Reversing Native Libraries

Pour plus d'informations, consultez : https://maddiestone.github.io/AndroidAppRE/reversing_native_libs.html

Les applications Android peuvent utiliser des bibliothèques natives, généralement écrites en C ou C++, pour des tâches critiques en termes de performance. Les créateurs de logiciels malveillants abusent également de ces bibliothèques car les objets partagés ELF sont encore plus difficiles à décompiler que le code byte DEX/OAT. Cette page se concentre sur des workflows pratiques et des améliorations d'outils récentes (2023-2025) qui facilitent le reverse engineering des fichiers .so Android.

Workflow de triage rapide pour un libfoo.so fraîchement extrait

1. Extraire la bibliothèque

# À partir d'une application installée
adb shell "run-as <pkg> cat lib/arm64-v8a/libfoo.so" > libfoo.so
# Ou à partir de l'APK (zip)
unzip -j target.apk "lib/*/libfoo.so" -d extracted_libs/

2. Identifier l'architecture et les protections

file libfoo.so        # arm64 ou arm32 / x86
readelf -h libfoo.so  # OS ABI, PIE, NX, RELRO, etc.
checksec --file libfoo.so  # (peda/pwntools)

3. Lister les symboles exportés et les liaisons JNI

readelf -s libfoo.so | grep ' Java_'     # JNI lié dynamiquement
strings libfoo.so   | grep -i "RegisterNatives" -n   # JNI enregistré statiquement

4. Charger dans un décompilateur (Ghidra ≥ 11.0, IDA Pro, Binary Ninja, Hopper ou Cutter/Rizin) et exécuter l'analyse automatique. Les versions plus récentes de Ghidra ont introduit un décompilateur AArch64 qui reconnaît les stubs PAC/BTI et les balises MTE, améliorant considérablement l'analyse des bibliothèques construites avec le NDK Android 14.
5. Décider entre reverse engineering statique et dynamique : le code obfusqué et supprimé nécessite souvent une instrumentation (Frida, ptrace/gdbserver, LLDB).

Instrumentation Dynamique (Frida ≥ 16)

La série 16 de Frida a apporté plusieurs améliorations spécifiques à Android qui aident lorsque la cible utilise des optimisations modernes Clang/LLD :

• thumb-relocator peut maintenant hooker de petites fonctions ARM/Thumb générées par l'alignement agressif de LLD (--icf=all).
• L'énumération et le rebinding des slots d'importation ELF fonctionnent sur Android, permettant le patching dlopen()/dlsym() par module lorsque les hooks en ligne sont rejetés.
• Le hooking Java a été corrigé pour le nouveau point d'entrée rapide ART utilisé lorsque les applications sont compilées avec --enable-optimizations sur Android 14.

Exemple : énumérer toutes les fonctions enregistrées via RegisterNatives et extraire leurs adresses à l'exécution :

Java.perform(function () {
var Runtime = Java.use('java.lang.Runtime');
var register = Module.findExportByName(null, 'RegisterNatives');
Interceptor.attach(register, {
onEnter(args) {
var envPtr  = args[0];
var clazz   = Java.cast(args[1], Java.use('java.lang.Class'));
var methods = args[2];
var count   = args[3].toInt32();
console.log('[+] RegisterNatives on ' + clazz.getName() + ' -> ' + count + ' methods');
// iterate & dump (JNI nativeMethod struct: name, sig, fnPtr)
}
});
});

Frida fonctionnera dès la sortie de la boîte sur les appareils activés PAC/BTI (Pixel 8/Android 14+) tant que vous utilisez frida-server 16.2 ou une version ultérieure – les versions antérieures n'ont pas réussi à localiser le padding pour les hooks en ligne. citeturn5search2turn5search0

Vulnérabilités récentes à rechercher dans les APK

Lorsque vous repérez des fichiers .so tiers à l'intérieur d'un APK, vérifiez toujours leur hash par rapport aux avis en amont. L'analyse de composition logicielle (SCA) est rare sur mobile, donc les builds vulnérables obsolètes sont répandus.

Tendances Anti-Reversing & Hardening (Android 13-15)

• Authentification de pointeur (PAC) & Identification de cible de branche (BTI) : Android 14 active PAC/BTI dans les bibliothèques système sur les silicons ARMv8.3+ pris en charge. Les décompilateurs affichent désormais des pseudo-instructions liées à PAC ; pour l'analyse dynamique, Frida injecte des trampolines après avoir supprimé PAC, mais vos trampolines personnalisés doivent appeler pacda/autibsp si nécessaire.
• MTE & Allocateur durci Scudo : le tagging de mémoire est opt-in mais de nombreuses applications conscientes de Play-Integrity sont construites avec -fsanitize=memtag ; utilisez setprop arm64.memtag.dump 1 plus adb shell am start ... pour capturer les fautes de tag.
• Obfuscateur LLVM (prédicats opaques, aplatissement de flux de contrôle) : les packers commerciaux (par exemple, Bangcle, SecNeo) protègent de plus en plus le code natif, pas seulement Java ; attendez-vous à des flux de contrôle faux et à des blobs de chaînes chiffrées dans .rodata.

Ressources

• Apprendre l'assemblage ARM : Azeria Labs – Notions de base sur l'assemblage ARM
• Documentation JNI & NDK : Spécification JNI d'Oracle · Conseils JNI Android · Guides NDK
• Débogage des bibliothèques natives : Déboguer les bibliothèques natives Android à l'aide de JEB Decompiler

Références

• Journal des modifications de Frida 16.x (hooking Android, relocation de fonction minuscule) – frida.re/news citeturn5search0
• Avis NVD pour le dépassement de libwebp CVE-2023-4863 – nvd.nist.gov citeturn2search0