Comme promis dans mon précédent billet, j'ai poursuivi (motivé à coup de chocapicz et de techno bourrine, enfin bref passons) ma quête du Graal, c'est-à-dire la poursuite de l'analyse de Andromeda Bot.
Je pense que cette analyse ennuyeuse à mourrir pour le commun des mortels ravira les reverseurs de malwares …

Dans cet article, je vais détailler l'analyse d'un sample d'Andromeda, étant donné qu'il existe peu de littérature à ce sujet. Ce bot a été vraisemblablement écrit en assembleur, et est capable de détecter les machines virtuelles, s'injecter dans d'autres processus comme nous le verrons dans cet article. Je me baserai ici sur le sample que m'a gentiment donné Horgh, en passant rapidement sur l'unpacking du sample.

Ce matin, en naviguant sur HackerzVoice, j'ai l'agréable surprise de tomber sur ce magnifique post (qui a été supprimé depuis):

Bref, on se rend bien compte que ce genre de trucs seem legit, du coup let's reverse it ;).
Après un petit coup d'oeil avec IDA, on se rend compte que le machin a été écrit en AutoIT (lol), so on télécharge myAutToExe pour récupérer le code de l'exécutable, code qui possède une obfuscation assez lame (gros blocs de variables useless en plein milieu du code). On va donc nettoyer le code (la partie ennuyeuse du truc).

Dans le monde du reverse-engineering, c'est-à-dire l'art d'analyser le fonctionnement d'un binaire dans notre cas, on peut trouver des protections différentes, allant du chiffrage du programme (ou de sa compression) à la détection de débuggeurs (outils servant à contrôler le flux d'exécution d'un programme, l'arrêter à certains endroits). Une autre technique, qui sera celle montrée ici est le fait de rendre les désassembleurs incapables de retrouver le code assembleur d'un binaire.

Nous allons donc voir ici comment analyser ce genre de programmes, et comment contourner cette protection à travers un exemple simple pour commencer.

Prérequis:

Savoir manier un éditeur hexadécimal, connaître les instructions assembleur de base, avoir quelques notions en cracking/reverse-engineering.

Bonjour à tous!

Ayant analysé un malware Android (nommé operaandroidi14.apk) que j'ai téléchargé par hasard sur le Net, j'ai donc décidé d'expliquer comment reverser un malware android à partir d'un exemple concret.
Ce malware nous propose de télécharger le navigateur Opera gratuitement (alors que celui-ci est disponible sur Internet), cependant, l'application effectue quelques actions à l'insu de l'utilisateur avant de donner le lien de téléchargement d'une version d'Opera (très certainement backdoorée...).
Je présenterai donc ici la structure d'une application Android, avant d'attaquer le reversing du malware, et la collecte d'informations sur son créateur.