SlideShare a Scribd company logo

Nghiên cứu các chương trình có mã độc trên android và nghiên cứu cài đặt backdoor, trojan lên android (i calendar)

Download as DOCX, PDF
Nguyen Anh
Nguyen Anh
1 of 13
Nguyễn Hoàng Anh – lớp CNTT – ca sáng 2-4-6 Báo cáo đề tài 5: Nghiên cứu các Trojan, Malware cho phép đánh cắp dữ liệu như danh sách contact, tin nhắn trên điện thoại sử dụng Android và gửi ra ngoài. Nghiên cứu các chương trình có mã độc trên Android và nghiên cứu cài đặt backdoor, trojan lên Android (iCalendar) 1.Định nghĩa: Mã độc là một đoạn code được đưa vào phần mềm nhằm thay đổi các thực thi của hệ điều hành hoặc các chương trình bảo vệ máy tính mà không cần sự cho phép của người sử dụng. Bằng cách này, phần mềm có chứa mã độc sẽ gây hại cho hệ điều hành cũng như các chương trình ứng dụng và người dùng thiết bị. 2.Mã độc trong môi trường Android: Android là một môi trường lý tưởng cho mã độc phát triển vì: Phần lớn các smartphone đều hỗ trợ các ứng dụng email, internet baking…Sử dụng các ứng dụng này đồng nghĩa với việc cung cấp thông tin cá nhân. Android hiện tại giữ vị trí số một trong các hệ điều hành dành cho smartphone và máy tính bảng. Android là một hệ điều hành mở. Mục tiêu của mã độc Android: Có nhiều cách phân loại mã độc trong android: Nghiên cứu của Troy Vennon dựa vào cách hoạt động lây nhiễm của mã độc đã chia ra làm bốn loại. Nghiên cứu của K.H.Khan & M.N.Tahir phân loai mã độc làm 6 nhóm.
Trang web forenics chuyên nghiên cứu về mã độc dựa vào mục tiêu của mã độc để chia ra làm 9 họ: Đánh cấp thông tin cá nhân 51,3% Gửi tin nhắn trái phép (IMEL,..) 30,1% Botnet(spam, thư rác,..) 23,5% Truy cập Root 18,3% Tải từ Google-Play 11,3% Cài đặt các ứng dụng khác 10,4% Đánh cấp định vị của người dùng 8,7% Cài đặt các ứng dụng hỗ trợ hacker 7,8% Trojans (tiếp cận các dịch vụ ngân hàng trực tiếp) 3,5% 3.Tính bảo mật trong Android Các ứng dụng android được tách biệt với nhau trong quá trình thực thi. Các ứng dụng android được phân biệt bởi system ID. Các ứng dụng android phải được signing mới có thể cài đặt vào hệ thống. Bảo mật trong android được thể hiện qua cơ chế “Permission” Cơ chế Permission: Bất cứ những tác vụ nào gây ảnh hưởng cho các ứng dụng khác, hệ điều hành và người sử dụng thiết bị đều được bảo vệ bởi cơ chế Permission, ví dụ như đọc gửi tin nhắn, truy cập mạng, thực hiện cuộc gọi, truy cập vào thông tin cá nhân,..Nói cách khác người lập trình ứng dụng sẽ khai báo Permission cho những nguồn tài nguyên này và người dùng sẽ được thông báo trước khi cài đặt ứng dụng. Google Play: Kiểm soát các mã độc trên ứng dụng.
4.Thực trạng Một báo cáo mới vừa được công bố, cho thấy mức độ nghiêm trọng của mã độc trên Android - hệ điều hành di động phổ biến nhất thế giới có đến 99,9% số lượng mã độc mới được phát hiện trong quý I năm 2013 được thiết kế để nhắm đến nền tảng Android. Đây là một con số báo động về tình trạng mã độc trên nền tảng di động của Google vừa được hãng bảo mật Kaspersky Lab công bố. Phần lớn trong số các loại mã độc trên Android là virus trojan, một dạng virus chủ yếu để sử dụng để đánh cắp tiền của người dùng bị lây nhiễm bằng cách gửi đến họ những tin nhắn lừa đảo, đọc lén các thông tin cần thiết và gửi báo cáo đến nơi khác, ăn cắp thông tin như là mật khẩu và số thẻ tín dụng, cài đặt lén các phần mềm chưa được cho phép, ….. Loại mã độc này chiếm đến 63% tổng số các loại mã độc mới được phát tán trên Android trong quý I năm 2013. Các nhà nghiên cứu bảo mật của Kaspersky cũng báo cáo một sự bùng nồ về số lượng các mã độc hại trên di động. Theo đó chỉ tính riêng trong 3 tháng đầu năm 2013, Kaspersky đã phát hiện được số lượng mã độc mới trên các nền tảng di động bằng tổng số lượng mã độc được phát hiện trong cả năm 2012 mà Android là nền tảng chịu ảnh hưởng nặng nhất. Với việc Android tiếp tục trở thành “mồi ngon” của hacker trong việc phát tán các loại mã độc, có vẻ như Android đang dần trở thành một “Windows thứ 2” trên lĩnh vực bảo mật, khi sự phổ biến của nền tảng này đang thu hút tối đa sự chú ý của các tin tặc, đồng thời việc quản lý các ứng dụng cho Android một cách lỏng lẻo càng tạo điều kiện cho mã độc được phát tán dễ dàng hơn trên nền tảng di động này. Bên cạnh lĩnh vực mã độc trên nền tảng di động, báo cáo về tình trạng bảo mật trong quý 1/2013 của Kaspersky cũng cho biết 91% các vụ phát tán mã độc chủ yếu dựa vào việc phát tán các đường link trang web có chứa mã độc. Các đường link có chứa mã độc này chủ yếu được phát tán thông qua email và trên các mạng xã hội như Facebook, Twitter… Đây được xem là biện pháp được yêu thích nhất hiện nay của hacker. Con số cụ thể các loại mã độc (bao gồm cả trên nền tảng di động và các nền tảng khác) đã được Kaspersky phát hiện và vô hiệu hóa trong quý I năm 2013 là 1.345.570..352 mã độc (hơn 1 tỉ mã độc). Trong đó có hơn 60% các loại mã độc phát tán từ 3 quốc giá: Mĩ (25%), Nga (19%) và Hà Lan (14%).
5. Nghiên cứu lỗ hổng bảo mật trên Android. 5.1. Malware trên Android. Malware không chỉ mối lo ngại với người dùng máy tính mà bây giờ còn lấn sang cả hệ điều hành dành cho smartphone, đặc biệt là Android. Malware (phần mềm ác tính) viết tắt của cụm từ Malicious Sofware, là một phần mềm máy tính được thiết kế với mục đích thâm nhập hoặc gây hỏng hóc máy tính mà người sử dụng không hề hay biết. Người viết nên nó ban đầu chỉ tập trung vào máy tính, nhất là Windows khi nó chiếm đến 90% tổng số Malware xuất hiện trên các nền tảng, bên cạnh đó là các OS khác như Linux, Chrome OS, MacOs... nhưng không đáng kể. Tuy nhiên giờ đây khi Smartphone đang ngày càng phát triển và phổ biến dần thay thế máy tính từ các công việc soạn thảo văn bản, giải trí đến giao dịch ngân hàng thì nó trở thành mục tiêu tấn công của Malware. Theo thống kê của các hãng bảo mật trên thế giới thì hiện các Malware hiện nay mới chỉ dừng lại ở mức độ xâm nhập và ăn cắp thông tin của người dùng và nó chưa có cơ chế lây lan. Theo các kết quả trên thì Malware trên Smartphone hiện nay về cách thức hoạt động giống như một phần mềm gián điệp (Trojan), phần lớn nhắm vào dịch vụ Mobile Banking trên Smartphone để lấy cắp thông tin, các thao tác xác nhận... thông qua việc sử dụng SMS Spy, tức là theo dõi tin nhắn SMS khi bạn thực hiện giao dịch với ngân hàng. Bên cạnh đó là nhằm vào các cuộc gọi thực hiện trên máy bạn, tắt một số dịch vụ để dễ kiểm soát. 5.2 Cơ chế hoạt động của Malware. Lấy một ví dụ cụ thể về 1 Malware rất phổ biến trong thời gian vừa qua đó là Malware DroidDream. Malware này hoạt động qua 2 giai đoạn: - Giai đoạn đầu: DroidDream được nhúng vào trong một ứng dụng (số lượng ứng dụng chứa Malware này hiện đã nhiều hơn 50 ứng dụng) và sẽ chiếm được quyền root vào thiết bị của bạn ngay sau khi bạn chạy ứng dụng đó trong lần sử dụng đầu tiên. - Giai đoạn 2 : Tự động cài đặt một ứng dụng thứ 2 với một permission đặc biệt cho phép quyền uninstall. Một khi các ứng dụng thứ 2 được cài đặt, nó có thể gửi các thông tin nhạy cảm tới một máy chủ từ xa và âm thầm tải thêm các ứng dụng khác Một khi DroidDream chiếm được quyền root, Malware này sẽ chờ đợi và âm
thầm cài đặt một ứng dụng thứ hai, DownloadProviderManager.apk như một ứng dụng hệ thống. Việc cài đặt ứng dụng hệ thống này nhằm ngăn ngừa người dùng xem hoặc gỡ bỏ cài đặt các ứng dụng mà không được phép. Không giống như giai đoạn đầu, người dùng phải khởi động ứng dụng để bắt đầu việc lây nhiễm, ở giai đoạn thứ 2 ứng dụng tự động làm một số việc như là confirm, checkin….Một điều nữa khiến cho bạn không thể biết chúng hoạt động lúc nào, đó là Malware DroidDream này được lập trình để làm hầu hết các công việc của mình vào khoảng thời gian từ 11h đêm tới 8h sáng ngày hôm sau. Đây là khoảng thời gian mà điện thoại ít có khả năng được sử dụng nhất. Điều này làm cho người dùng khó khăn hơn trong việc phát hiện một hành vi bất thường trên chiếc smartphone của mình. 5.3.Mục đích của Malware DroidDream DroidDream được coi là một trong những Malware đầu tiên trên Android, mục đích của con DroidDream này mới chỉ dừng lại ở mức độ làm cho chiếc điện thoại của người dùng tự động cài đặt những ứng dụng chứa mã độc khác. Tuy nhiên các biến thể của nó đã kịp thời biến đổi để gây ra các mối nguy hại lớn hơn rất nhiều. Ví dụ như Hippo SMS được tìm thấy mới đây có khả năng tự gửi tin nhắn mà không cần sự cho phép của người dùng, việc này sẽ khiến tiền cước phí của người dùng tăng lên một cách chóng mặt mà người dùng không biết rõ lí do tại sao. Hoặc một Malware khác là Zitmo, Malware này đưa ra các ứng dụng kích hoạt mọi hành động liên quan đến dịch vụ ngân hàng, tiếp nhận SMS gửi đến và chuyển tới máy chủ. Các đoạn code dùng 1 lần mà các ngân hàng thường gửi tới khách hàng thông qua tin nhắn SMS để chứng thực sẽ bị thu thập bởi các malware này. Hiện nay còn có một số Malware còn có khả năng nghe lén tất cả các cuộc điện thoại. Vấn đề này thực sự nguy hiểm khi tất cả các vấn đề riêng tư của chúng ta đang bị một theo dõi, vì vậy những mối nguy hiểm từ mã độc trên android đang thực sự đe dọa đến an sự an toàn của người dùng hệ điều hành này. 6. Cài đặt trojan trên Android (iCalendar) Các công cụ cần thiết: apktool: giải mã các file .apk và .rar, đóng gói apk phục vụ cho việc tùy chỉnh sửa đổi các file đó. https://code.google.com/p/android-apktool/
dex2jar: dịch file .apk thành file .jar. https://code.google.com/p/dex2jar/ id-gui: đọc code java từ file .jar. https://code.google.com/p/innlab/downloads/detail?name=jd-gui- 0.3.3.windows.zip&can=2&q=2 File iCalendar.apk, một trong 11 ứng dụng bị gỡ bỏ khỏi Android Market do có chứa malware. Các bước thực hiện: 1. Dùng phần mềm WinZip giải nén file classes.dex trong iCalendar.apk vào folder chứa công cụ dex2jar. 2. Vào command windows, vào trong thư mục dex2jar để thực hiện câu lệnh sau: dex2jar classes.dex
Câu lệnh này chuyển đổi file classes.dex thành file classes_dex2jar.jar. 3. Dùng công cụ id-gui để mở file classes_dex2jar.jar có được ở bước 2 để xem source code của ứng dụng iCalendar. 4. Vào command windows, vào trong thư mục chứa apktool (phải chứa sẵn iCalendar.apk) và nhập 2 lệnh sau: apktool if iCalendar.apk apktool d iCalendar.apk Ta được kết quả:
Truy cập vào thư mục iCalendar và di chuyển đến thư mục smalicommjiCalendar 5. Mở file iCalendar.smali và file SmsReceiver.smali bằng Notepad và thực hiện như hình bên dưới sau đó lưu lại.
6. Vào command windows thực hiện câu lệnh sau để đóng gói ứng dụng iCalendar đã được chỉnh sửa thành file .apk mới tại thư mục iCalendardist apktool b iCalendar
7. Đưa file iCalendar.apk đã tạo ở bước 6 vào thư mục bin nằm trong thư mục Java Trên command windows vào thư mục trên và nhập các lệnh sau để verify (Signing ứng dụng, tạo chữ ký điện tử để thiết bị) gói apk để có thể sử dụng trên thiết bị (phải chọn run as administrator khi chạy cmd):: keytool -genkey -v -keystore iCalendar-iCalendar.keystore -alias iCalendar -keyalg RSA -keysize 2048 -validity 10000
jarsigner -verbose -sigalg SHA1withRSA -digestalg SHA1 -keystore iCalendar-iCalendar.keystore iCalendar.apk iCalendar jarsigner -verify -verbose -certs iCalendar.apk Kết quả: Ta đã verify thành công file apk. 8. Copy file iCalendar.apk vào thư mục platform-tools của Android SDK và dùng lệnh sau để cài ứng dụng vào giả lập adb -s emulator-5554 install iCalendar.apk
Vậy ta đã cài đặt thành công lên máy ảo. 9. Kích hoạt Trojan gửi tin nhắn đến máy ảo 5556 (mở ứng dụng iCalendar rồi click 7 lần). Kết quả
Nghiên cứu các chương trình có mã độc trên android và nghiên cứu cài đặt backdoor, trojan lên android (i calendar)

Recommended

Cài đặt trojan cho android
Cài đặt trojan cho androidCài đặt trojan cho android
Cài đặt trojan cho androidthach28
 
Tạo mã độc trên vps để xâm nhập android - Nguyen Xuan Ngoc
Tạo mã độc trên vps để xâm nhập android - Nguyen Xuan NgocTạo mã độc trên vps để xâm nhập android - Nguyen Xuan Ngoc
Tạo mã độc trên vps để xâm nhập android - Nguyen Xuan NgocXuân Ngọc Nguyễn
 
Cách tạo mã độc trên kali linux và triển khai trên android ảo
Cách tạo mã độc trên kali linux và triển khai trên android ảoCách tạo mã độc trên kali linux và triển khai trên android ảo
Cách tạo mã độc trên kali linux và triển khai trên android ảothach28
 
Hack android dùng metasploit cài trên VPS
Hack android dùng metasploit cài trên VPSHack android dùng metasploit cài trên VPS
Hack android dùng metasploit cài trên VPSLê Lãnh
 
Vũ Thanh Hiếu tạo mã độc trên kali linux để xâm nhập android
Vũ Thanh Hiếu tạo mã độc trên kali linux để xâm nhập androidVũ Thanh Hiếu tạo mã độc trên kali linux để xâm nhập android
Vũ Thanh Hiếu tạo mã độc trên kali linux để xâm nhập androidAnh Hiếu
 
Xâm nhập điện thoại android qua vps trên internet
Xâm nhập điện thoại android qua vps trên internetXâm nhập điện thoại android qua vps trên internet
Xâm nhập điện thoại android qua vps trên internetthach28
 
Kali linux
Kali linuxKali linux
Kali linuxTân Trần
 
Tạo mã độc trên vps để xâm nhập android ( môi trường internet )
Tạo mã độc trên vps để xâm nhập android ( môi trường internet )Tạo mã độc trên vps để xâm nhập android ( môi trường internet )
Tạo mã độc trên vps để xâm nhập android ( môi trường internet )Trọng An
 

Recommended

Cài đặt trojan cho android
Cài đặt trojan cho androidCài đặt trojan cho android
Cài đặt trojan cho androidthach28
 
Tạo mã độc trên vps để xâm nhập android - Nguyen Xuan Ngoc
Tạo mã độc trên vps để xâm nhập android - Nguyen Xuan NgocTạo mã độc trên vps để xâm nhập android - Nguyen Xuan Ngoc
Tạo mã độc trên vps để xâm nhập android - Nguyen Xuan NgocXuân Ngọc Nguyễn
 
Cách tạo mã độc trên kali linux và triển khai trên android ảo
Cách tạo mã độc trên kali linux và triển khai trên android ảoCách tạo mã độc trên kali linux và triển khai trên android ảo
Cách tạo mã độc trên kali linux và triển khai trên android ảothach28
 
Hack android dùng metasploit cài trên VPS
Hack android dùng metasploit cài trên VPSHack android dùng metasploit cài trên VPS
Hack android dùng metasploit cài trên VPSLê Lãnh
 
Vũ Thanh Hiếu tạo mã độc trên kali linux để xâm nhập android
Vũ Thanh Hiếu tạo mã độc trên kali linux để xâm nhập androidVũ Thanh Hiếu tạo mã độc trên kali linux để xâm nhập android
Vũ Thanh Hiếu tạo mã độc trên kali linux để xâm nhập androidAnh Hiếu
 
Xâm nhập điện thoại android qua vps trên internet
Xâm nhập điện thoại android qua vps trên internetXâm nhập điện thoại android qua vps trên internet
Xâm nhập điện thoại android qua vps trên internetthach28
 
Kali linux
Kali linuxKali linux
Kali linuxTân Trần
 
Tạo mã độc trên vps để xâm nhập android ( môi trường internet )
Tạo mã độc trên vps để xâm nhập android ( môi trường internet )Tạo mã độc trên vps để xâm nhập android ( môi trường internet )
Tạo mã độc trên vps để xâm nhập android ( môi trường internet )Trọng An
 
ATHENA - Nguyen Xuan Ngoc - Giua Ky
ATHENA - Nguyen Xuan Ngoc - Giua KyATHENA - Nguyen Xuan Ngoc - Giua Ky
ATHENA - Nguyen Xuan Ngoc - Giua KyXuân Ngọc Nguyễn
 
Genmymotion
GenmymotionGenmymotion
GenmymotionTân Trần
 
Metasploit
MetasploitMetasploit
MetasploitTân Trần
 
BÁO CÁO THỰC TẬP ATHENA - BÁO CÁO GIỮA KỲ
BÁO CÁO THỰC TẬP ATHENA - BÁO CÁO GIỮA KỲBÁO CÁO THỰC TẬP ATHENA - BÁO CÁO GIỮA KỲ
BÁO CÁO THỰC TẬP ATHENA - BÁO CÁO GIỮA KỲphanconghien
 
Tạo mã độc trên kali linux để xâm nhập android (mạng lan )
Tạo mã độc trên kali linux để xâm nhập android (mạng lan )Tạo mã độc trên kali linux để xâm nhập android (mạng lan )
Tạo mã độc trên kali linux để xâm nhập android (mạng lan )Trọng An
 
BÁO CÁO THỰC TẬP - GIỮA KỲ
BÁO CÁO THỰC TẬP - GIỮA KỲBÁO CÁO THỰC TẬP - GIỮA KỲ
BÁO CÁO THỰC TẬP - GIỮA KỲkakawpah0911
 
Athena tuần 2
Athena tuần 2Athena tuần 2
Athena tuần 2thanhthong1210
 
Bao cao
Bao caoBao cao
Bao caoChuc Thanh
 
1
11
1Chuc Thanh
 
Athena tuần 4
Athena tuần 4Athena tuần 4
Athena tuần 4thanhthong1210
 
Cài đặt kali linux trên máy ảo VMware
Cài đặt kali linux trên máy ảo VMwareCài đặt kali linux trên máy ảo VMware
Cài đặt kali linux trên máy ảo VMwareNguyen Stone
 
BÁO CÁO THỰC TẬP ATHENA - TUẦN 1
BÁO CÁO THỰC TẬP ATHENA - TUẦN 1BÁO CÁO THỰC TẬP ATHENA - TUẦN 1
BÁO CÁO THỰC TẬP ATHENA - TUẦN 1phanconghien
 
Báo cáo tuần 4
Báo cáo tuần 4Báo cáo tuần 4
Báo cáo tuần 4Hà Tiên Nhi
 
Slide bao cao giua ki
Slide bao cao giua ki Slide bao cao giua ki
Slide bao cao giua ki thach28
 
Tuần 3 tạo mã độc trên kali linux
Tuần 3 tạo mã độc trên kali linuxTuần 3 tạo mã độc trên kali linux
Tuần 3 tạo mã độc trên kali linuxHường Tô
 
Slide báo cáo: System Hacking
Slide báo cáo: System HackingSlide báo cáo: System Hacking
Slide báo cáo: System HackingHuynh Khang
 
BÁO CÁO THỰC TẬP - TUẦN 3-4
BÁO CÁO THỰC TẬP - TUẦN 3-4BÁO CÁO THỰC TẬP - TUẦN 3-4
BÁO CÁO THỰC TẬP - TUẦN 3-4kakawpah0911
 
Kali Linux
Kali LinuxKali Linux
Kali LinuxChuc Thanh
 
Athena tuần 5
Athena tuần 5Athena tuần 5
Athena tuần 5thanhthong1210
 
Bao cao athena 1
Bao cao athena 1Bao cao athena 1
Bao cao athena 1NhoxPO
 
Tuan 2
Tuan 2Tuan 2
Tuan 2Hữu Mỹ Lê Phan
 
Bai bao cao 2
Bai bao cao 2Bai bao cao 2
Bai bao cao 2tuankiet123
 

More Related Content

What's hot

BÁO CÁO THỰC TẬP ATHENA - BÁO CÁO GIỮA KỲ
BÁO CÁO THỰC TẬP ATHENA - BÁO CÁO GIỮA KỲBÁO CÁO THỰC TẬP ATHENA - BÁO CÁO GIỮA KỲ
BÁO CÁO THỰC TẬP ATHENA - BÁO CÁO GIỮA KỲphanconghien
 
Tạo mã độc trên kali linux để xâm nhập android (mạng lan )
Tạo mã độc trên kali linux để xâm nhập android (mạng lan )Tạo mã độc trên kali linux để xâm nhập android (mạng lan )
Tạo mã độc trên kali linux để xâm nhập android (mạng lan )Trọng An
 
BÁO CÁO THỰC TẬP - GIỮA KỲ
BÁO CÁO THỰC TẬP - GIỮA KỲBÁO CÁO THỰC TẬP - GIỮA KỲ
BÁO CÁO THỰC TẬP - GIỮA KỲkakawpah0911
 
Cài đặt kali linux trên máy ảo VMware
Cài đặt kali linux trên máy ảo VMwareCài đặt kali linux trên máy ảo VMware
Cài đặt kali linux trên máy ảo VMwareNguyen Stone
 
BÁO CÁO THỰC TẬP ATHENA - TUẦN 1
BÁO CÁO THỰC TẬP ATHENA - TUẦN 1BÁO CÁO THỰC TẬP ATHENA - TUẦN 1
BÁO CÁO THỰC TẬP ATHENA - TUẦN 1phanconghien
 
Slide bao cao giua ki
Slide bao cao giua ki Slide bao cao giua ki
Slide bao cao giua ki thach28
 
Tuần 3 tạo mã độc trên kali linux
Tuần 3 tạo mã độc trên kali linuxTuần 3 tạo mã độc trên kali linux
Tuần 3 tạo mã độc trên kali linuxHường Tô
 
Slide báo cáo: System Hacking
Slide báo cáo: System HackingSlide báo cáo: System Hacking
Slide báo cáo: System HackingHuynh Khang
 
BÁO CÁO THỰC TẬP - TUẦN 3-4
BÁO CÁO THỰC TẬP - TUẦN 3-4BÁO CÁO THỰC TẬP - TUẦN 3-4
BÁO CÁO THỰC TẬP - TUẦN 3-4kakawpah0911
 

What's hot (19)

ATHENA - Nguyen Xuan Ngoc - Giua Ky
ATHENA - Nguyen Xuan Ngoc - Giua KyATHENA - Nguyen Xuan Ngoc - Giua Ky
ATHENA - Nguyen Xuan Ngoc - Giua Ky
 
Genmymotion
GenmymotionGenmymotion
Genmymotion
 
Metasploit
MetasploitMetasploit
Metasploit
 
BÁO CÁO THỰC TẬP ATHENA - BÁO CÁO GIỮA KỲ
BÁO CÁO THỰC TẬP ATHENA - BÁO CÁO GIỮA KỲBÁO CÁO THỰC TẬP ATHENA - BÁO CÁO GIỮA KỲ
BÁO CÁO THỰC TẬP ATHENA - BÁO CÁO GIỮA KỲ
 
Tạo mã độc trên kali linux để xâm nhập android (mạng lan )
Tạo mã độc trên kali linux để xâm nhập android (mạng lan )Tạo mã độc trên kali linux để xâm nhập android (mạng lan )
Tạo mã độc trên kali linux để xâm nhập android (mạng lan )
 
BÁO CÁO THỰC TẬP - GIỮA KỲ
BÁO CÁO THỰC TẬP - GIỮA KỲBÁO CÁO THỰC TẬP - GIỮA KỲ
BÁO CÁO THỰC TẬP - GIỮA KỲ
 
Athena tuần 2
Athena tuần 2Athena tuần 2
Athena tuần 2
 
Bao cao
Bao caoBao cao
Bao cao
 
1
11
1
 
Athena tuần 4
Athena tuần 4Athena tuần 4
Athena tuần 4
 
Cài đặt kali linux trên máy ảo VMware
Cài đặt kali linux trên máy ảo VMwareCài đặt kali linux trên máy ảo VMware
Cài đặt kali linux trên máy ảo VMware
 
BÁO CÁO THỰC TẬP ATHENA - TUẦN 1
BÁO CÁO THỰC TẬP ATHENA - TUẦN 1BÁO CÁO THỰC TẬP ATHENA - TUẦN 1
BÁO CÁO THỰC TẬP ATHENA - TUẦN 1
 
Báo cáo tuần 4
Báo cáo tuần 4Báo cáo tuần 4
Báo cáo tuần 4
 
Slide bao cao giua ki
Slide bao cao giua ki Slide bao cao giua ki
Slide bao cao giua ki
 
Tuần 3 tạo mã độc trên kali linux
Tuần 3 tạo mã độc trên kali linuxTuần 3 tạo mã độc trên kali linux
Tuần 3 tạo mã độc trên kali linux
 
Slide báo cáo: System Hacking
Slide báo cáo: System HackingSlide báo cáo: System Hacking
Slide báo cáo: System Hacking
 
BÁO CÁO THỰC TẬP - TUẦN 3-4
BÁO CÁO THỰC TẬP - TUẦN 3-4BÁO CÁO THỰC TẬP - TUẦN 3-4
BÁO CÁO THỰC TẬP - TUẦN 3-4
 
Kali Linux
Kali LinuxKali Linux
Kali Linux
 
Athena tuần 5
Athena tuần 5Athena tuần 5
Athena tuần 5
 

Similar to Nghiên cứu các chương trình có mã độc trên android và nghiên cứu cài đặt backdoor, trojan lên android (i calendar)

Bao cao athena 1
Bao cao athena 1Bao cao athena 1
Bao cao athena 1NhoxPO
 
Bài 9-An toàn trên không gian mạng-12042024
Bài 9-An toàn trên không gian mạng-12042024Bài 9-An toàn trên không gian mạng-12042024
Bài 9-An toàn trên không gian mạng-12042024markha82
 
Bao cao cuoi ki version full
Bao cao cuoi ki version fullBao cao cuoi ki version full
Bao cao cuoi ki version fullVõ Nhựt Tân
 
Bài 2: Phần mềm độc hại và các dạng tấn công sử dụng kỹ nghệ xã hội - Giáo tr...
Bài 2: Phần mềm độc hại và các dạng tấn công sử dụng kỹ nghệ xã hội - Giáo tr...Bài 2: Phần mềm độc hại và các dạng tấn công sử dụng kỹ nghệ xã hội - Giáo tr...
Bài 2: Phần mềm độc hại và các dạng tấn công sử dụng kỹ nghệ xã hội - Giáo tr...MasterCode.vn
 
Bc attt t01_th03
Bc attt t01_th03Bc attt t01_th03
Bc attt t01_th03tronghai9
 
tai lieu dao tao nhan thuc attt
tai lieu dao tao nhan thuc attttai lieu dao tao nhan thuc attt
tai lieu dao tao nhan thuc atttNguyen Xuan Quang
 
BÁO CÁO THỰC TẬP - TUẦN 1
BÁO CÁO THỰC TẬP - TUẦN 1BÁO CÁO THỰC TẬP - TUẦN 1
BÁO CÁO THỰC TẬP - TUẦN 1kakawpah0911
 
BÁO CÁO THỰC TẬP ATHENA - TUẦN 5
BÁO CÁO THỰC TẬP ATHENA - TUẦN 5BÁO CÁO THỰC TẬP ATHENA - TUẦN 5
BÁO CÁO THỰC TẬP ATHENA - TUẦN 5phanconghien
 
Tong Quan Ve Malware
Tong Quan Ve MalwareTong Quan Ve Malware
Tong Quan Ve Malwareguest4a3ff91
 
Security Bootcamp 2013 mo hinh ung dung hoi chan ma doc truc tuyen trong ti...
Security Bootcamp 2013 mo hinh ung dung hoi chan ma doc truc tuyen trong ti...Security Bootcamp 2013 mo hinh ung dung hoi chan ma doc truc tuyen trong ti...
Security Bootcamp 2013 mo hinh ung dung hoi chan ma doc truc tuyen trong ti...Security Bootcamp
 
Security Bootcamp 2013 - Mô hình ứng dụng hội chẩn mã độc trực tuyến trong ...
Security Bootcamp 2013 - Mô hình ứng dụng hội chẩn mã độc trực tuyến trong ...Security Bootcamp 2013 - Mô hình ứng dụng hội chẩn mã độc trực tuyến trong ...
Security Bootcamp 2013 - Mô hình ứng dụng hội chẩn mã độc trực tuyến trong ...Security Bootcamp
 
Báo cáo lần 1
Báo cáo lần 1Báo cáo lần 1
Báo cáo lần 1Anhh Hữu
 

Similar to Nghiên cứu các chương trình có mã độc trên android và nghiên cứu cài đặt backdoor, trojan lên android (i calendar) (20)

Bao cao athena 1
Bao cao athena 1Bao cao athena 1
Bao cao athena 1
 
Tuan 2
Tuan 2Tuan 2
Tuan 2
 
Bai bao cao 2
Bai bao cao 2Bai bao cao 2
Bai bao cao 2
 
Bai bao cao 2
Bai bao cao 2Bai bao cao 2
Bai bao cao 2
 
Kali Linux
Kali LinuxKali Linux
Kali Linux
 
Bài 9-An toàn trên không gian mạng-12042024
Bài 9-An toàn trên không gian mạng-12042024Bài 9-An toàn trên không gian mạng-12042024
Bài 9-An toàn trên không gian mạng-12042024
 
Báo cáo cuối kì
Báo cáo cuối kìBáo cáo cuối kì
Báo cáo cuối kì
 
Báo cáo cuối kỳ
Báo cáo cuối kỳBáo cáo cuối kỳ
Báo cáo cuối kỳ
 
Bao cao hoan chinh
Bao cao hoan chinhBao cao hoan chinh
Bao cao hoan chinh
 
Bao cao cuoi ki version full
Bao cao cuoi ki version fullBao cao cuoi ki version full
Bao cao cuoi ki version full
 
Bài 2: Phần mềm độc hại và các dạng tấn công sử dụng kỹ nghệ xã hội - Giáo tr...
Bài 2: Phần mềm độc hại và các dạng tấn công sử dụng kỹ nghệ xã hội - Giáo tr...Bài 2: Phần mềm độc hại và các dạng tấn công sử dụng kỹ nghệ xã hội - Giáo tr...
Bài 2: Phần mềm độc hại và các dạng tấn công sử dụng kỹ nghệ xã hội - Giáo tr...
 
Bc attt t01_th03
Bc attt t01_th03Bc attt t01_th03
Bc attt t01_th03
 
tai lieu dao tao nhan thuc attt
tai lieu dao tao nhan thuc attttai lieu dao tao nhan thuc attt
tai lieu dao tao nhan thuc attt
 
BÁO CÁO THỰC TẬP - TUẦN 1
BÁO CÁO THỰC TẬP - TUẦN 1BÁO CÁO THỰC TẬP - TUẦN 1
BÁO CÁO THỰC TẬP - TUẦN 1
 
BÁO CÁO THỰC TẬP ATHENA - TUẦN 5
BÁO CÁO THỰC TẬP ATHENA - TUẦN 5BÁO CÁO THỰC TẬP ATHENA - TUẦN 5
BÁO CÁO THỰC TẬP ATHENA - TUẦN 5
 
Tong Quan Ve Malware
Tong Quan Ve MalwareTong Quan Ve Malware
Tong Quan Ve Malware
 
Security Bootcamp 2013 mo hinh ung dung hoi chan ma doc truc tuyen trong ti...
Security Bootcamp 2013 mo hinh ung dung hoi chan ma doc truc tuyen trong ti...Security Bootcamp 2013 mo hinh ung dung hoi chan ma doc truc tuyen trong ti...
Security Bootcamp 2013 mo hinh ung dung hoi chan ma doc truc tuyen trong ti...
 
Security Bootcamp 2013 - Mô hình ứng dụng hội chẩn mã độc trực tuyến trong ...
Security Bootcamp 2013 - Mô hình ứng dụng hội chẩn mã độc trực tuyến trong ...Security Bootcamp 2013 - Mô hình ứng dụng hội chẩn mã độc trực tuyến trong ...
Security Bootcamp 2013 - Mô hình ứng dụng hội chẩn mã độc trực tuyến trong ...
 
Báo cáo lần 1
Báo cáo lần 1Báo cáo lần 1
Báo cáo lần 1
 
Báo cáo tuần 1
Báo cáo tuần 1Báo cáo tuần 1
Báo cáo tuần 1
 

Nghiên cứu các chương trình có mã độc trên android và nghiên cứu cài đặt backdoor, trojan lên android (i calendar)

  • 1. Nguyễn Hoàng Anh – lớp CNTT – ca sáng 2-4-6 Báo cáo đề tài 5: Nghiên cứu các Trojan, Malware cho phép đánh cắp dữ liệu như danh sách contact, tin nhắn trên điện thoại sử dụng Android và gửi ra ngoài. Nghiên cứu các chương trình có mã độc trên Android và nghiên cứu cài đặt backdoor, trojan lên Android (iCalendar) 1.Định nghĩa: Mã độc là một đoạn code được đưa vào phần mềm nhằm thay đổi các thực thi của hệ điều hành hoặc các chương trình bảo vệ máy tính mà không cần sự cho phép của người sử dụng. Bằng cách này, phần mềm có chứa mã độc sẽ gây hại cho hệ điều hành cũng như các chương trình ứng dụng và người dùng thiết bị. 2.Mã độc trong môi trường Android: Android là một môi trường lý tưởng cho mã độc phát triển vì: Phần lớn các smartphone đều hỗ trợ các ứng dụng email, internet baking…Sử dụng các ứng dụng này đồng nghĩa với việc cung cấp thông tin cá nhân. Android hiện tại giữ vị trí số một trong các hệ điều hành dành cho smartphone và máy tính bảng. Android là một hệ điều hành mở. Mục tiêu của mã độc Android: Có nhiều cách phân loại mã độc trong android: Nghiên cứu của Troy Vennon dựa vào cách hoạt động lây nhiễm của mã độc đã chia ra làm bốn loại. Nghiên cứu của K.H.Khan & M.N.Tahir phân loai mã độc làm 6 nhóm.
  • 2. Trang web forenics chuyên nghiên cứu về mã độc dựa vào mục tiêu của mã độc để chia ra làm 9 họ: Đánh cấp thông tin cá nhân 51,3% Gửi tin nhắn trái phép (IMEL,..) 30,1% Botnet(spam, thư rác,..) 23,5% Truy cập Root 18,3% Tải từ Google-Play 11,3% Cài đặt các ứng dụng khác 10,4% Đánh cấp định vị của người dùng 8,7% Cài đặt các ứng dụng hỗ trợ hacker 7,8% Trojans (tiếp cận các dịch vụ ngân hàng trực tiếp) 3,5% 3.Tính bảo mật trong Android Các ứng dụng android được tách biệt với nhau trong quá trình thực thi. Các ứng dụng android được phân biệt bởi system ID. Các ứng dụng android phải được signing mới có thể cài đặt vào hệ thống. Bảo mật trong android được thể hiện qua cơ chế “Permission” Cơ chế Permission: Bất cứ những tác vụ nào gây ảnh hưởng cho các ứng dụng khác, hệ điều hành và người sử dụng thiết bị đều được bảo vệ bởi cơ chế Permission, ví dụ như đọc gửi tin nhắn, truy cập mạng, thực hiện cuộc gọi, truy cập vào thông tin cá nhân,..Nói cách khác người lập trình ứng dụng sẽ khai báo Permission cho những nguồn tài nguyên này và người dùng sẽ được thông báo trước khi cài đặt ứng dụng. Google Play: Kiểm soát các mã độc trên ứng dụng.
  • 3. 4.Thực trạng Một báo cáo mới vừa được công bố, cho thấy mức độ nghiêm trọng của mã độc trên Android - hệ điều hành di động phổ biến nhất thế giới có đến 99,9% số lượng mã độc mới được phát hiện trong quý I năm 2013 được thiết kế để nhắm đến nền tảng Android. Đây là một con số báo động về tình trạng mã độc trên nền tảng di động của Google vừa được hãng bảo mật Kaspersky Lab công bố. Phần lớn trong số các loại mã độc trên Android là virus trojan, một dạng virus chủ yếu để sử dụng để đánh cắp tiền của người dùng bị lây nhiễm bằng cách gửi đến họ những tin nhắn lừa đảo, đọc lén các thông tin cần thiết và gửi báo cáo đến nơi khác, ăn cắp thông tin như là mật khẩu và số thẻ tín dụng, cài đặt lén các phần mềm chưa được cho phép, ….. Loại mã độc này chiếm đến 63% tổng số các loại mã độc mới được phát tán trên Android trong quý I năm 2013. Các nhà nghiên cứu bảo mật của Kaspersky cũng báo cáo một sự bùng nồ về số lượng các mã độc hại trên di động. Theo đó chỉ tính riêng trong 3 tháng đầu năm 2013, Kaspersky đã phát hiện được số lượng mã độc mới trên các nền tảng di động bằng tổng số lượng mã độc được phát hiện trong cả năm 2012 mà Android là nền tảng chịu ảnh hưởng nặng nhất. Với việc Android tiếp tục trở thành “mồi ngon” của hacker trong việc phát tán các loại mã độc, có vẻ như Android đang dần trở thành một “Windows thứ 2” trên lĩnh vực bảo mật, khi sự phổ biến của nền tảng này đang thu hút tối đa sự chú ý của các tin tặc, đồng thời việc quản lý các ứng dụng cho Android một cách lỏng lẻo càng tạo điều kiện cho mã độc được phát tán dễ dàng hơn trên nền tảng di động này. Bên cạnh lĩnh vực mã độc trên nền tảng di động, báo cáo về tình trạng bảo mật trong quý 1/2013 của Kaspersky cũng cho biết 91% các vụ phát tán mã độc chủ yếu dựa vào việc phát tán các đường link trang web có chứa mã độc. Các đường link có chứa mã độc này chủ yếu được phát tán thông qua email và trên các mạng xã hội như Facebook, Twitter… Đây được xem là biện pháp được yêu thích nhất hiện nay của hacker. Con số cụ thể các loại mã độc (bao gồm cả trên nền tảng di động và các nền tảng khác) đã được Kaspersky phát hiện và vô hiệu hóa trong quý I năm 2013 là 1.345.570..352 mã độc (hơn 1 tỉ mã độc). Trong đó có hơn 60% các loại mã độc phát tán từ 3 quốc giá: Mĩ (25%), Nga (19%) và Hà Lan (14%).
  • 4. 5. Nghiên cứu lỗ hổng bảo mật trên Android. 5.1. Malware trên Android. Malware không chỉ mối lo ngại với người dùng máy tính mà bây giờ còn lấn sang cả hệ điều hành dành cho smartphone, đặc biệt là Android. Malware (phần mềm ác tính) viết tắt của cụm từ Malicious Sofware, là một phần mềm máy tính được thiết kế với mục đích thâm nhập hoặc gây hỏng hóc máy tính mà người sử dụng không hề hay biết. Người viết nên nó ban đầu chỉ tập trung vào máy tính, nhất là Windows khi nó chiếm đến 90% tổng số Malware xuất hiện trên các nền tảng, bên cạnh đó là các OS khác như Linux, Chrome OS, MacOs... nhưng không đáng kể. Tuy nhiên giờ đây khi Smartphone đang ngày càng phát triển và phổ biến dần thay thế máy tính từ các công việc soạn thảo văn bản, giải trí đến giao dịch ngân hàng thì nó trở thành mục tiêu tấn công của Malware. Theo thống kê của các hãng bảo mật trên thế giới thì hiện các Malware hiện nay mới chỉ dừng lại ở mức độ xâm nhập và ăn cắp thông tin của người dùng và nó chưa có cơ chế lây lan. Theo các kết quả trên thì Malware trên Smartphone hiện nay về cách thức hoạt động giống như một phần mềm gián điệp (Trojan), phần lớn nhắm vào dịch vụ Mobile Banking trên Smartphone để lấy cắp thông tin, các thao tác xác nhận... thông qua việc sử dụng SMS Spy, tức là theo dõi tin nhắn SMS khi bạn thực hiện giao dịch với ngân hàng. Bên cạnh đó là nhằm vào các cuộc gọi thực hiện trên máy bạn, tắt một số dịch vụ để dễ kiểm soát. 5.2 Cơ chế hoạt động của Malware. Lấy một ví dụ cụ thể về 1 Malware rất phổ biến trong thời gian vừa qua đó là Malware DroidDream. Malware này hoạt động qua 2 giai đoạn: - Giai đoạn đầu: DroidDream được nhúng vào trong một ứng dụng (số lượng ứng dụng chứa Malware này hiện đã nhiều hơn 50 ứng dụng) và sẽ chiếm được quyền root vào thiết bị của bạn ngay sau khi bạn chạy ứng dụng đó trong lần sử dụng đầu tiên. - Giai đoạn 2 : Tự động cài đặt một ứng dụng thứ 2 với một permission đặc biệt cho phép quyền uninstall. Một khi các ứng dụng thứ 2 được cài đặt, nó có thể gửi các thông tin nhạy cảm tới một máy chủ từ xa và âm thầm tải thêm các ứng dụng khác Một khi DroidDream chiếm được quyền root, Malware này sẽ chờ đợi và âm
  • 5. thầm cài đặt một ứng dụng thứ hai, DownloadProviderManager.apk như một ứng dụng hệ thống. Việc cài đặt ứng dụng hệ thống này nhằm ngăn ngừa người dùng xem hoặc gỡ bỏ cài đặt các ứng dụng mà không được phép. Không giống như giai đoạn đầu, người dùng phải khởi động ứng dụng để bắt đầu việc lây nhiễm, ở giai đoạn thứ 2 ứng dụng tự động làm một số việc như là confirm, checkin….Một điều nữa khiến cho bạn không thể biết chúng hoạt động lúc nào, đó là Malware DroidDream này được lập trình để làm hầu hết các công việc của mình vào khoảng thời gian từ 11h đêm tới 8h sáng ngày hôm sau. Đây là khoảng thời gian mà điện thoại ít có khả năng được sử dụng nhất. Điều này làm cho người dùng khó khăn hơn trong việc phát hiện một hành vi bất thường trên chiếc smartphone của mình. 5.3.Mục đích của Malware DroidDream DroidDream được coi là một trong những Malware đầu tiên trên Android, mục đích của con DroidDream này mới chỉ dừng lại ở mức độ làm cho chiếc điện thoại của người dùng tự động cài đặt những ứng dụng chứa mã độc khác. Tuy nhiên các biến thể của nó đã kịp thời biến đổi để gây ra các mối nguy hại lớn hơn rất nhiều. Ví dụ như Hippo SMS được tìm thấy mới đây có khả năng tự gửi tin nhắn mà không cần sự cho phép của người dùng, việc này sẽ khiến tiền cước phí của người dùng tăng lên một cách chóng mặt mà người dùng không biết rõ lí do tại sao. Hoặc một Malware khác là Zitmo, Malware này đưa ra các ứng dụng kích hoạt mọi hành động liên quan đến dịch vụ ngân hàng, tiếp nhận SMS gửi đến và chuyển tới máy chủ. Các đoạn code dùng 1 lần mà các ngân hàng thường gửi tới khách hàng thông qua tin nhắn SMS để chứng thực sẽ bị thu thập bởi các malware này. Hiện nay còn có một số Malware còn có khả năng nghe lén tất cả các cuộc điện thoại. Vấn đề này thực sự nguy hiểm khi tất cả các vấn đề riêng tư của chúng ta đang bị một theo dõi, vì vậy những mối nguy hiểm từ mã độc trên android đang thực sự đe dọa đến an sự an toàn của người dùng hệ điều hành này. 6. Cài đặt trojan trên Android (iCalendar) Các công cụ cần thiết: apktool: giải mã các file .apk và .rar, đóng gói apk phục vụ cho việc tùy chỉnh sửa đổi các file đó. https://code.google.com/p/android-apktool/
  • 6. dex2jar: dịch file .apk thành file .jar. https://code.google.com/p/dex2jar/ id-gui: đọc code java từ file .jar. https://code.google.com/p/innlab/downloads/detail?name=jd-gui- 0.3.3.windows.zip&can=2&q=2 File iCalendar.apk, một trong 11 ứng dụng bị gỡ bỏ khỏi Android Market do có chứa malware. Các bước thực hiện: 1. Dùng phần mềm WinZip giải nén file classes.dex trong iCalendar.apk vào folder chứa công cụ dex2jar. 2. Vào command windows, vào trong thư mục dex2jar để thực hiện câu lệnh sau: dex2jar classes.dex
  • 7. Câu lệnh này chuyển đổi file classes.dex thành file classes_dex2jar.jar. 3. Dùng công cụ id-gui để mở file classes_dex2jar.jar có được ở bước 2 để xem source code của ứng dụng iCalendar. 4. Vào command windows, vào trong thư mục chứa apktool (phải chứa sẵn iCalendar.apk) và nhập 2 lệnh sau: apktool if iCalendar.apk apktool d iCalendar.apk Ta được kết quả:
  • 8. Truy cập vào thư mục iCalendar và di chuyển đến thư mục smalicommjiCalendar 5. Mở file iCalendar.smali và file SmsReceiver.smali bằng Notepad và thực hiện như hình bên dưới sau đó lưu lại.
  • 9. 6. Vào command windows thực hiện câu lệnh sau để đóng gói ứng dụng iCalendar đã được chỉnh sửa thành file .apk mới tại thư mục iCalendardist apktool b iCalendar
  • 10. 7. Đưa file iCalendar.apk đã tạo ở bước 6 vào thư mục bin nằm trong thư mục Java Trên command windows vào thư mục trên và nhập các lệnh sau để verify (Signing ứng dụng, tạo chữ ký điện tử để thiết bị) gói apk để có thể sử dụng trên thiết bị (phải chọn run as administrator khi chạy cmd):: keytool -genkey -v -keystore iCalendar-iCalendar.keystore -alias iCalendar -keyalg RSA -keysize 2048 -validity 10000
  • 11. jarsigner -verbose -sigalg SHA1withRSA -digestalg SHA1 -keystore iCalendar-iCalendar.keystore iCalendar.apk iCalendar jarsigner -verify -verbose -certs iCalendar.apk Kết quả: Ta đã verify thành công file apk. 8. Copy file iCalendar.apk vào thư mục platform-tools của Android SDK và dùng lệnh sau để cài ứng dụng vào giả lập adb -s emulator-5554 install iCalendar.apk
  • 12. Vậy ta đã cài đặt thành công lên máy ảo. 9. Kích hoạt Trojan gửi tin nhắn đến máy ảo 5556 (mở ứng dụng iCalendar rồi click 7 lần). Kết quả