JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は8月5日、「Androidマルウェアのsmaliガジェット挿入による動的分析手法 - JPCERT/CC Eyes|JPCERTコーディネーションセンター公式ブログ」において、Androidマルウェアの動的分析手法「smaliガジェット挿入手法」について解説した。これはAPKファイルに分析用ガジェットを挿入・再構成して分析を可能にする手法。
Androidマルウェアのsmaliガジェット挿入による動的分析手法 - JPCERT/CC Eyes|JPCERTコーディネーションセンター公式ブログ
○smaliガジェット挿入手法の手順
smaliガジェット挿入手法の具体的な手順は次のとおり(カッコ内はコマンド例)。
Androidマルウェアを「Apktool」を使用して展開する(apktool d mal.apk)
マルウェアの機能を持つ分析したいsmaliファイルをJava逆コンパイラ「JADX」などで見つけ出す
smaliファイルをテキストエディターで開き、分析用ガジェットを挿入する
smaliファイルをアセンブルする
APKファイルを構築する(apktool b mal)
APKファイルに署名する(keytool -genkey -v -keystore test.store -alias example -keyalg RSA -validity 32767; apksigner sign --ks test.store -v --v2-signing-enabled true --ks-key-alias example mal.apk)
署名した分析用APKファイルを「Android Studio」などのサンドボックス環境で確認する
分析用ガジェットの挿入例 引用:JPCERT/CC
なお、再構築した分析用APKファイルをサンドボックス環境でテストする場合、サンドボックス環境をネットワークから切り離す必要がある。このテスト手法はマルウェアの動作を妨害しないため、マルウェアは通常通り仮想デバイスを侵害する点に注意が必要。
サンドボックスに分析用APKをインストールした例 引用:JPCERT/CC
サンドボックスにインストールされたマルウェアを起動すると、分析用ガジェットにより情報が記録される。この例ではAndroid Studioのログ出力(Logcat)から暗号化された文字列と、復号された文字列を確認できる。
ログ出力の例 引用:JPCERT/CC
○注意事項
この分析手法はあくまでもセキュリティ研究者向けの情報であり、セキュリティ研究者以外は試すべきではない。また、マルウェアは正当な理由なく所持すると法律に触れる可能性があるため、マルウェアの情報(今回はトロイの木馬「Cerberus」)が提供されていても入手しないことが望まれる。
PCMAX
ITトピックス
ITランキング
- 1
閉店相次ぐ地方百貨店、復活への「特別」画像あり
- 2
コロプラを訴えた任天堂特許戦略の考察 - ゆうすけ
- 3
honto週間ランキング発表!乃木坂46デビュー10周年記念公式BOOK『N46MODE vol.2』が総合第4位画像あり
- 4
Google Chrome基本キーボードショートカット11選(WindowsとmacOS)画像あり
- 5
iPhone用チップメーカー、身代金ウィルス感染で工場停止。1年以上パッチ未適用だった画像あり
- 6
Windows 11ユーザーを悩ませる迷惑なポップアップ通知が増加画像あり
- 7
大迫力の雲龍図を見学!荘厳な仏の世界に癒された「東福寺」【そうだ 京都、行こう。】画像あり
- 8
Apache HTTP Server 2.4に脆弱性、前回の不十分な対策を修正画像あり
- 9
台湾政府、セキュリティの問題からZoomの利用を禁止画像あり
- 10
SNS、ログインの53%が不正アクセス画像あり