Español | English
rss facebook linkedin Twitter

Análisis de aplicaciones Android

La industria del malware busca nuevas vías de infección, se adapta súper rápido a las nuevas tecnologías. Los smartphone que incorporan los sistemas operativos Android, Iphone y Blackberry no se libran de ser afectados por malware.
Algunos de los servicios que usan los usuarios tienen como segundo factor de autenticación el teléfono móvil. Un ejemplo de esto son los bancos, que cuando realizamos una trasferencia nos envían el código de confirmación al teléfono. Es por eso que no solo infectan al usuario final para pedirle los datos de tarjeta usando ataques Man in the Browser, sino que además te piden el número de móvil para poder enviarte un SMS con un enlace a una aplicación que simula ser de seguridad para la entidad bancaria. Esta aplicación en realidad intecepta los SMS que llegan y los envía al criminal entre otras opciones.
En el artículo de hoy veremos como analizar las aplicaciones, en la primera entrega instalaremos la aplicación en un entorno controlado donde podremos recoger aquellas acciones maliciosas que realice.
Para montar el entorno controlado necesitaremos primero el SDK de Android, hay distintas versiones según la plataforma: SDK Android.
Una vez descargado deberemos de instalar las distintas versiones de Android desde las que querremos probar en nuestro entorno.
Iniciamos Android e instalamos lo que podamos necesitar.


En mi caso no aparecen la versiones 2.2, 4.0 entre otras ya que ya las tengo instaladas.
Después de la instalación creamos las máquinas


Entramos en la parte de creación de los AVD's
Una vez que entremos le damos a New


Escogemos la versión de Android que contendrá dicho AVD.
Una vez que lo tengamos, le asignamos un nombre al AVD y un tamaño, nos quedará algo como esto:


Creamos tantos AVD como necesitemos. En mi caso lo he dejado de la siiguiente manera:


Ahora que ya tenemos el entorno de AVD listo, pasamos al apartado de como controlaremos todo lo que ocurra dentro de los emuladores.
Aunque en el mercado existan distintas aplicaciones para realizar esta parte yo he usado Droidbox, que me parece que cumple su cometido perfectamente para lo que necesitamos ahora.
Descargamos Droidbox desde el repositorio de Code Google. Droidbox
Para usar la aplicación, usaremos uno de los apk's que simula ser un centro de seguridad para el móvil.
Navegamos hasta la carpeta de Droidbox y le indicamos que AVD usaremos.


Le pasamos al script startmenu.sh el nombre del AVD que usaremos, Droidbox nos enciende el emulador. Ahora queda subir e instalar la aplicación.
Podemos ponerle un tiempo específico de ejecución, de manera que cuando pase este tiempo, Droidbox ya deje de analizar y nos muestre los resultados. En este caso nosotros lo pararemos manualmente.


Ha recogido dos LOGS del emulador, dos de ellos.


Primero nos muestra información sobre el APK que hemos subido, además de darnos el MD5, SHA1...
En la imagen también aparecen las operaciones de lectura que se han realizado.


El emulador no ha generado tráfico de ningún tipo, lo que si que ha echo es asegurarse de que arrancará la próxima vez que el movil encienda.

En esta primera parte hemos visto como montar nuestro pequeño sandbox de análisis de aplicaciones Android. En la segunda entrega veremos como realizar el análisis estático de la aplicación.

Marc Rivero López
S21Sec ACSS














2 comentarios:

Jacqui dijo...

Ni se me había ocurrido que en mi Android podría haber malware y quitarme mi información privada, está de lo mejor este análisis lo voy a realizar.

lucila dijo...

Muy buena información, muchísimas gracias de veras, yo si sabía que puede haber malware y quitarme información, es más, cada día más apps lo hacen, es triste pero es así :( ¡Un saludo!


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login