Mengenal Teknik Anti Emulasi Pada Malware Android

Mengenal Teknik Anti Emulasi Pada Malware Android-Saat ini malware semakin canggih dan semakin sulit untuk dianalisa secara otomatis oleh aplikai antivirus. Meskipun bukanlah hal baru, teknik emulasi juga semakin berkembang mengikuti teknik emulasi antivirus yang bertujuan sebagai metode pendeteksian pintar.

Mengenal Teknik Anti Emulasi Pada Malware Android

Teknik anti emulasi merupakan cara yang dilakukan malware agar tidak dapt diemulasi oleh antivirus sehingga tidak dapat dianalisa secara dinamis. Emulator merupakan cara software atau hardware yang membuat komputer virtual untuk menjalankan malware sehingga perilaku malware dapat dianalisa sebagai bahan pertimbangan dan pendeteksian.

Seiring berkembangnya malware android yang tingkat penyebarannya berkembang, teknik emulasi pun mulai diterapkan pada malware android, salah satunya yaitu ,alware bernama Adload yang ditemukan digoogle play.

Apa saja teknik anti emulasi pada malwae android, berikut penjelasannya.

1. Memeriksa informasi layanan telephone.
Ketika berbicara emulasi, berarti terdapat dua lingkungan yaitu lingkungan virtual atau emulator dan perangkat asli. Teknik anti emulasi disini yaitu dengan berusaha mendeteksi jenis lingkungan yang digunakan ketika malware dijalankan.

Informasi yang berbeda pada perangkat asli dan emulator yaitu deviceID, nomor telephone, IMEI dan IMSI. Tidak sulit untuk mendapatkan informasi layanan telephone tersebut dengan memanfaatkan class android.OS.TelephonyManager.

Terdapat metod didalam class ini yang digunakan untuk menentukan layanan telephone, mengakses informasi-informasi pelanggan dan mendaftarkan listener untuk menerima notifikasi perubahan keadaan telephone.

Sebagai contoh, malware menggunakan getLine1Number untuk mendapatkan nomor telephone pada saluran 1. Pada emulator nilainya akan 1555521 dan diikuti port nomor. Terdapat juga method getSimOperatorName dan getSimCountryIso unuk mengecek informasi yang tedapat pada telephone.


2. Memeriksa Build Info.
Dengan memeriksa build info, malware akan memastikan jika dirinya dijalankan melalui emulator atau tidak. Pemeriksaan informasi ini hanya dilakukan ketika malware aktif atau proses booting. Berikut contoh build info :


3. Memeriksa properti sistem.
Umumnya properti sistem pada emulator akan berbeda dengan perangkat asli. Sebagai contoh merek perangkat, hardware dan model.

4. Memeriksa file terkait dengan emulator.
Teknik ini juga ditemukan pada banyak malware android dengan memeriksa keberadaan QEMU (Quick Emulator) atau file emulator lain.


5. Memeriksa debugger dan instaler.
Teknik ini bukanlah anti emulator namun mampu membuat penganalisan secara dinamis tidak berjalan. Dengan mengunakan perintah Debug.isDebuggerConnected() dan Debug.waitingForDebugger(), malware dapat mengetahui jika dirinya sdang di-debug oleh aplikasi debugger. Bahkan, malware mengecek jika dirinya diinstal menggunakan google play. Apabila malware diinstal dengan adb maka malware akan meolak untuk aktif.


6. Bom Waktu.
Dengan menunda atau membuat delay pada instruksi yag akan dijalakan, emulator dapat melewati penganalisaan sehigga malware tidak terdeteksi oleh antivirus. Setelah proses instalasi, malware tidak akan memulai aktifitasnya, misalnya menampilkan banner sehina pengguna pun tidak akan curiga dengan aplikasi jahat yang sebenarnya telah terinstal di perangkat.


Parameter firstAdDelay merupakan satuan milidetik sebagai patokan waktu kapan iklan akan dimunculkan, dalam kasus ini yaitu 24 jam. Penguna pun menganggap aplikasi yang dijalankan bersifat normal.

Malwae android terus berevolusi dan teknik anti emulasi pun semakin berkembang untuk mendeteksi emulator agar tidak muah terdeteksi oleh antivirus.

Sumber Majalah PC Media 2017.




















Related Posts

Mengenal Teknik Anti Emulasi Pada Malware Android
4/ 5
Oleh