Android & iOS: Gratis-Werkzeuge zur Malware-Analyse
Die Linux-Distribution Santoku bringt alle Werkzeuge mit, um Malware und andere Apps für iOS und Android professionell unter die Lupe zu nehmen. Eine Kombination aus einer App und einem Webdienst analysiert unter anderem Datenströme von Apps.
- Uli Ries
- Jürgen Schmidt
Santoku Linux nennen die Experten von Viaforensics ihre auf mobile Betriebssysteme spezialisierte Distribution. Ziel der auch als virtuelle Maschine erhältlichen Zusammenstellung: Den Nutzern die Zeit zu ersparen, um passende Tools zusammen zu suchen und zu kompilieren. Die relevanten Plattform-SDKs, Treiber und anderen Werkzeuge seien schon vorinstalliert. Schwerpunkte der Distribution sind Werkzeuge wie iPhone Backup Analyzer oder AFLogical Open Source Edition für forensische Analysen von Smartphones und Tablets sowie Untersuchungen beziehungsweise dem Reverse Engineering von mobiler Malware. Außerdem finden sich noch gängige Sicherheitstools wie die Burp Suite, Ettercap oder SSL Strip in der Sammlung. Eine Anbindung an eine vorhandene Malware-Sammlung soll ebenfalls mit zum Paket gehören.
Die Macher der Distribution stellen auf ihrer Website auch Schritt-für-Schritt-Anleitungen bereit. Beispielsweise zum Umgang mit dem Forensik-Werkzeug AFLogical Open Source Edition oder dem iPhone Backup Analzyer. Während einer Präsentation im Rahmen der RSA Conference analysierte Sebastian Guerrero Selma von Viaforensics mit Hilfe der Distribution einen Premium-SMS-Trojaner für Android. Der Schädling verbarg sich per Steganographie vor Antivirensoftware und versteckte den Inhalt der teuren SMS in der PNG-Datei des Programm-Icons.
Außerdem demonstrierte Viaforensics mit Viaprotect noch einen teilweise kostenfreien Dienst zur automatischen App-Analyse. Der Dienst besteht aus einer App für Android und iOS sowie einem Webservice. Die App analysiert alle anderen auf dem mobilen Endgeräte installierten Anwendungen und überwacht auf Wunsch deren Datenströme. So wird mittels des Webservice sofort sichtbar, in welche Länder einzelne Apps Daten übermitteln und ob sie dies unverschlüsselt tun. Kommuniziert eine App mit einer als bösartig bekannten IP-Adresse, soll der Dienst den Machern zufolge eine Warnung ausgeben. Letztendlich zeigt Viaprotact eine Risikobewertung in Form einer Zahl. Grundlage hierfür sind Analysen von tausenden weiteren Smartphones sowie tiefergehenden Analysen durch Viaforensics. Andrew Hoog, dem Mitgründer des Unternehmens zufolge, seien iOS-Anwender von löchrigen Apps genauso gefährdet wie Android-Nutzer. Wenngleich letztere zusätzlich Gefahr laufen, sich Malware einzufangen. (ju)
