Einführung in die Welt der Virtualisierung – Teil II

Von Egidijus Lileika, leitender Sicherheitsforscher

 

Willkommen zum zweiten Teil unserer Virtualisierungsreihe. Ziel dieser Forschung ist es, das Potenzial der Anwendungsvirtualisierung als Angriffsvektor zu verstehen. In dieser Untersuchung wurden ein Dutzend Virtualisierungs-Apps für reguläre Anwendungsfälle und als Hacking-Tools getestet. Das Produkt Application Protection für Android wurde bei allen getesteten Virtualisierungs-Apps als Abhilfelösung bewertet.

Evaluierung von Virtualisierungs-Apps

In diesem Abschnitt werden die beliebtesten Open-Source- und Closed-Source-Virtualisierungs-Apps vorgestellt. Jede App wird hinsichtlich der Benutzerfreundlichkeit, der einfachen Kompilierung oder Änderung sowie der Frage bewertet, wie gut Application Protection für Android vor Angriffen in der virtualisierten Umgebung schützen kann. Wir haben versucht, Anwendungen aufzulisten, die alle verschiedenen Arten von Virtualisierungsmethoden repräsentieren. Einige Apps sind beliebter als andere, und die Apps werden in grober Reihenfolge von den beliebtesten bis zu den am wenigsten beliebten Apps besprochen.

Open Source

Virtuelle App

Virtuelle App ist ein teilweise virtualisiertes Android-System. Die vollständige Funktionsliste finden Sie im Projekt README.MD. Dieses Projekt war bis 2017 Open-Source und wurde seitdem nicht aktualisiert. Premium-Kunden können jedoch weiterhin aktuellere Versionen des jetzt geschlossenen Quellcodes erhalten. In Github gibt es keine vorgefertigten Binärdateien. Das Kompilieren der Quelle ist eine Herausforderung und viele Fehler erfordern eine manuelle Korrektur.

Das Projekt hat viele Forks. Der folgende Gabelung verwaltet tatsächlich Android-Versionen, die nach 2017 herauskamen.

Unsere ersten Versuche, VirtualApp zu kompilieren, scheiterten, aber das Projekt gilt als Inspiration für andere Virtualisierungsprojekte.

Anwendungsschutz für Android-Guards ausgelöst: Virtualisierungserkennung

Virtualxposed

Das Virtualxposed ist eine weitere teilweise Android-Virtualisierung, die auf dem VirtualApp-Projekt basiert. Das Hauptmerkmal von VirtualXposed besteht darin, dass es die Verwendung des Xposed-Frameworks auf einem nicht gerooteten Gerät in einer virtualisierten Umgebung ermöglicht. Dieses Projekt leidet unter Stabilitätsproblemen. VirtualXposed konnte das Xposed-Add-On auf beiden zum Testen verwendeten Geräten nicht installieren. Auf einem Gerät gelang es VirtualXposed sogar nicht, die virtualisierte App zu starten. Viele andere Projekte versuchen, die Idee von VirtualXposed zu replizieren.

Der Anwendungsschutz für Android-Wächter wird ausgelöst: Virtualisierungserkennung, Hook-Erkennung, dynamische Instrumentierungserkennung, Root-Erkennung, Signaturprüfung und Emulatorerkennung führen zum Absturz der App.

VirtualApp2022

VirtualApp2022 ist von VirtualXposed inspiriert und basiert auf VirtualApp. Funktioniert hervorragend auf Android 11. In der README.MD gibt der Entwickler an, dass er Xposed-Plugins unterstützt.

Anwendungsschutz für Android-Guards ausgelöst: Virtualisierungserkennung

Twoyi

Twoyi ist eine Android-System-App, die ganze ROM-Images virtualisiert. Standardmäßig virtualisiert es Android 8.1.0 mit einer vorinstallierten Superuser-App. Da Twoyi benutzerdefinierte ROM-Images virtualisieren kann, könnte es theoretisch dazu verwendet werden, mit Magisk gepatchte ROMs zu virtualisieren, LSPosed auszuführen oder andere Bedrohungstools auszuführen.

Anwendungsschutz für Android-Wächter ausgelöst: Root-Erkennung und Emulator-Erkennung

MultiApp

MultiApp funktioniert gut. Es ist schwierig, die genaue Virtualisierungstechnik zu bestimmen, die MultiApp verwendet, aber es handelt sich wahrscheinlich entweder um eine teilweise Virtualisierung des Android-Systems oder um die Virtualisierung von Anwendungen als Host. Dieses Projekt ist nur teilweise offen. Die Benutzeroberfläche und der Launcher der App sind Open Source, die Hauptvirtualisierungslogik wird jedoch in vorkompilierten JARs und APKs geliefert.

Anwendungsschutz für Android-Guards ausgelöst: Virtualisierungserkennung

Tai Chi

Tai Chi ist eine von VirtualXposed inspirierte Virtualisierungs-App, die Xposed-Module auf nicht gerooteten Geräten verwenden kann. Leider ist dieses Projekt nicht stabil, da es auf beiden Testgeräten nicht möglich war, virtualisierte Apps zu installieren oder auszuführen.

Anwendungsschutz für Android-Wächter ausgelöst: Virtuelle Erkennung

VirtualApk, Phantom und DroidPlugin

VirtualApk, Phantom und DroidPlugin Projekte sind SDKs, die es Benutzern ermöglichen, Hostanwendungen zu erstellen, die darin enthaltene Zielanwendungen virtualisieren können. Aus Zeitgründen wurden diese Frameworks nicht getestet.

Anwendungsschutz für Android-Wächter ausgelöst: – Virtualisierungserkennung

Geschlossene Quelle

parallel Space, DualraumUnd andere

Sonstiges:

• https://play.google.com/store/apps/details?id=com.excelliance.multiaccounts&hl=en&gl=US
• https://play.google.com/store/apps/details?id=multi.parallel.dualspace.cloner&hl=en&gl=US
• https://play.google.com/store/apps/details?id=com.cloneapp.parallelspace.dualspace&hl=en&gl=US
• https://play.google.com/store/apps/details?id=com.excelliance.multiaccount&hl=en&gl=US
• https://play.google.com/store/apps/details?id=com.excean.parallelspace&hl=en&gl=US
• https://play.google.com/store/apps/details?id=do.multiple.cloner&hl=en&gl=US
• https://www.apkmirror.com/apk/nox-ltd/noxapp-multiple-accounts-clone-app/

Eine der beliebtesten Virtualisierungs-Apps aus dem Google Play Store. Um Parallel Space mit GameGuardian nutzen zu können, muss eine inoffizielle „optimierte“ Version der Parallel Space-App aus dem GameGuardian-Forum heruntergeladen werden.

Für GameGuardian optimierte Versionen:

• https://gameguardian.net/forum/files/file/120-parallel-space-32-bit-support-64-bit-support/
• https://gameguardian.net/forum/files/file/213-dualspace-32-bit-support-64-bit-support/
• https://gameguardian.net/forum/files/file/194-virtual-space/
• https://gameguardian.net/forum/files/file/225-octopus-32-bit-support-64-bit-support/
• https://gameguardian.net/forum/files/file/122-go-multiple/

Anwendungsschutz für Android-Wächter ausgelöst: Virtualisierungserkennung und dynamische Instrumentierungserkennung (Parallel Space-Speichermanipulation erkannt)

SpaceCore

SpaceCore ist eine neue, teilweise Open-Source-Virtualisierungs-App. Die Virtualisierungslogik ist eine Closed-Source-Logik. Die App kann nicht aus der Quelle kompiliert werden, da ihr die Quelle der Kernbibliothek fehlt. Demo-Builds sind stabil und können die meisten getesteten Apps ausführen. Das Menü enthält einen Platzhalter für Xposed Manager, der noch nicht verfügbar ist.

Anwendungsschutz für Android-Guards ausgelöst: Virtualisierungserkennung

AppCloner

AppCloner ist eine auf Neuverpackung basierende Virtualisierung, die die Zielanwendung unter einem anderen Paketnamen neu verpackt und auf dem System installiert. Die Virtualisierungstechnik ist einfach, kann jedoch nicht zusammen mit anderen Bedrohungstools verwendet werden, um Zielanwendungen ohne Root-Zugriff zu manipulieren.

Anwendungsschutz für Android-Guards ausgelöst: Virtualisierungserkennung

Island

Island ist eine auf Arbeitsprofilen basierende Virtualisierungslösung, die Apps innerhalb von Arbeitsprofilen isoliert. Während des Anwendungsschutzes für die Android-Virtualisierung wurde in Berichten zur Erstellung von Schutzvorrichtungen festgestellt, dass Island dazu verwendet wurde, Opferanwendungen von anderen Apps zu isolieren, und dass GameGuardian dazu verwendet wurde, den Anwendungsspeicher unentdeckt zu manipulieren.

Anwendungsschutz für Android-Guards ausgelöst: Virtualisierungserkennung

Zusammenfassung

Virtualisierung ist sowohl für normale Benutzer als auch für Bedrohungsakteure nützlich. Viele Virtualisierungs-Apps ermöglichen es Bedrohungsakteuren, virtuell eine bösartige Umgebung auf einem nicht gerooteten Gerät zu erstellen. Obwohl es viele Open-Source-Projekte gibt, können die meisten davon nicht einfach kompiliert und geändert werden.

Die Virtualisierung wird auf viele verschiedene Arten erreicht, angefangen bei der Neuverpackung von Anwendungen bis hin zur Virtualisierung des gesamten Android-Systems. Alle Virtualisierungs-Apps, die wir für dieses Dokument getestet haben, wurden vom Produkt „Application Protection for Android“ erkannt.

Zusätzliche Ressourcen

https://github.com/pianpian315/VirtualAndroid/blob/master/Mobile%20Virtualization%20Technologies.pdf

https://github.com/ysrc/AntiVirtualApp

 

Lesen Sie den ersten Teil der Serie, den Sie finden werden auf dieser Seite erläutert.