Analyse statique et décompilation d’une application

Nous allons analyser deux malwares différents : KevDroid (md5 : 56b1f4800fa0e083caf0526c3de26059), et FAKESPY (md5 : a5cb6cd85b134a7b5d2f871a 0b596d3f). Nous analyserons l’un et l’autre en fonction des sections et en fonction des mécanismes mis en place par les développeurs. Nous préciserons bien évidemment quel malware nous analysons dans chacune des sections de ce chapitre.

1. Analyse d’un fichier APKAPK

Pour commencer, nous allons travailler sur le malware KevDroid. La première étape consiste à lister les permissions nécessaires à cet apk :

paul@lab:~$ aapt dump permissions KevDroid.apk 
package: com.cool.pu 
uses-permission: name='android.permission.RECEIVE_BOOT_COMPLETED' 
uses-permission: name='android.permission.READ_CALL_LOG' 
uses-permission: name='android.permission.READ_SMS' 
uses-permission: name='android.permission.RECEIVE_SMS' 
uses-permission: name='android.permission.RECORD_VIDEO' 
uses-permission: name='android.permission.RECORD_AUDIO' 
uses-permission: name='android.permission.CAMERA' 
uses-permission: name='android.permission.READ_PHONE_STATE' 
uses-permission: name='android.permission.PROCESS_OUTGOING_CALLS' 
uses-permission: name='android.permission.ACCESS_FINE_LOCATION' 
uses-permission:...
Pour consulter la suite, découvrez le livre suivant :
couv_EP3MAL.png
60-signet.svg
En version papier
20-ecran_lettre.svg
En version numérique
41-logo_abonnement.svg
En illimité avec l'abonnement ENI
130-boutique.svg
Sur la boutique officielle ENI
Précédent
Création d’un laboratoire d’analyse
Suivant
Analyse dynamique