資訊安全 Android 沙箱 Sandbox 惡意攻擊

刻意提取惡意apk 安裝AhMyth做遠端控制

設計實驗模擬惡意攻擊 App資安檢測蔚為重要

由於Android開放及碎片化特性,且部分App開發者設計不當,因此針對Android惡意攻擊的事件時有所聞。面對民眾關切App個人及敏感性資料保護等資訊安全議題,本文將介紹基本的Android App安全性分析檢測,並設計實驗示範說明Android的App分析檢測過程及內容。

提取惡意APK

本文使用Android Debug Bridge(adb)提取惡意apk,Android Debug Bridge(adb)可至Android Developers網站下載(https://developer.android.com/studio/command-line/adb),首先將OPPO F1f智慧型手機的開發者模式開啟,並啟用USB偵錯,與安裝Android Debug Bridge(adb)的電腦以USB連結,此時可以使用「adb devices」指令來確認是否連結成功,如圖9所示。

圖9  執行「adb devices」指令。

如果沒有顯示Device,則可至裝置管理員確認ADB驅動程式是否有正確安裝,如圖10所示,如未正確安裝,則至智慧型手機廠牌官方網站下載驅動程式再進行安裝。

圖10  ADB驅動程式安裝成功。

連結成功後,如圖11所示,使用「adb shell」指令進入Android環境。

圖11  執行「adb shell」指令進入Android環境。

在Android環境中執行「pm list packages」指令,可以列出Android所安裝之程式套件名稱,如圖12所示。

圖12  列出Android所安裝的程式套件名稱。

從套件名稱中尋找可疑的套件名稱,其中發現一個套件名稱「package:ahmyth.mine.king.ahmyth」,如圖13所示。

圖13  發現可疑package:ahmyth.mine.king.ahmyth。

接著,使用「pm path ahmyth.mine.king.ahmyth」指令取得程式套件apk之絕對位置「/data/APP/ahmyth.mine.king.ahmyth-l/base.apk」,如圖14所示。

圖14  執行pm path ahmyth.mine.king.ahmyth指令。

然後,使用「exit」指令回到Windows環境,執行「adb pull /data/APP/ahmyth.mine.king.ahmyth-l/base.apk」指令,將apk檔案提出至主機,如圖15所示。

圖15  執行「adb pull /data/APP/ahmyth.mine.king.ahmyth-l/base.apk」將apk檔案提出至主機。

APK分析

將提取出之「base.apk」上傳至Hybrid Analysis網站(網址為https://www.hybrid-analysis.com)進行分析,如圖16所示。

圖16  到Hybrid Analysis網站上傳apk檔。

隨後,產生報告內容,網址為「https://www.hybrid-analysis.com/sample/c3a7e0b3a79991abf12276964e75db574bf792dfa8135bf31973bf75a1fac401/5bf3b6477ca3e14d1247fa97」,在Risk Assessment欄位內可得到apk的風險評定資訊,如圖17所示。

圖17  檢視Risk Assessment資訊。



追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!