Androidマルウェアも欺く分析「smaliガジェット挿入手法」、JPCERT/CCが解説
マイナビニュース / 2024年8月7日 9時21分
JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は8月5日、「Androidマルウェアのsmaliガジェット挿入による動的分析手法 - JPCERT/CC Eyes|JPCERTコーディネーションセンター公式ブログ」において、Androidマルウェアの動的分析手法「smaliガジェット挿入手法」について解説した。これはAPKファイルに分析用ガジェットを挿入・再構成して分析を可能にする手法。
○smaliガジェット挿入手法の手順
smaliガジェット挿入手法の具体的な手順は次のとおり(カッコ内はコマンド例)。
Androidマルウェアを「Apktool」を使用して展開する(apktool d mal.apk)
マルウェアの機能を持つ分析したいsmaliファイルをJava逆コンパイラ「JADX」などで見つけ出す
smaliファイルをテキストエディターで開き、分析用ガジェットを挿入する
smaliファイルをアセンブルする
APKファイルを構築する(apktool b mal)
APKファイルに署名する(keytool -genkey -v -keystore test.store -alias example -keyalg RSA -validity 32767; apksigner sign --ks test.store -v --v2-signing-enabled true --ks-key-alias example mal.apk)
署名した分析用APKファイルを「Android Studio」などのサンドボックス環境で確認する
なお、再構築した分析用APKファイルをサンドボックス環境でテストする場合、サンドボックス環境をネットワークから切り離す必要がある。このテスト手法はマルウェアの動作を妨害しないため、マルウェアは通常通り仮想デバイスを侵害する点に注意が必要。
サンドボックスにインストールされたマルウェアを起動すると、分析用ガジェットにより情報が記録される。この例ではAndroid Studioのログ出力(Logcat)から暗号化された文字列と、復号された文字列を確認できる。
○注意事項
この分析手法はあくまでもセキュリティ研究者向けの情報であり、セキュリティ研究者以外は試すべきではない。また、マルウェアは正当な理由なく所持すると法律に触れる可能性があるため、マルウェアの情報(今回はトロイの木馬「Cerberus」)が提供されていても入手しないことが望まれる。
(後藤大地)
外部リンク
この記事に関連するニュース
-
Androidスパイウェア「LianSpy」発見、感染経路・攻撃者・目的すべて不明
マイナビニュース / 2024年8月7日 7時31分
-
Microsoftユーザーを狙うフィッシング多発、複数ベンダーが警戒呼びかけ
マイナビニュース / 2024年8月2日 7時51分
-
エレコムの無線LANルータに複数の脆弱性、確認を -JPCERT/CC
マイナビニュース / 2024年8月1日 10時28分
-
偽のビデオ会議アプリでMacユーザー狙う、北朝鮮の脅威者に警戒を
マイナビニュース / 2024年7月18日 16時56分
-
韓国企業狙うサイバー攻撃の矛先が日本企業へ、JPCERT/CCが警戒呼びかけ
マイナビニュース / 2024年7月10日 8時49分
ランキング
-
1『ドラクエ』使いたい!→ガッカリ… “馬車行き”確定、残念な美男美女たち
マグミクス / 2024年8月6日 21時55分
-
2これが13万2000円!? ヤフオクに出品された「ポケモン仕様の激レアゲーム機」に思わず二度見
ねとらぼ / 2024年8月7日 7時15分
-
3ブックオフ、従業員による内部不正を確認 国内24店舗で「架空買い取り」など発覚 社内調査の進捗報告
ITmedia NEWS / 2024年8月6日 18時48分
-
4任天堂、第1四半期は「減収減益」で調子が悪い? そうとは言い切れない3つの理由
マグミクス / 2024年8月6日 18時25分
-
5母から送られてきた1枚の写真→「ものすごく懐かしい」と感じた理由は…… 時を超えた衝撃の事実に「もしかしてすごく貴重なのでは!?」「こういう母になりたい」
ねとらぼ / 2024年8月7日 7時0分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください