cracked APK – wie rausfinden, ob ein Virus drin ist?

[sia]

Hi Leute,

Soll für eine Freundin* "is it love? Matt" runterladen, habe das auch gefunden: http://apkfullpro.com/is-it-love-matt-dating-sim/
Aber diese ganzen APK-Seiten sind mega unseriös.

Virustotal sagt "This file was last analysed by VirusTotal on 2016-02-15 21:34:11 UTC (1 week, 1 day ago) it was first analysed by VirusTotal on 2016-02-14 02:25:47 UTC. Detection rate 0/54"

Soll ich mir den Code dekompilieren/unpacken und anschauen? Wie kann ich sicher sein, dass kein Virus drin ist?

 

[drfuture]

hm die App ist kostenfrei?
https://play.google.com/store/apps/details?id=net.isitlove.cartercorp.matt&hl=de

Wenn aus der Anwendung die inApp-Käufe raus gepatched wurden - wurde die .apk in jedem Fall verändert - und dann dürfte es recht schwer werden einen "Fehler" zu finden. Die Frage ist welche Rechte die App beim Installieren fordert. Mit aktuellem Android kann man ihm auch unnütze Rechte nehmen - dann kommt auch spyware nicht arg so weit.

 

[alter_Bekannter]

Das docompiliern nichts bringts solltest du doch wissen, weill jeder Obfuscator der was taugt alles durchnummeriert.

Die Antwort wie man es rausfinden kann ist also wie üblich garnicht. Weil Schadsoftware die was taugt sich nicht sofort zeigt und in VM's die sie erkennt auch mal einfach garnicht in Aktion tritt. Was dir also bleibt sind die klassischen Methode wie bei der VM die "VM-Hinweise" nach bestem Wissen entfernen so das ausgeführte Software das System für echt hält.

Auch die angeforderten Rechte bringen nicht zwangsläufig was wenn die App einen root exploit nutzt. Stagefright basierende Lücken zB hätten keine besonderen Rechte gebraucht, bzw brauchen auch jetzt noch keine.

 

[sia]

Das heißt, wenn ich sicher gehen will, muss ich die Microtransactions selbst rauspatchen? Dann hat sich das Thema erledigt

 

[alter_Bekannter]

Wenn du Glück hast ist die Kommunikation nicht auf APP-Ebene gesichert, dann kannst du leicht den Server emulieren. Die Frage ist halt ob du mit dem Stock-Kernel auf dem Handy dann die Anfragen umleiten kannst.

Stockkernel haben teilweise ziemlich zufällige Einschränkungen.

Hier gilt wieder wenn du interessante Ideen hast schick sie mir, hab einige Testgeräte für sowas.

 

[vcvcv]

Sorry für das Off topic - Aber ich habe, ansatzweise, alles verstanden von dem ihr hier geschrieben habt. Allerdings habe ich noch keine Ahnung davon, wie man solche vorhaben dann konkret umsetzt und wie dann bspw. der Outcome nach dem Dekompilieren zu analysieren wäre usw.

Könnt ihr mir hierzu irgendwelche Einstiegsliteratur o.Ä. empfehlen? Gerne per PM, so dass der Threas nicht weiter gestört wird

Danke

 

[alter_Bekannter]

Auf was genau beziehst du dich? Ich habe von mindestens ~5 Problemfeldern gesprochen die ich jetzt auf die Schnelle wieder Identifizieren konnte.

1. Obfuscation
2. Schutzmechanismen von eventueller Schadsoftware(hier kann man sich jetzt darüber streiten ob es 2 Punkte sind oder einer, deswegen das ~):
2.a) Verzögerung
2.b) Erkennung der Umgebung
3. Androidrechteverwaltung, bzw Umgehung dieser durch root
4. Sicherung der APP Kommunikation
5. Kernelaufbau in Stock-Roms

Dazu kommen dann noch die Punkte die von drfuture und phre4k angesprochen wurden.

 

[Shinigami]

Ich hab es selber schon lange nicht mehr verwendet, aber früher konnte LuckyPatcher bei recht vielen Apps inApp Käufe und auch einige weitere Sachen freischalten. Ein Versuch ist es bestimmt wert.

 

[sia]

Ist nur noch die Frage, wo man einen "sauberen" LuckyPatcher herbekommt

 

[vcvcv]

@alter_Bekannter: Dankeschön, das sind Begrifflichkeiten nach denen ich suchen- und mit welchen ich mich jetzt erstmal beschäftigen kann

 

[hellsfury]

Ich habe immer gedacht, ein Scan auf Virustotal würde ausreichen, um verseuchte Apps rauszufinden. Natürlich installiere ich auch nix mit Payment Funktionen. Bisher lief das schadlos bei mir. Ich hab aber auch keinen Bezahl Account im Google Kto. angegeben.
Besteht dennoch eine Gefahr des ausspioniert werdens bzw. des hijackings diverser Art?

 

[alter_Bekannter]

Es gibt einen riesigen Unterschied zwischen "es konnte kein Problem festgestellt werden" und "es gibt kein Problem". Virustotal kann dir wie jeder einzelne Virenscanner nur ersteres sagen, viele verwechseln das leider mit letzterem oder denken es wäre das Gleiche.

Das Problem sitzt also viel viel tiefer und ist viel allgemeiner.

 

[Cazawhi]

@drfuture: Man kann Apps keine Berechtigungen entziehen unter Android, das geht nur mit KitKat 4.irgendwas aber das ist definitiv nicht die älteste Version
und in cyanogen müsste es auch gehen.

 

[virtus]

Version 1.0.72 kann auf Folgendes zugreifen:
In-App-Käufe
Identität

Konten auf dem Gerät suchen​

Kontakte

Konten auf dem Gerät suchen​

Telefon

Telefonstatus und Identität abrufen​

Fotos/Medien/Dateien

USB-Speicherinhalte ändern oder löschen
USB-Speicherinhalte lesen​

Speicher

USB-Speicherinhalte ändern oder löschen
USB-Speicherinhalte lesen​

Geräte-ID & Anrufinformationen

Telefonstatus und Identität abrufen​

Sonstige

Daten aus dem Internet abrufen
Zugriff auf alle Netzwerke
Netzwerkverbindungen abrufen
Ruhezustand deaktivieren
Vibrationsalarm steuern​

Wenn du wirklich sicher gehen möchtest, dann patch die Funktion selbst raus.
Alternativ bietet AdAway auch die Möglichkeit Anfragen an AdServer (bzw. Kontrollserver des Entwicklers) umzuleiten und kann dann auch mittels integriertem Webserver darauf antworten.

 

[cokeZ]

@Cazawhi: Seit Android 6.0 geht das sehr wohl.

Vor kurzem hat mein HCT naemlich das Update bekommen

 

[drfuture]

eben - ich schrieb ja *aktuell* *fg* - und in Android 6 geht das.