Phân tích mã độc trên smartphone Philips S307
Gần đây báo chí có đưa tin phát hiện trojan trên mẫu điện thoại của hãng Philips một trong rất nhiều hãng smartphone của Trung Quốc. Mình đã đầu tư mượn hẳn một con về xem thực hư thế nào . Trước khi “bới móc” mình sẽ reset điện thoại về cài đặt gốc để loại bỏ các ứng dụng người dùng cài thêm.
Sau một hồi sử dụng thử thì thấy một số ứng dụng, game tự “mọc ” lên trên màn hình chính. Như vậy là đã có một tiến trình nào đó đã âm thầm cài đặt các ứng dụng vào thiết bị mà mình không hề hay biết. Đương nhiên để cài đặt được ứng dụng khác nó sẽ phải kết nối ra internet để tải ứng dụng. Vì vậy để biết tiến trình nào là thủ phạm, mình sẽ sử dụng một phần mềm tương tự như “tcpview” để kiểm tra các ứng dụng có kết nối ra internet. Trên Android có thể sử dụng ứng dụng ”Noroot Firewall”.
Ngoài những ứng dụng core Android của Google, mình phát hiện một đối tượng tình nghi có tên “Phenix” có kết nối đến địa chỉ “alog.umeng.com”, một địa chỉ tại Trung Quốc. Phenix là một ứng dụng giao diện người dùng (launcher) mặc định của thiết bị, được đặt sẵn trong firmware và sẽ khởi động cùng thiết bị. Mình sẽ lấy ứng dụng đấy ra để tiến hành phân tích. Tuy nhiên trên Android để lấy được một ứng dụng được cài sẵn trong firmware chúng ta phải có quyền root. Các bạn có thể tự root hoặc sử dụng tools có sẵn (mình dùng tools
).
Đây là đường dẫn của ứng dụng trên thiết bị: “data/app-priv/PhenixLauncher.apk, data/app-priv/PhenixLauncher.odex” . Khác với ứng dụng thông thường các ứng dụng hệ thống sử dụng file “.odex” là file tối ưu hóa của file “.dex” có tác dụng làm hệ thống khởi động nhanh hơn.
Mình sẽ phải chuyển từ file “.odex” sang “.dex” trước khi thành code java. Để chuyển từ định dạng “.odex” sang “.dex” mình đã sử dụng công cụ “baksmali.jar & smali.jar” (Tải xuống).
Công việc trước tiên là thiết lập môi trường framework Android bằng cách coppy thư mục “system/framework” từ trong thiết bị vào máy tính. Sau đấy copy những file “PhenixLauncher.odex”, ”baksmali.jar” & “smali.jar” vào cùng thư mục với framework. Tiếp theo sử dụng câu lệnh:
Các file định dạng smali sẽ được sinh ra tại thư mục “out”. Tiếp theo là chuyển thư mục “out” thành file “.dex”:
Giờ chúng ta đã có file “classes.dex”. Có thể sử dụng công cụ “d2j-dex2jar” để chuyển định dạng “.dex” sang java.
Bây giờ có thể đọc file java một cách dễ dàng với “Java Decomplier (jd-gui)”.
Trong package “com.cooee.framework” có chứa đoạn mã để tự động cài đặt các ứng dụng khác. Nó có thể tự động cài đặt những ứng dụng độc hại hay malware để ăn cắp thông tin của bạn trên điện thoại, trừ tiền trong tài khoản bằng cách gọi điện hoặc gửi tin nhắn. Nói chung ứng dụng này hoàn toàn có thể kiểm soát được thiết bị của bạn.
Do đây là trình giao diện để người dùng tương tác với hệ thống nên nếu gỡ ứng dụng này ra thì người dùng sẽ không tương tác được với thiết bị nữa. Mình đã tìm hiểu một số cách khắc phục dưới đây:
Đối với máy đã root: Cài thêm một giao diện khác (có thể tải trên Google Play) và đặt làm mặc định, sau đấy sử dụng ứng dụng “root explorer” xóa ứng dụng “Phenix” (Đường dẫn: “data/app-priv/ PhenixLauncher.apk” và “data/app-priv/PhenixLauncher.odex”). Lưu ý phải yêu cầu quyền root để gỡ bỏ ứng dụng này.
Đối với máy chưa được root: Nếu máy chưa root sẽ khó xử lý triệt để. Tuy nhiên cũng có một số cách có thể áp dụng để chờ bản update của nhà sản xuất:
.
Chúc các bạn ăn tết vui vẻ bên người thân và gia đình
Sau một hồi sử dụng thử thì thấy một số ứng dụng, game tự “mọc ” lên trên màn hình chính. Như vậy là đã có một tiến trình nào đó đã âm thầm cài đặt các ứng dụng vào thiết bị mà mình không hề hay biết. Đương nhiên để cài đặt được ứng dụng khác nó sẽ phải kết nối ra internet để tải ứng dụng. Vì vậy để biết tiến trình nào là thủ phạm, mình sẽ sử dụng một phần mềm tương tự như “tcpview” để kiểm tra các ứng dụng có kết nối ra internet. Trên Android có thể sử dụng ứng dụng ”Noroot Firewall”.
Ngoài những ứng dụng core Android của Google, mình phát hiện một đối tượng tình nghi có tên “Phenix” có kết nối đến địa chỉ “alog.umeng.com”, một địa chỉ tại Trung Quốc. Phenix là một ứng dụng giao diện người dùng (launcher) mặc định của thiết bị, được đặt sẵn trong firmware và sẽ khởi động cùng thiết bị. Mình sẽ lấy ứng dụng đấy ra để tiến hành phân tích. Tuy nhiên trên Android để lấy được một ứng dụng được cài sẵn trong firmware chúng ta phải có quyền root. Các bạn có thể tự root hoặc sử dụng tools có sẵn (mình dùng tools
).Đây là đường dẫn của ứng dụng trên thiết bị: “data/app-priv/PhenixLauncher.apk, data/app-priv/PhenixLauncher.odex” . Khác với ứng dụng thông thường các ứng dụng hệ thống sử dụng file “.odex” là file tối ưu hóa của file “.dex” có tác dụng làm hệ thống khởi động nhanh hơn.
Mình sẽ phải chuyển từ file “.odex” sang “.dex” trước khi thành code java. Để chuyển từ định dạng “.odex” sang “.dex” mình đã sử dụng công cụ “baksmali.jar & smali.jar” (Tải xuống).
Công việc trước tiên là thiết lập môi trường framework Android bằng cách coppy thư mục “system/framework” từ trong thiết bị vào máy tính. Sau đấy copy những file “PhenixLauncher.odex”, ”baksmali.jar” & “smali.jar” vào cùng thư mục với framework. Tiếp theo sử dụng câu lệnh:
Mã:
[I]java -jar baksmali.jar -d system/framework -x PhenixLauncher.odex[/I]
Mã:
[I]java -jar smali.jar -o classes.dex out[/I]
Mã:
[I]d2j-dex2jar.bat –d classes.dex[/I]Trong package “com.cooee.framework” có chứa đoạn mã để tự động cài đặt các ứng dụng khác. Nó có thể tự động cài đặt những ứng dụng độc hại hay malware để ăn cắp thông tin của bạn trên điện thoại, trừ tiền trong tài khoản bằng cách gọi điện hoặc gửi tin nhắn. Nói chung ứng dụng này hoàn toàn có thể kiểm soát được thiết bị của bạn.
Do đây là trình giao diện để người dùng tương tác với hệ thống nên nếu gỡ ứng dụng này ra thì người dùng sẽ không tương tác được với thiết bị nữa. Mình đã tìm hiểu một số cách khắc phục dưới đây:
Đối với máy đã root: Cài thêm một giao diện khác (có thể tải trên Google Play) và đặt làm mặc định, sau đấy sử dụng ứng dụng “root explorer” xóa ứng dụng “Phenix” (Đường dẫn: “data/app-priv/ PhenixLauncher.apk” và “data/app-priv/PhenixLauncher.odex”). Lưu ý phải yêu cầu quyền root để gỡ bỏ ứng dụng này.
Đối với máy chưa được root: Nếu máy chưa root sẽ khó xử lý triệt để. Tuy nhiên cũng có một số cách có thể áp dụng để chờ bản update của nhà sản xuất:
- Sử dụng một ứng dụng firewall để chặn ứng dụng “Phenix” không cho kết nối ra internet.
- Cài một trình giao diện khác đặt làm mặc định và dừng tiến trình của ứng dụng "Phenix" đi (Trong mục “Setting/Apps/ALL/Phenix” chọn “Force stop” ). Lưu ý là sử dụng cách này khi khởi động lại điện thoại thì ứng dụng sẽ được chạy lại nên sẽ phải dừng tiến trình mỗi lần khởi động lại.
.Chúc các bạn ăn tết vui vẻ bên người thân và gia đình
Chỉnh sửa lần cuối bởi người điều hành: