Les experts en sécurité ont considéré les bancs d’essai d’émulation comme un outil utile pour mener des exercices de cybersécurité opérationnelle, ainsi que d’autres études et recherches. Pendant presque aussi longtemps, les développeurs de malwares ont cherché à contrer ces outils.
Le SophosLabs a trouvé de nouveaux exemples de ce type, et en particulier un malware Android anti-émulation. Les résultats sont résumés dans une publication sur le Blog Sophos, par les spécialistes Android Chen Yu, William Lee, Jagadeesh Chandraiah et Ferenc László Nagy.
Dans cet article, ils expliquent comment les malwares Android copient les techniques anti-émulation qui ont si bien servi aux développeurs de malwares sous Windows.
Tout d’abord, regardons ce qu’est un émulateur. La plupart des définitions en ligne le décrivent comme du hardware ou un logiciel qui permet à un ordinateur (l’hôte) d’imiter un autre ordinateur (l’invité). Il permet généralement au système hôte de lancer un logiciel ou d’utiliser des périphériques conçus pour le système invité. En matière de cybersécurité, c’est un moyen pratique de tester le comportement des malwares ou encore la fiabilité des systèmes de sécurité majeurs.
Les techniques anti-émulation se retrouvent dans plusieurs familles de malwares Android différentes, l’une étant le récent adware Android Adload, trouvé dans Google Play.
Les six techniques
Les experts cybersécurité des SophosLabs ont identifié de nombreuses techniques anti-émulateurs lorsqu’ils ont examiné de tels malwares. La publication faite sur le blog Sophos décrit six d’entre elles en détail. Voici un résumé :
- Vérification des informations sur les services de téléphonie : la détection de l’émulateur consiste à repérer la différence entre l’environnement que l’émulateur et le véritable périphérique fournissent. Tout d’abord, l’ID de l’équipement, le numéro de téléphone, l’IMEI et l’IMSI seront différents sur un émulateur par rapport à un vrai périphérique. La classe Android.os.TelephonyManager fournit des méthodes pour obtenir les informations.
- Vérification des informations de construction : les experts ont trouvé de nombreuses familles de malwares qui vérifient les informations de construction d’un système afin de déterminer s’il fonctionne sur un émulateur.
- Vérification des propriétés du système : certaines propriétés du système sur un émulateur sont différentes de celles rencontrées sur de vrais appareils. Par exemple, la marque, le hardware et le modèle de l’appareil.
- Vérification de la présence de fichiers liés à l’émulateur : dans ce cas, le malware vérifie si le QEMU (Quick Emulator) ou d’autres fichiers liés à l’émulateur existent.
- Vérification du débogueur et de l’installateur : celui-ci n’est pas un anti-émulateur, mais son but est aussi d’entraver l’analyse dynamique. Comme l’adware Skinner, il utilise Debug.isDebuggerConnected() et Debug.waitingForDebugger() pour vérifier si un débogueur existe.
- La bombe à retardement : c’est une autre technique que de nombreuses familles de malwares/adwares utilisent et qui consiste à se cacher pendant l’analyse dynamique. Après leur installation, ils attendent un certain temps avant de commencer leurs activités.
Les mesures défensives
Le code malveillant avec des fonctionnalités anti-émulation représente le dernier exemple faisant partie de l’activité des malwares Android en constante augmentation. L’utilisateur Android moyen ne connaîtra pas les techniques utilisées par les malwares pour pénétrer au sein de leur appareil, mais ils peuvent tout de même les éviter d’entrer, surtout concernant les applications qu’ils choisissent :
- Restez sur Google Play. Google fait beaucoup d’efforts pour empêcher les malwares Android d’y accéder, ou bien purge le Play Store si des malwares devaient apparaître. En revanche, de nombreux marchés alternatifs ne pratiquent aucun contrôle, de sorte que les créateurs d’applications peuvent télécharger tout ce qu’ils veulent, et le font d’ailleurs fréquemment.
- Pensez à utiliser un antivirus Android. En bloquant l’installation d’applications malveillantes et indésirables, même si elles proviennent de Google Play, vous pouvez vous épargner beaucoup de problèmes.
- Évitez les applications avec une faible réputation. Si personne ne connaît encore une nouvelle application, ne l’installez pas sur votre téléphone professionnel, car le service informatique ne vous remerciera pas en cas de problème.
- Patch le plus tôt et le plus souvent possible. Lorsque vous achetez un nouveau téléphone, vérifiez les pratiques du fabricant en matière de mises à jour et la rapidité avec laquelle les correctifs sortent. Pourquoi ne pas mettre “mises à jour plus rapides et plus efficaces” sur votre liste de fonctionnalités souhaitables, aux côtés d’autres telles que “un appareil photo plus sympa” et “écran funky”?
Billet inspiré de Android malware creators throw up a roadblock to thwart the good guys, par Bill Brenner, Sophos NakedSecurity.