SVTH: Nguyễn Đức Thái Trang 23
CHƯƠNG 4: CÀI ĐẶT MỘT SỐ CHƯƠNG TRÌNH CÓ MÃ ĐỘC TRÊN ANDROID.
4.1. iCalendar
iCalendar là 1 chương trình dạng lịch xuất xứ từ Trung Quốc có gắn kèm mã độc thực hiện gửi 1 tin nhắn đến 1 số điện thoại định trước mà không thông qua sự cho phép của người dùng.
4.1.1. Các công cụ cần thiết:
- Super Apk tool: https://code.google.com/p/super-apk-tool/
- File iCalendar.apk: http://securityxploded.com/demystifying-android- malware.php
- Hai máy ảo Android (xem hướng dẫn tạo máy ảo ở trên).
4.1.2. Các bước thực hiện:
Khởi động cả 2 máy ảo Android. Ở đây gồm 2 máy Android01 mã số 5554 dùng làm máy cài iCalendar và Android02 mã số 5556 dùng làm máy nhận tin nhắn trái phép từ máy Android01.
Dùng Winrar giải nén tập tin Super Apk tool vừa download về vào thư mục bất kỳ ta được như hình:
Hình 4.1: Folder Super Apk Tool.
SVTH: Nguyễn Đức Thái Trang 24
Hình 4.2: Super Apk Tool.
Tại màn hình chính của Super Apk Tool chọn Project -> New Project
Hình 4.3: Mở file iCalendar.apk
Tại cửa sổ hiện ra tìm đến thư mục lưu trữ file iCalendar.apk và mở ra. Đặt tên cho project tại mục Project Name (có thể để mặc định) -> chọn Ok để xác
SVTH: Nguyễn Đức Thái Trang 25 nhận. Đợi chương trình giải mà ngược xong ta được như hình. Vào View -> View
Smali Code.
Hình 4.4: View Smali Code.
Tại đây vào tiếp theo đường dẫn .\com\mj\iCalendar ta được
Hình 4.5: Thư mục iCalendar.
Mở file iCalendar.smali và file SmsReceiver.smali bằng Notepad hoặc Notepad++ và thực hiện như hình bên dưới sau đó lưu lại.
SVTH: Nguyễn Đức Thái Trang 26
Hình 4.6: File iCalendar.smali.
Hình 4.7: File SmsReceiver.smali.
SVTH: Nguyễn Đức Thái Trang 27
Hình 4.8: Build Projects.
Chọn máy Android dùng để cài đặt (Android01 có mã 5554) sau đó vào Run
=> Build (hoặc ấn F5). Chương trình sẽ tự động đóng gói project thành file apk,
signing, cài đặt sau đó mở ứng dụng tại Android01. Ta được kết quả. (adsbygoogle = window.adsbygoogle || []).push({});
SVTH: Nguyễn Đức Thái Trang 28 Tại đây ta ấn chọn 7 lần trong giao diện của iCalendar mã độc sẽ được kích hoạt và gửi tin nhắn đến máy Android02.
Hình 4.10: Android02 nhận được tin nhắn từ iCalendar.
4.2. iMatch
Tương tự như iCalendar, iMatch cho phép gửi tinh nhắn trái phép khi mã độc bị kích hoạt. Điểm khác nhau ở đây là iMatch là một ứng dụng game và mã độc có thể gửi bốn tin nhắn cho 4 số điện thoại giống hoặc khác nhau.
4.2.1. Các công cụ cần thiết:
- Super Apk tool: https://code.google.com/p/super-apk-tool/
- iMatch: http://contagiodump.blogspot.com/2011/03/take-sample-leave- sample-mobile-malware.html
- Hai máy ảo Android (xem hướng dẫn tạo máy ảo ở trên).
4.2.2. Các bước thực hiện:
Thực hiện tương tự như với iCalendar.apk nhưng thay thế bằng file iMatch.apk. Tại bước View Smali Code ta vào tiếp theo đường dẫn .\com\mj\utils ta được
SVTH: Nguyễn Đức Thái Trang 29
Hình 4.11: Thư mục untils.
Mở file MJUtils.smali bằng Notepad hoặc Notepad++ và thực hiện đổi số điện thoại người nhận và nội dung tin nhắn tại bốn vị trí sau:
Hình 4.12: Nội dung tin nhắn 1.
Hình 4.13: Nội dung tin nhắn 2.
Hình 4.14: Nội dung tin nhắn 3.
Hình 4.15: Nội dung tin nhắn 4.
SVTH: Nguyễn Đức Thái Trang 30
Hình 4.16: Kết quả chạy chương trình iMatch.
Ta thấy khi ứng dụng iMatch tai máy Android01 được khởi động thì có bốn tin nhắn được gửi đến máy Android02 (vì ở đây thiết đặt bốn số điện thoại đến giống nhau là máy Android02).
SVTH: Nguyễn Đức Thái Trang 31
CHƯƠNG 5: NGHIÊM CỨU KALI LINUX, CƠ CHẾ TẠO MÃ ĐỘC TRÊN KALINIX ĐỂ XÂM NHẬP VÀO
ANDROID.