Apktool Front End: APK Studio

Pada umumnya, para security analyst menggunakan APKTool untuk melakukan reverse-engineering serta manipulasi atas aplikasi Android (apk).  Proses dekompilasi file apk menjadi Dalvik Bytecode, men-generate signing keys, lalu signing file apk yang telah dimodifikasi semuanya dapat dilakukan dengan menggunakan APKTool.

Selain APKTool, kita juga bisa menggunakan APK studio dengan source code khusus yang dikembangkan oleh Vaibhav Pandey.  Prinsipnya APK Studio menyederhanakan proses disassembling dari file APK dengan Smali syntax-aware editor yang terintegrasi, dan dengan opsi one-click untuk melakukan rekompilasi dan signing aplikasi yang telah dimodifikasi dan akhirnya meng-install file APK ke dalam perangkat Android dengan menggunakan ADB.  Dengan kata lain, APK Studio menggunakan APKTool untuk disassembly, bersama dengan ADB serta jarsigner untuk signing file APK yang telah dimodifikasi.

Untuk proses signing dengan APK Studio, analis tetap harus menghasilkan keystore dengan keytool executable yang ada dalam Java Development Kit (JDK).  Selanjutnya APK Studio akan sign file APK dengan keystore, tetapi tidak secara otomatis menghasilkan keystore untuk analis.

http://www.vaibhavpandey.com/apkstudio/

Satori + Wireshark = Akurasi Proses Analysis Platform Fingerprinting

Salah satu tahapan dalam melakukan Pentesting atas Mobile Phone-terutama terkait Network-adalah melakukan fingerprinting atas semua client yang terhubung dengan satu Access Point.  Terdapat 2 (dua) tools yang dapat digunakan yaitu Wireshark dan Satori.

Untuk melakukan fingerprinting ini, tentunya analyst harus melakukan capturing data packet.  Untuk kasus ini, saya menggunakan mobile-traffic.pcap untuk bahan analisis.  Selanjutnya dengan menggunakan Wireshark, diperoleh hasil sebagai berikut:

Picture 2016-09-04 18_00_28

Tampak host name berupa Blackberry-C17C.  Untuk lebih mudahnya, kita bisa menggunakan tools yaitu Satori.  Untuk proses analisis platform, penggunaan Satori lebih straightforward ketimbang penggunaan Wireshark.  Hasilnya adalah sebagai berikut:

Picture 2016-09-04 17_56_17

 

 

Drozer: Security Assessment Tools untuk Android

Di hari minggu yang cerah ini, sejak pagi tadi saya kembali bermain-main dengan Drozer yaitu framework yang dikembangkan oleh MWR labs untuk menguji keamanan dari satu aplikasi berbasis sistem operasi Android.  Hingga saat ini, Drozer termasuk tools terbaik yang banyak digunakan oleh para security analyst untuk menguji keamanan satu aplikasi.

Saat ini saya sedang menguji satu aplikasi Android berupa web form yang umumnya digunakan untuk kuesioner.  Dengan menggunakan Drozer, saya bisa memanipulasi Android Intent yang menunjukkan adanya kelemahan dalam aplikasi tersebut.

Jika rekan-rekan berminat mempelajari tools tersebut, setidaknya ada 2 tautan yang menarik untuk dikaji:

https://labs.mwrinfosecurity.com/tools/drozer

http://resources.infosecinstitute.com/android-hacking-security-part-13-introduction-drozer/

Integrity vs Authenticity

Seorang kawan yang berlatar belakang Information Security pernah men-challenge saya terkait perbedaan integrity dan authenticity terkait perolehan data digital.  Pembahasan mengenai kedua masalah ini timbul setelah melihat acara di TV yang menyiarkan persidangan kasus Jessica.  Pada waktu itu, pengadilan sedang melakukan permintaan keterangan dari ahli digital forensics.  Saya mengatakan bahwa terkait data digital/data elektronik yang disajikan di depan pengadilan harus memperhatikan otentifikasi berupa hash value seperti MD5 ataupun SHA1.  Sedangkan kawan saya mengatakan bahwa hash value itu terkait data integrity.

Sebetulnya pada saat itu kita membicarakan hal yang kurang lebih sama, akan tetapi jika kita berbicara Digital Forensics yang sangat terkait dengan aspek legal, tentunya kita harus bisa menjelaskan ada tidaknya perbedaan diantara kedua istilah tersebut. Dan jika ada perbedaan, dimanakah letak perbedaannya.  Saya mendapatkan jawaban yang cukup efektif dan ringkas pada URL berikut ini: https://en.wikipedia.org/wiki/Digital_forensics.  Di tautan tersebut dijelaskan sebagai berikut:

… Laws dealing with digital evidence are concerned with two issues: integrity and authenticity. Integrity is ensuring that the act of seizing and acquiring digital media does not modify the evidence (either the original or the copy). Authenticity refers to the ability to confirm the integrity of information; for example that the imaged media matches the original evidence.

Jadi jika kita melihat penjelasan tersebut di atas, kita bisa simpulkan bahwa penggunaan hash value tersebut terkait pemenuhan authenticity. Yaitu bagaimana digital forensics examiner bisa membuktikan integritas data digital yang telah diperoleh.  Dengan kata lain, hash value data yang diperoleh tidak berubah sejak diperoleh sampai dengan disajikan ke depan pengadilan.

Manipulasi Transaksi Mobile Banking dengan Burp Suite

Sebagai analis keamanan aplikasi mobile banking, tentunya kita ingin mengetahui sampai sejauh mana keamanan aplikasi terhadap berbagai teknik serangan, termasuk Man-in-the-Middle (MiTM) attack berupa manipulasi transaksi HTTP.

Untuk mendukung skenario attack, saya menggunakan Burp Suite, Kali Linux sebagai server Bank dan Android Virtual Devices yang telah diinstal dengan mobile banking apps.  Gambar berikut menunjukkan skenario untuk melakukan penetration test atas mobile banking apps tersebut.

Clients Interception

Pada Android Virtual Device, saya telah menginstall mobile banking apps yang telah disetting agar semua packet data yang terkait dengan transaksi akan diforward ke Burp.  Gambar berikut ini menunjukkan screenshot dari mobile banking apps yang telah dijalankan.

Mobile banking apps 1

Selanjutnya, saya melakukan transfer sebanyak USD 3 dari dan rekening saya sendiri. Selanjutnya kita bisa melihat bagaimana data transaksi tersebut dapat di-intercept oleh Burp Suite (POST).

Burp Suite 01

Dari gambar tersebut terlihat jumlah transaksi transfer sebesar USD 3 serta nomor account simpanan baik sumber dan tujuan transaksi transfer.  Selanjutnya atas transaksi tersebut, saya lakukan send to Repeater.  Pada tab repeater tersebut saya melakukan rekayasa transaksi berupa transfer dari satu rekening orang lain ke dalam rekening saya.  Mengingat ada parameter yang membatasi jumlah transfer maksimal sebesar USD 100, maka saya mencoba membalik transfer sebesar minus USD 100,000. Ternyata transaksi ini berhasil.

Burp Suite 02

Jika melihat account balance dari savings account saya, maka akan terlihat jumlah uang masuk tersebut.

Mobile banking apps 2

Tentunya ini semua hanya skenario semata-mata untuk mengetahui ada tidaknya celah keamanan dari satu mobile banking apps melalui teknik penetration test.  Tujuan dari tulisan ini adalah menunjukkan penggunaan Burp Suite sebagai salah satu tools yang sangat efektif dalam penetration testing atas satu mobile apps.

Hoax SMS

 

 

Screenshot_1                                                                                                Seorang kawan yang tinggal di Perth meng-upload berita terkait Hoax SMS yang diterima oleh sebagian orang di Australia.  Tampaknya SMS ini ditujukan bagi para nasabah bank ANZ.  Sebetulnya teknik Social Engineering dalam bentuk Smishing ini bukan lah satu teknik yang baru.  Intinya sang target diarahkan untuk mengklik link yang dapat berisi semacam daftar isian dimana nasabah harus memasukkan credential seperti userid dan password online banking dan/atau semacam mobile banking Trojan yang nantinya dapat digunakan untuk ‘mencuri’ uang milik nasabah.

Setelah saya cek link yang ada dalam SMS tersebut, tampaknya malicious link tersebut sudah di-suspend oleh pejabat berwenang di Rusia.  Seperti biasa, para cybercrime menempatkan malicious website mereka atau Command and Control server dari malware di Rusia.  Sudah menjadi rahasia umum, jika sebagian besar cybercriminal ada di Rusia, Ukrainia dan China.

Screenshot_2

Indonesia sendiri merupakan target utama dari para cybercriminal, sehingga para pengguna online mobile banking dan juga pengguna smartphone harus berhati-hati ketika menerima SMS, MMS atau email yang meminta untuk meng-klik satu URL/link.  Lebih baik kita menanyakan secara langsung ke bank yang bersangkutan.

Risiko Hidden Apps dalam Mobile Phone Forensics

Hidden apps saat ini sangat populer terutama di kalangan para remaja.  Tujuan dari hidden apps ini-sesuai namanya-adalah menyembunyikan video, photo, aplikasi ‘terlarang’ dan juga SMS dari akses orang lain (baca: orang tua) selain pengguna handset.  Selain itu, hidden apps juga berpotensi digunakan untuk kepentingan para pelanggar hukum.  Misalnya untuk menyembunyikan bukti transaksi jual-beli obat-obatan terlarang (drugs), kejahatan seksual, data exfiltration dan pencurian data.  Tentunya dalam skala lebih tinggi, aplikasi tersebut dapat digunakan oleh teroris untuk menyembunyikan data terkait operasi atau kegiatan yang mereka lakukan.

Oleh karena itu, setiap mobile phone forensics examiner harus mengetahui dan memahami adanya hidden apps ini dan risiko terkait aplikasi ini jika terdapat pada handset yang sedang menjadi objek investigasi.  Walaupun membutuhkan waktu dan terbilang kompleks, proses analisis atas seluruh aplikasi yang di-instal dalam handset merupakan upaya paling efektif untuk mengetahui keberadaan hidden apps ini.  Examiner bisa melakukan proses pencarian melalui Google untuk mengetahui apakah satu apps merupakan hidden apps atau bukan.  Selanjutnya examiner juga harus mengetahui bagaimana dan jenis data yang disembunyikan oleh hidden apps tersebut.

Tipe Hidden Apps

Ada beberapa tipe teknik yang dapat digunakan oleh pengguna untuk menyembunyikan data atau aplikasi dalam handset:

a.  Pengguna dapat memanipulasi handset mereka yaitu dengan cara menempatkan data/aplikasi pada lokasi yang bukan seharusnya (sewajarnya);

b. Menggunakan aplikasi yang dapat menyembunyikan aplikasi lainnya agar tidak tampak;

c. Menggunakan aplikasi khusus yang tampak seperti aplikasi yang wajar dan umum terdapat dalam handset seperti kalkulator, walaupun sesungguhnya aplikasi tersebut digunakan untuk menyembunyikan data atau aplikasi lainnya.  Aplikasi khusus ini sering disebut dengan ‘decoy apps’, karena sekilas tampak seperti aplikasi biasa akan tetapi sesungguhnya berfungsi untuk menyembunyikan data.

Decoy apps yang populer saat ini tampak seperti kalkulator seperti Smart Hide Calculator, Calculator Vault-Gallery Lock, Calculator Photo & Video Vault, Hide Pictures Keep Safe Vault.  Decoy apps ini tetap dapat digunakan sebagai kalkulator walaupun memiliki fungsi untuk menyembunyikan data.  Aplikasi Audio Manager juga dapat digunakan untuk menyembunyikan data.  Aplikasi tersebut tampak seperti aplikasi guna mengatur volume.

Selain itu tersedia aplikasi untuk menciptakan folder khusus untuk menyimpan data seperti The Best Secret Folder, Secret Box-Hide Files.  Folder ini kemudian tidak akan tampak di layar (screen) hingga pengguna memasukkan PIN pada area tertentu di layar.

Teknik lainnya yang lebih sederhana adalah menciptakan folder yang nanti akan menyimpan data yang akan disembunyikan dan menggunakan aplikasi yang dapat mengubah ikon dari folder tersebut agar tampak seperti aplikasi yang wajar.

Pelajaran Berharga

Pelajaran berharga dari adanya hidden apps bagi Mobile Phone Forensics adalah examiner TIDAK BISA menyimpulkan bahwa suatu data tidak ada karena tidak tampak.  Melainkan examiner harus selalu mewaspadai adanya kemungkinan berupa anti-forensics yaitu penggunaan hidden apps yang dapat menyembunyikan data tertentu.

Pengujian Data

Examiner tetap dapat menggunakan mobile phone forensics tools yang tersedia seperti Cellebrite, XRY atau Oxygen.  Namun perlu diketahui, tools tersebut mungkin tidak akan seefektif ketika memparsing data dari aplikasi yang umumnya ditemukan seperti Facebook, Twitter, Skype dan lain sebagainya.  Terdapat risiko tools tidak akan secara otomatis menemukan dan menarik data dari hidden apps.  Selain itu, hidden apps juga dapat menyimpan data pada lokasi yang tidak umum atau bahkan mengenkripsi atau mengencoding data sehingga tidak dapat dibaca.

Kondisi ini dapat mempengaruhi kemampuan forensics tools dalam memparsing data dari hidden apps walaupun tools tersebut dapat mengakses data tersebut.  Oleh karena itu, examiner harus melakukan pengujian lebih dalam lagi.  Misalnya menganalisis file system dan database untuk kemudian memparsing data secara manual.  Tujuan akhir dari proses tersebut adalah adanya data yang disembunyikan tersebut dapat diperoleh dalam format yang dapat dibaca (readable format).  Dalam beberapa kasus, satu hidden apps mengklaim bahwa mereka menggunakan teknik enkripsi, walau dalam kenyataannya mereka hanya menggunakan teknik encoding secara berlapis.

Kabar Baik

Perolehan data dari hidden apps bukanlah satu hal yang mustahil, walaupun examiner membutuhkan ekstra waktu, tenaga dan tools untuk mencapai tujuan tersebut.  Kabar baik dari adanya hidden apps adalah besar kemungkinan bukti digital yang relevan dengan kasus tersimpan dalam hidden apps tersebut.

Sekali lagi, risiko dari hidden apps ini semakin mengukuhkan perlunya validasi dari beberapa forensics tools yang berbeda serta investigasi manual yang didukung oleh kompetensi examiner yang mencukupi. Artinya examiner tidak hanya mengandalkan hasil investigasi dari penggunaan satu tools saja. Hal ini tentunya membutuhkan pelatihan yang tidak terbatas pada vendor forensic tools saja melainkan juga perlunya mendapatkan pelatihan dari vendor yang tidak terafiliasi dengan vendor forensics tools.  Hal ini diperlukan agar examiner terbuka dengan setiap kemungkinan dan keterbatasan serta mengetahui berbagai forensics tools yang tersedia.

REFERENSI:

http://digital.forensicmag.com/forensics/june_2016?pg=8#pg8

http://lifehacker.com/hide-apps-in-ios-9-with-a-folder-trick-1751131506

Pentesting Mobile Application untuk perangkat Android

Sebelum melakukan analisis atas mobile apps untuk Android, tenaga analis harus memahami setidaknya empat komponen (components) fundamental dari aplikasi Android yaitu Activities, Services, Content Providers, dan Receivers. Serta Androd Intents sebagai mekanisme messaging antar komponen untuk dapat berinteraksi atau lebih dikenal sebagai Inter-Process Communication (IPC).

Seperti halnya pentesting mobile apps untuk iDevices (iOS), maka terdapat teknik dan tools untuk perangkat Android.  OWASP telah mengembangkan cheat sheet untuk dapat dijadikan acuan bagi para tenaga analis mobile apps yang tersaji pada URL sbb: https://www.owasp.org/index.php/Android_Testing_Cheat_Sheet

Analis bisa menggunakan beberapa tools untuk melakukan analisis atas mobile apps Android:

a. Androwarn;

Tools ini umumnya digunakan pada static analysis tool.  Androwarn akan membaca file APK dan memberikan laporan terkait potensi malicious behaviour termasuk: akses atas telephony identifier, akses atas device setting parameter, penyalahgunaan geolocation, akses dan manipulasi atas PIM data dan native code execution & filesystem binary execution.

b. Androsim;

Androsim dapat membandingkan 2 file APK untuk mengetahui sejumlah metode/code yang identik, mirip, baru atau dihapus dari kedua file APK tersebut.  Tool ini sangat berguna untuk:

  1. Mengindentifikasi app rip-offs yaitu ketika beberapa pengembang aplikasi memasukkan aplikasi mereka masing-masing pada Play Store yang pada kenyataannya bersumber dari satu aplikasi yang sama;
  2. Mengidentifikasi perbedaan dari 2 aplikasi.  Umumnya digunakan untuk mengidentifikasi perbedaan dari 2 mobile malware yang diduga berasal dari malware family yang sama atau untuk mengetahui 2 versi dari satu aplikasi.

c. Drozer Framework;

Tools ini merupakan client/server framework untuk mengevaluasi aplikasi Android yang terdiri atas Android application agent dan console component dari Windows/Linux.  Dengan tool ini, kita bisa menganalisis lebih jauh dari mekanisme Android IPC, mengetahui jumlah komponen dari aplikasi dan juga melakukan ‘crafting’ atas Intent messages atas services-services tertentu tanpa harus menulis Java code.

Pentesting Mobile Application untuk iDevices (iOS)

Proses analisis atas mobile apps terutama terkait penilaian keamanan aplikasi mulai berkembang saat ini, walaupun terbilang masih terbatas terutama terkait tools yang tersedia.

Secara umum terdapat 2 jenis metode analisis yaitu secara MANUAL dan menggunakan AUTOMATING app analysis dengan menggunakan tools dari pihak ketiga (third party).

Sejauh ini metode manual menghasilkan output yang terbaik dari sisi detil laporan, walaupun membutuhkan waktu pengerjaan yang relatif lama dan membutuhkan skill set yang mencukupi dari tenaga analis. Sedangkan penggunaan tools yang bersifat otomatis lebih mudah dan cepat, walaupun hasilnya relatif masih terbatas.  Analis bisa menggunakan tools ini sebagai pelengkap dari teknik manual.

Analis harus mengetahui keterbatasan dari penggunaan tools tersebut, mengingat sampai saat ini masih belum ada commercial tools yang cukup valid dalam melakukan analisis.  Umumnya, tools yang tersedia saat ini masih bersifat open-source (free projects), sehingga masih memiliki banyak keterbatasan.

Analis dapat menggunakan tools automated tersebut dalam beberapa kondisi sebagai berikut:

a. Evaluasi atas mobile apps yang baru sebelum mendapatkan persetujuan dari pihak internal;

b. Melalukan pen-test atau audit terkait aspek security dari mobile apps;

c. Evaluasi atas malware pada perangkat mobile;

d. Sebagai bagian dari Incident Response jika terjadi insiden pada perangkat mobile.

Salah satu tahapan dalam pengujian keamanan terhadap mobile apps adalah melalui prosedur pentesting atas applikasi tersebut.  Untuk aplikasi yang digunakan pada perangkat iOS atau iDevices terdapat satu referensi yang sangat menarik buat saya saat ini yaitu https://www.owasp.org/index.php/IOS_Application_Security_Testing_Cheat_Sheet.  Dari cheat sheet tersebut, kita bisa menyusun suatu check list yang harus atau akan dilakukan terkait analisis terhadap keamanan satu aplikasi.  Selain itu, dalam page URL tersebut ditampilkan daftar tools yang tersedia yang dapat digunakan.

Salah satu tools yang sering digunakan untuk perangkat iOS adalah snoop-it. Sudah cukup banyak tutorial yang dapat dijadikan acuan dalam menggunakan snoop it, antara lain:

https://reverse.put.as/wp-content/uploads/2011/06/pentestingiosapps-deepsec2012-andreaskurtz.pdf,

http://resources.infosecinstitute.com/ios-application-security-part-9-analyzing-security-of-ios-applications-using-snoop-it/ dan

http://andressjsu.blogspot.co.id/2015/02/snoop-it-setup-ios-pentesting-tool.html

 

Inilah Virus dan Malware Android Yang Paling Berbahaya

ArenaLTE.com – Menurut laporan Cheetah Mobile, ada sekitar 9,5 juta virus dan malware yang beredar dan meyerang Android selama tahun 2015. Dan negara Cina, India juga Indonesia merupakan ketiga negara yang paling banyak menerima serangan virus dan malware Android tersebut. Selain karena ketiga negara tersebut merupakan basis pengguna Android terbanyak, aplikasi pihak ketiga (third party apps) paling banyak tersebar luas di ketiga negara tersebut, dan  kebanyakan malware dan virus masuk melalui aplikasi pihak ketiga yang kita download.

Pada 2015, Virus atau Trojan yang sangat populer yaitu Root Trojan. Jenis Trojan ini dapat memperoleh hak akses system-level para pengguna perangkat Android dan menyembunyikannya pada bagian yang sangat tersembunyi, membuatnya sangat sulit dihapus. Contoh yang paling khas adalah the stubborn Ghost Push dan berbagai variannya.

Pada 2015, Cheetah Mobile juga mendeteksi kehadiran lebih dari 1.300.000 situs berbahaya. Jumlah situs berbahaya meningkat dari bulan sebelumnya, dan mencapai puncaknya pada bulan Desember. Dimana bulan-bulan akhir tahun adalah musim liburan dan belanja, orang-orang bersedia untuk menghabiskan uang yang menjadi sasaran empuk para penjahat online.

Para penyebar virus dan malware ini menggunakan berbagai cara untuk melakukan aksi jahatnya, baik melalui aplikasi pihak ketiga juga melalui website berbahaya. Mesin pencari (Search Engine), Jejaring Sosial hingga SMS digunakan sebagai media untuk menyusupi virus dan malware berbahaya atau mencuri data pribadi kita.

Virus dan Malware Android Paling Sulit Dimusnahkan

Di bulan Oktober 2015, Cheetah Mobile Security Lab memperingatkan para pengguna Android tentang penyebaran virus Ghost Push yang telah menginfeksi levbih dari 900,000 pengguna Android di 116 negara. Virus ini mampu menguasai smartphone dan tablet kita dan sulit dimusnahkan. Virus ini juga akan memasang aplikasi tanpa izin penggunanya demi mendapatkan uang dari pengiklan.

Virus dan Malware Android Paling Jahat

Virus Trojan yang sudah terpasang di perangkat (pre-installed Trojan) – Para peneliti dari Cheetah Mobile Security Lab menemukan Trojan bernama Cloudsota, sudah terpasang di tablet Android tertentu. Lebih dari 50 negara telah terinfeksi oleh virus Trojan ini.

Virus dan Malware Android Paling Menarik

Trojan “Gambar Pesta” (Party Pics Trojan), pengguna Android akan menerima pesan teks dari nomor tak dikenal yang menulis “Coba lihat foto-foto pestamu! Semua temanmu ada disana!” dengan link dibawahnya. Setelah di klik, pengguna tidak akan melihat foto atau gambar, tapi telepon selular mereka akan mendapatkan virus Trojan.

Virus dan Malware Paling Sukar Dideteksi

CM Security Research Lab mengidentifikasi lima aplikasi berbahaya tersedia untuk diunduh di Google Play yang berisi jenis malware yang disebut Hide Icon. Hide Icon ini telah menginfeksi lebih dari 56.000 perangkat pada 2015. Malware ini menyamarkan dirinya sebagai alat yang berguna seperti senter dan kompas, dan mencuri data pribadi pengguna dan kerap kali memaksakan menampilkan iklan layar penuh ke perangkat korban.

Virus dan Malware Paling Menjengkelkan

CM Security Research mendeteksi sebuah ransomware bernama iToper, yang dikirimkan melalui forum-forum ponsel dan market store aplikasi pihak ke tiga. Sekali virus diaktifkan, akan menghentikan aktivitas lainnya yang berjalan pada ponsel, mengunci perangkat, dan kemudian menampilkan peringatan palsu dari FBI yang mencoba untuk memeras uang dari pengguna.

Virus dan Malware Paling Membuat Rugi

Kerentanan terhadap ‘Android Installer Hijacking’ membuat pihak ketiga dapat bisa menyusup kedalam smartphone Android, lalu memasang malware dan mencuri data pribadi kita. Ada sekitar 49,5 persen dari semua smartphone Android, termasuk tablet, memiliki risiko untuk mengalami masalah ini.

Sumber:

http://arenalte.com/berita/industri/inilah-virus-dan-malware-android-yang-paling-berbahaya/