Androidモバイルアンチウイルスアプリケーションによる難読化されたウイルス検出の分析

USCSチームは、Android向けの一般的なアンチウイルスアプリケーションの動作をテストするために、独立した調査を実施しました。 phdays VIカンファレンスでこの研究の結果を共有しましたが、ウイルス検出メカニズムをバイパスするための難読化ツールの使用について詳しく説明したいと思います。



難読化の方法

パブリックドメインには、かなりの数の異なる難読化ツールがあります。 この研究で使用するために3つの無料のものが選択され、さらに、以前のものでは十分ではなかった機能を実行する別の1つが作成されました。

まず、ソースコードを操作する2つの難読化ツールが選択されました。これらはProguardとAlatoriです。

ProGuardは Androidアプリケーションビルドシステム（Android Studio ）に組み込まれており、アプリケーションリリースと共に「リリース」モードで実行されます。 公式には、このユーティリティはコードを削減、最適化、および難読化するように設計されています。

ProGuardは、メソッドと一部のクラスの名前を変更できます。また、独自の機能として、この難読化ツールがすべてのデバッグ情報（クラスソースコードとコード内の行番号を持つファイル名）を削除する唯一の難読化ツールであるという事実を強調できます。

Proguardと同様に、 Alatoriはプロパティとメソッドの名前、一部のクラス名を変更でき、デバッグ情報を部分的に削除します。行番号を削除せずにソースコードでファイル名を変更します。 Alatoriの主な違いは、文字列の暗号化（0x20キーを使用したxorアルゴリズム）です。

次に、smali形式のバイトコードで動作する難読化ツール-Adamを検討しました。

また、apktoolユーティリティはapkファイルからそのようなバイトコードを簡単に生成するため、このアプリケーションのソースコードは、Adamを使用してアプリケーションを難読化する必要はありません。

Adamは難読化の4つの方法をサポートしています。その例では、難読化後にコードがどのように変更されるかを明確に確認できます。

1）各クラスのコードにメソッドを追加します。

だった	になっています
メソッドCode1 メソッドCode2	メソッドコード 1 .method public SparkLog（Ljava / lang / String;）V const-string v0、「SparkLog」 invoke-static {v0、p0}、Lcom / lohan / lohanLog;-> Log（Ljava / lang / String; Ljava / lang / String;）V .endメソッド メソッドCode2

2）クラスメソッド名の変更

だった	になっています
.method private 大文字化（Ljava / lang / String;）Ljava / lang / String;	.method private abc123を 大文字にし ます （Ljava / lang / String;）Ljava / lang / String;

3）実行の流れを変更します。

各メソッドの実装の最初では、gotoステートメントはメソッドの最後への無条件ジャンプです。 その後、ジャンプ命令の直後に無条件の先頭へのジャンプが発生し、通常のコード実行が続行されます。

だった	になっています
.method private capitalize（Ljava / lang / String;）Ljava / lang / String; メソッド コード .endメソッド	.method private 大文字化（Ljava / lang / String;）Ljava / lang / String; goto：CFGGoto2 ：CFGGoto1 メソッド コード ：CFGGoto2 goto：CFGGoto1 .endメソッド

4）コード行の暗号化。

文字列変数を宣言するためのすべての命令は、暗号化された文字列変数を宣言し、静的メソッドを呼び出して文字列を復号化するための命令に置き換えられます。

だった	になっています
const-string v5、「http.protocol.content-charset」	const-string v5、「 rddz.zbydymyv.myxdoxd-mrkbcod 」 invoke-static {v5}、Lcom / mzhengDS;-> DecryptString（Ljava / lang / String;）Ljava / lang / String; 移動結果オブジェクトv5

難読化されたアプリケーションでのウイルス対策テスト

難読化されたアプリケーションをテストするために、1つの新しいトロイの木馬（いくつかの危険な可能性を含むmalware.apkアプリケーション）と1つの有名なdendroid（多くのウイルス対策ソフトがそのシグネチャを決定するため知られています）を取ることに決めました。 さらに、変更されたdendroidについてもテストが実行されました。たとえば、未使用の関数など、ソースコードの破片が取り除かれました。 ちなみに、単にゴミを削除して悪意のあるアプリケーションを再構築するだけでも、一部のウイルス対策ソフトウェアは既に応答を停止しています。

virustotalのスキャン結果を表1に示します。

表1-virustotalのスキャン結果

	きれいに	プロガード	アラテリ	アダム
Malware.apk	26	17	10	18
デンドロイド	35	31	24	25
デンドロイド （変更）	28	28	21	17

スマートフォンにインストールされている上位のモバイルアンチウイルスアプリケーションでスキャンした結果を表2に示します。

表2-モバイルアンチウイルススキャンの結果

	きれいに	プロガード	アラテリ	アダム
Malware.apk	6	4	4	3
デンドロイド	12	11	9	11
デンドロイド （変更）	10	9	5	9

ほとんどの場合、Alatoryは、難読化されたMalware.apkをモバイルウイルス対策ソフトでスキャンすることに加えて、おそらくコード行を暗号化する機能により、最良の結果を示しました。 この状況では、ADAMが最高の仕事をし、ウイルスを検出した3つのウイルス対策はKaspersky、LookOut、およびAVASTでした。

検出器の数を3つに減らすことは確かに良いことですが、難読化されたアプリケーションの認識をゼロにしたかったのです（ところで、それはできませんでした）。

そのため、バイトコードで動作し、すでに検討されている難読化ツールの最良の側面を組み合わせた別の難読化ツールが開発されました。 また、パッケージ名とクラス名を暗号化する機能でADAMを完全に補完したという事実（Alatoriのxorアルゴリズムを使用しますが、今回は可変キーを使用）により、難読化ツールはEVAと名付けられました。

図1は、EVAの難読化後のAndroidManifest.xmlのフラグメントを示しています。EVAでは、すべてのクラス名とパッケージ名が変更されています（暗号化されています）。 EVAが機能した後、難読化されたバイトコードをapktoolを使用して再構築し、apkファイルに戻して再署名する必要があります。



図1-EVAの難読化後のAndroidManifest.xmlのフラグメント

EVAで難読化されたアプリケーションのスキャン結果を表3および4に示します。



表3-virustotalのスキャン結果

	きれいに	エヴァ
Malware.apk	26	3
デンドロイド	35	12

表4-モバイルアンチウイルススキャンの結果

	きれいに	エヴァ
Malware.apk	6	1
デンドロイド	12	11

したがって、EVAは難読化ツールの中で最高の結果を示しました。 Malware.apkの場合、モバイルアンチウイルスによって単一の検出が達成され、ウイルスを検出した唯一のアンチウイルスがAVASTでした。



しかし、それだけではありません！

まず、apktoolを使用してアプリケーションを再パッケージ化するだけで、検出回数が数倍減少します。

第二に、異なる方法と難読化ツールの組み合わせにより、結果が大幅に改善されます。 そのため、EVA、ADAM、およびProguardを任意の順序で何度でも使用することで、virustotalの検出数を1に減らすことができました。ここで、残念ながら、ゼロ検出も達成できませんでした。 しかし、ウイルスを検出した唯一のウイルス対策は、今回は特定のAhnlab-V3でした。

第三に、しばらくするとデータベースが更新され、検出が再開されますが、暗号化方法を使用した後、Kasperskyがウイルスへの応答を停止することがわかりました。



結論の代わりに

デバイスで要求された権限に関するMalware.apkアプリケーションは標準のメッセンジャーと変わらなかったため、人気のあるWhatsAppが取得され難読化されました。もちろん、最初から悪意のあるものではありません。

メッセンジャーの難読化は、次の3つの方法で実行されました。

1）簡単な再梱包。

2）ADAMを使用したバイトコードの難読化。

3）EVAを使用したバイトコードの難読化。

確かに、クラス名とパッケージ名を難読化しようとすると、アプリケーション変換が強すぎて、アプリケーションがクラッシュすることが判明しました。

さらに、イメージのチェックサムのWhatsApp検証が存在するため、難読化が成功した場合でも、アプリケーションは動作を拒否し、再インストールを提案しました。

その結果、3つのケースすべてで、難読化されたWhatsAppは、2つのウイルス対策ソフトAvastとLookoutによってマルウェアとして定義されました。