RSAC: Reverzné inžinierstvo aplikácie pre Android za päť minút

Jedna z najbežnejších taktík na šírenie škodlivého softvéru – alebo dokonca len zlý aplikácie – v systéme Android prebaľuje aplikácie. Počas svojej prezentácie na konferencii RSA Pau Oliva Fora z viaForensics ukázali, že spätná analýza aplikácií pre Android trvá len niekoľko minút.



Získanie vašej aplikácie
Prvým krokom k spätnému inžinierstvu aplikácie, povedal Fora, bolo získať aplikáciu. Aj keď na vašom telefóne vyzerajú elegantne, aplikácie pre Android (alebo súbory APK) sú v skutočnosti iba súbory ZIP s novým rozšírením. Vnútri je všetko, čo aplikácia potrebuje na spustenie – od kódu až po akékoľvek médium, ktoré môže potrebovať.

Existuje niekoľko spôsobov, ako získať súbor APK. Ak máte aplikáciu, ktorú by ste chceli spätne analyzovať na svojom Androide, môžete použiť správcu súborov, ako je ASTRO, na uloženie zálohy na SD kartu. Je tiež možné pripojiť Android k počítaču a potom použiť Android Debugging Bridge na prenos aplikácie do počítača. Na vysávanie súborov APK zo služby Google Play môžete použiť aj online nástroje.





Ťahať to
Keď budete mať súbor APK, s ktorým budete pracovať, budete ho musieť previesť na niečo použiteľnejšie. Fora na tento účel predložil dve možnosti. Mohol by si rozoberať váš cieľ pomocou nástroja, ako je Apktool, ktorý prevedie kompilovaný súbor kódu aplikácie APK (Dalvik Executable alebo DEX) do jazyka symbolických inštancií, ako je Smali. Alebo by ste mohli dekompilovať , ktorý konvertuje DEX na Java Archive (JAR) a potom na Java.

Fórum poznamenalo, že keďže niektoré údaje sa môžu počas procesu dekompilácie stratiť, je lepšie použiť dekompilátor, ktorý bol vytvorený s ohľadom na Android. Toto preskočí krok JAR a konvertuje DEX priamo na Java.



Pre ľudí, ktorí nemajú záujem vystopovať všetky tieto nástroje sami, Fora navrhol Santoku. Toto je špeciálna distribúcia Linuxu od viaForensics, ktorá sa dodáva so všetkými nástrojmi, ktoré potrebujete na rozloženie, úpravu a opätovné zabalenie aplikácie pre Android. Je to výkonný digitálny forenzný nástroj, o ktorom sme už písali v minulosti.

Rýchly spätný chod
Ak ste počas posledných odsekov zaspali, tu sa zobudíte. Pomocou Santoku Fora získal veľmi základnú aplikáciu pre Android, ktorú vytvoril, a rozdelil ju. Potom si prezrel kód pre konkrétny riadok, upravil kód, prebalil ho, podpísal, preinštaloval upravenú aplikáciu na svoj Android a spustil ju. Celý proces trval menej ako päť minút.

Fora's bol veľmi jednoduchý príklad. Aplikácia bola veľmi jednoduchá a neobsahovala žiadny zahmlený kód. Jeho demonštrácia však mala silné dôsledky. „Môžete to urobiť, aby ste zmenili správanie akejkoľvek aplikácie pre Android,“ povedal Fora a uviedol ako niekoľko príkladov nekonečné životy v hre alebo platené funkcie v bezplatnej aplikácii.

Odstrašujúci príklad? Jednoducho vrhnite svoju myseľ späť na ktorúkoľvek z nich škodlivé klonované aplikácie videli sme. Myslite na to skôr, ako si stiahnete ten útržkovitý klon FlappyBird.

Odporúčaná