1. Час 3
Reversing Android
Esage Lab @dukebarman

2. Структура файлов формата .apk
• Директория META-INF:
– MANIFEST.MF
– CERT.RSA
– CERT.SF
• Директория res
• Директория assets
• AndroidManifest.xml
• classes.dex
• resources.arsc
Esage Lab @dukebarman

3. Цели malware-программ
• GPS
• Доступ к веб-сайтам
• Работа с SMS
• Детализация звонков
• И т.д.
Esage Lab @dukebarman

4. Отличия от linux-программ
• Content Providers — обмен данными между
приложениями;
• Resource Manager — доступ к таким ресурсам,
как файлы xml, png;
• Notification Manager — доступ к строке
состояния;
• Activity Manager — управление активными
приложениями.
Esage Lab @dukebarman

5. Пути исследования
• Статистический анализ
• Динамический анализ
Esage Lab @dukebarman

6. ApkTool
Сайт:http://code.google.com/p/android-apktool/
Особенности:
• Дизассемблирование приложения
практически до оригинальных исходников с
возможностью пересобрать
• Дебаг smali-кода.
• Тулза будет полезна переводчикам и тем, кто
занимается переносом приложения на другие
платформы.
Esage Lab @dukebarman

7. dex2jar
Сайт: http://code.google.com/p/dex2jar
Особенности:
• Простое преобразование файлов формата
*.dex в *.jar
Esage Lab @dukebarman

8. Jar-декомпиляторы
Jad
Сайт: http://www.kpdus.com/jad.html
JD-GUI
Сайт: http://java.decompiler.free.fr
Esage Lab @dukebarman

9. AREvm
Сайт: https://redmine.honeynet.org/projects/are
Включает в себя:
• androguard • dex2jar
• android sdk/ndk • droidbox
• apkinspector • ded
• apktool • smali/baksmali
• axmlprinter
Esage Lab @dukebarman

10. Android SDK
Сайт: http://developer.android.com/sdk/
Особенности:
• Дебаггер
• Туториалы по разработке
• Эмулятор
• Нужные библиотеки
• Примеры программ
• Документация по Android API
Esage Lab @dukebarman

11. Эмуляторы
• Входящие в состав Android SDK
• Собранные из исходников:
– http://source.android.com/source/index.html
– http://www.android-x86.org/
Esage Lab @dukebarman

12. Полезные ссылки
ENG:
1. ".dex format to .jar format" http://androidorigin.blogspot.com/2011/02/dex-
format-to-jar-format.html
2. "Android Reverse Engineering - A Kick Start", автор Dhanesh - разбор crackme
"Deurus Android crackme 03"
3. "Disassembling DEX files"
http://mylifewithandroid.blogspot.com/2009/01/disassembling-dex-files.html
4. "Security Issues in Android Custom ROMs", автор Anant Shrivastava
(http://anantshri.info)
5. "Reverse Engineering Of Malware On Android", автор Vibha Manjunath
6. "Android Reverse Engineering" http://thomascannon.net/projects/android-
reversing/
RU:
Журнал "Хакер" выпуски:
Сентябрь 2011 (152) "Android-убийца"
Ноябрь 2011 (154) "Больные роботы"
Esage Lab @dukebarman

13. Троян FakeToken
Esage Lab @dukebarman

14. Виды трояна
Esage Lab @dukebarman

15. Требуемые права для установки
• android.permission.READ_PHONE_STATE
• android.permission.ACCESS_NETWORK_STATE
• android.permission.SEND_SMS
• android.permission.RECEIVE_SMS
• android.permission.INTERNET
• android.permission.WRITE_EXTERNAL_STORAGE
• android.permission.INSTALL_PACKAGES
• android.permission.DELETE_PACKAGES
• android.permission.READ_CONTACTS
• android.permission.RECEIVE_BOOT_COMPLETED
Esage Lab @dukebarman

16. Полезные ссылки
• Первый анализ в сети «Android Malware
Pairs Man-in-the-Middle With Remote-
Controlled Banking Trojan»
• Экземпляр трояна
• Отчет из автоматической песочницы
(Mobile SandBox)
Esage Lab @dukebarman