| Kľúčové slová: | behavioral analysis, black-box analysis, eBPF, Linux, malware, observability tools, repackaging attacks, security tools, Signal, strace, Telegram, Wireshark
|
|---|
| Abstrakt: | The aim of the diploma thesis is to analyze repacked version of Signal and Telegram instant messaging applications using various observability and security tools. Main purpose of this thesis is first to efficiently recognize if an application uses either Telegram or Signal in the background, to verify if it performs the same function that legitimate original application does and to highlight any non-standard and possibly malicious behaviour. In Chapter 1 we introduce past and current examples of repacking attacks and define functioning of the attack. We show that it is a frequently used method of distributing malware especially for Android operating system. In Chapter 2 we focus on various observability and security tools in Linux ecosystem, clarify the distinction between observability tools and security tools. We also briefly outline how these concepts used mainly in GNU/Linux environment adapt to Android. In Chapter 3 we review previous analysis of Telegram, Signal and other instant messaging apps, highlight most important findings and what has changed since their publication. We especially focus on methodologies used and which part of them we plan to reuse or change. Finally, in Chapter 4 we compare official signal-desktop application with unofficial signal-cli to find out whether signal-cli is a legitmate application or does some nefarious activity.
Cieľom diplomovej práce je analyzovať prebalené verzie aplikácií na okamžité zasielanie správ Signal a Telegram pomocou rôznych nástrojov na sledovanie a zabezpečenie. Hlavným cieľom tejto práce je najprv efektívne rozpoznať, či aplikácia na pozadí používa Telegram alebo Signal, overiť, či vykonáva rovnaké funkcie ako legitímna pôvodná aplikácia a upozorniť na prípadné neštandardné a prípadne škodlivé správanie. V kapitole 1 predstavujeme minulý a súčasný útok na prebalenie a definujeme fungovanie útoku. Ukazujeme, že ide o často používanú metódu distribúcie škodlivého softvéru najmä pre operačný systém Android. V kapitole 2 sa zameriame na rôzne nástroje na pozorovanie a zabezpečenie v ekosystéme Linux, objasňujeme rozdiel medzi nástrojmi na pozorovanie a bezpečnostnými nástrojmi. Stručne tiež predstavíme, ako sa tieto koncepty používané najmä v prostredí GNU/Linux prispôsobujú systému Android. V kapitole 3 uvádzame predchádzajúcu analýzu aplikácií Telegram, Signal a ďalších aplikácií na okamžité zasielanie správ. Zdôrazníme najdôležitejšie zistenia a to, čo sa odvtedy zmenilo. Zameriavame sa najmä na použité metodiky a na to, ktorú ich časť plánujeme opätovne použiť alebo zmeniť. Na záver, v kapitole 4 porovnáme oficiálnu aplikáciu signal-desktop s neoficiálnou signal-cli, aby sme zistili, či je signal-cli legitímna aplikácia alebo vykonáva nejakú nekalú činnosť.
|
|---|