Mengenal Teknik Anti Emulasi Pada Malware Android-Saat ini malware semakin canggih dan semakin sulit untuk dianalisa secara otomatis oleh aplikai antivirus. Meskipun bukanlah hal baru, teknik emulasi juga semakin berkembang mengikuti teknik emulasi antivirus yang bertujuan sebagai metode pendeteksian pintar.
Teknik anti emulasi merupakan cara yang dilakukan malware semoga tidak dapt diemulasi oleh antivirus sehingga tidak sanggup dianalisa secara dinamis. Emulator merupakan cara software atau hardware yang menciptakan komputer virtual untuk menjalankan malware sehingga sikap malware sanggup dianalisa sebagai materi pertimbangan dan pendeteksian.
Seiring berkembangnya malware android yang tingkat penyebarannya berkembang, teknik emulasi pun mulai diterapkan pada malware android, salah satunya ialah ,alware berjulukan Adload yang ditemukan digoogle play.
Apa saja teknik anti emulasi pada malwae android, berikut penjelasannya.
1. Memeriksa warta layanan telephone.
Ketika berbicara emulasi, berarti terdapat dua lingkungan ialah lingkungan virtual atau emulator dan perangkat asli. Teknik anti emulasi disini ialah dengan berusaha mendeteksi jenis lingkungan yang dipakai dikala malware dijalankan.
Informasi yang berbeda pada perangkat orisinil dan emulator ialah deviceID, nomor telephone, IMEI dan IMSI. Tidak sulit untuk mendapatkan warta layanan telephone tersebut dengan memanfaatkan class android.OS.TelephonyManager.
Terdapat metod didalam class ini yang dipakai untuk memilih layanan telephone, mengakses informasi-informasi pelanggan dan mendaftarkan listener untuk mendapatkan notifikasi perubahan keadaan telephone.
Sebagai contoh, malware memakai getLine1Number untuk mendapatkan nomor telephone pada saluran 1. Pada emulator nilainya akan 1555521 dan diikuti port nomor. Terdapat juga method getSimOperatorName dan getSimCountryIso unuk mengecek warta yang tedapat pada telephone.
2. Memeriksa Build Info.
Dengan menilik build info, malware akan memastikan bila dirinya dijalankan melalui emulator atau tidak. Pemeriksaan warta ini hanya dilakukan dikala malware aktif atau proses booting. Berikut teladan build info :
3. Memeriksa properti sistem.
Umumnya properti sistem pada emulator akan berbeda dengan perangkat asli. Sebagai teladan merek perangkat, hardware dan model.
4. Memeriksa file terkait dengan emulator.
Teknik ini juga ditemukan pada banyak malware android dengan menilik keberadaan QEMU (Quick Emulator) atau file emulator lain.
5. Memeriksa debugger dan instaler.
Teknik ini bukanlah anti emulator namun bisa menciptakan penganalisan secara dinamis tidak berjalan. Dengan mengunakan perintah Debug.isDebuggerConnected() dan Debug.waitingForDebugger(), malware sanggup mengetahui bila dirinya sdang di-debug oleh aplikasi debugger. Bahkan, malware mengecek bila dirinya diinstal memakai google play. Apabila malware diinstal dengan adb maka malware akan meolak untuk aktif.
6. Bom Waktu.
Dengan menunda atau menciptakan delay pada isyarat yag akan dijalakan, emulator sanggup melewati penganalisaan sehigga malware tidak terdeteksi oleh antivirus. Setelah proses instalasi, malware tidak akan memulai aktifitasnya, contohnya menampilkan banner sehina pengguna pun tidak akan curiga dengan aplikasi jahat yang bahwasanya telah terinstal di perangkat.
Parameter firstAdDelay merupakan satuan milidetik sebagai patokan waktu kapan iklan akan dimunculkan, dalam kasus ini ialah 24 jam. Penguna pun menganggap aplikasi yang dijalankan bersifat normal.
Malwae android terus berevolusi dan teknik anti emulasi pun semakin berkembang untuk mendeteksi emulator semoga tidak muah terdeteksi oleh antivirus.
Sumber Majalah PC Media 2017.
Informasi yang berbeda pada perangkat orisinil dan emulator ialah deviceID, nomor telephone, IMEI dan IMSI. Tidak sulit untuk mendapatkan warta layanan telephone tersebut dengan memanfaatkan class android.OS.TelephonyManager.
Terdapat metod didalam class ini yang dipakai untuk memilih layanan telephone, mengakses informasi-informasi pelanggan dan mendaftarkan listener untuk mendapatkan notifikasi perubahan keadaan telephone.
Sebagai contoh, malware memakai getLine1Number untuk mendapatkan nomor telephone pada saluran 1. Pada emulator nilainya akan 1555521 dan diikuti port nomor. Terdapat juga method getSimOperatorName dan getSimCountryIso unuk mengecek warta yang tedapat pada telephone.
2. Memeriksa Build Info.
Dengan menilik build info, malware akan memastikan bila dirinya dijalankan melalui emulator atau tidak. Pemeriksaan warta ini hanya dilakukan dikala malware aktif atau proses booting. Berikut teladan build info :
3. Memeriksa properti sistem.
Umumnya properti sistem pada emulator akan berbeda dengan perangkat asli. Sebagai teladan merek perangkat, hardware dan model.
4. Memeriksa file terkait dengan emulator.
Teknik ini juga ditemukan pada banyak malware android dengan menilik keberadaan QEMU (Quick Emulator) atau file emulator lain.
5. Memeriksa debugger dan instaler.
Teknik ini bukanlah anti emulator namun bisa menciptakan penganalisan secara dinamis tidak berjalan. Dengan mengunakan perintah Debug.isDebuggerConnected() dan Debug.waitingForDebugger(), malware sanggup mengetahui bila dirinya sdang di-debug oleh aplikasi debugger. Bahkan, malware mengecek bila dirinya diinstal memakai google play. Apabila malware diinstal dengan adb maka malware akan meolak untuk aktif.
6. Bom Waktu.
Dengan menunda atau menciptakan delay pada isyarat yag akan dijalakan, emulator sanggup melewati penganalisaan sehigga malware tidak terdeteksi oleh antivirus. Setelah proses instalasi, malware tidak akan memulai aktifitasnya, contohnya menampilkan banner sehina pengguna pun tidak akan curiga dengan aplikasi jahat yang bahwasanya telah terinstal di perangkat.
Parameter firstAdDelay merupakan satuan milidetik sebagai patokan waktu kapan iklan akan dimunculkan, dalam kasus ini ialah 24 jam. Penguna pun menganggap aplikasi yang dijalankan bersifat normal.
Malwae android terus berevolusi dan teknik anti emulasi pun semakin berkembang untuk mendeteksi emulator semoga tidak muah terdeteksi oleh antivirus.
Sumber Majalah PC Media 2017.
Sumber https://soymedia.blogspot.com/
