cuộc điện thoại. Vấn đề này thực sự nguy hiểm khi tất cả các vấn đề riêng tư của chúng ta đang bị một theo dõi, vì vậy những mối nguy hiểm từ mã độc trên android đang thực sự đe dọa đến an sự an toàn của người dùng hệ điều hành này.

II.CÀI ĐẶT TROJAN CHO ANDROID

Chuẩn bị:Công cụ:

+ dex2jar (link: https://code.google.com/p/dex2jar/)+ id-gui (link: https://code.google.com/p/innlab/downloads/detail?name=jd-gui- 0.3.3.windows.zip&can=2&q=)+ apktool (link: https://code.google.com/p/android- apktool/downloads/list) dex2Jar:Chuyển file .dex thành file .jar.id-gui: Đọc code java từ file .JAR.apktool:Giải mã các file apk và jar, đóng gói apk phục vụ cho việc tùy chỉnh, sửa đổi các file đó.

Các bước thực hiện:

B1. Dùng phần mềm 7-Zip giải nén file iCalendar,rồi vào đó copy file classes.dex vào folder chứa công cụ dex2jar.

B2. Vào CommanWindow di chuyển đến folder chứa công cụ dex2jar thực hiện câu lệnh: dex2jar classes.dex để chuyển file classes.dex thành file .jar ta thu được file classes_dex2jar.jar .

B3. Dùng công cụ id-gui mở file classes_dex2jar thu được ở bước 2 để xem source code của ứng dụng iCalendar.

B4. Vào CommanWindow di chuyển đến folder chứa công cụ apktool (folder có công cụ apktool phải chứa file iCalendar.apk) thực hiện lần lượt 2 câu lệnh sau:+ apktool if iCalendar.apk+ apktool d iCalendar.apk

Ta thu được folder smali có chứa các file source code ứng dụng.

B5. Sửa các thông số ở 2 file iCalendar.smali và SmsReceiver.smali để thực hiện trên thiết bị giả lập.

B6. Vào CommandWindow thực hiện câu lệnh sau để đóng gói lại ứng dụng iCalendar đã được chỉnh sửa và ta thu được gói iCalendar.apk mới ở thư mục:…apktool\iCalendar\dist: apktool b iCalendar

B7. Di chuyển đến thư mục …java/bin (có chứa gói iCalendar.apk vừa mới tạo ra ở bước 6) và thực hiện 3 câu lệnh sau để verify gói apk này có thể sử dụng được trên thiết bị, các bước thực hiện từng câu lệnh ta sẽ thực hiện theo hướng dẫn trên CommandWindow, kết quả ta thu được như hình 10:+ keytool -genkey -v -keystore iCalendar-iCalendar.keystore -alias iCalendar -keyalg RSA -keysize 2048 -validity 10000+ jarsigner -verbose -sigalg SHA1withRSA -digestalg SHA1 -keystoreiCalendar-iCalendar.keystore iCalendar.apk iCalendar+ jarsigner -verify -verbose -certs iCalendar.apk

B8. Dùng lệnh sau để cài đặt ứng dụng vào thiết bị giả lập (ở đây ta cài đặt vào thiết bị 5554): adb -s emulator-5554 install iCalendar.apk

B9. Kiểm tra kết quả trên thiết bị.

B10. Thực hiện kích hoạt Trojan gửi tin nhắn từ thiết bị 5554 sang thiết bị 5556.

Kết quả thành công .