fudmario Posted August 13, 2014 Share Posted August 13, 2014 (edited) Hace un par de semanas me preguntaron sobre esto, así que me saque algo de tiempo y decidi hacer este mini-tutorial para todos, y bueno veremos algunas formas para poder identificar APK's maliciosas y tambien el uso de aplicaciones que nos ayudaran en este proceso. Comencemos... ¿Qué es una APK? Un archivo con extensión .apk (Application PacKage File) es un paquete para el sistema operativo Android. Este formato es una variante del formato JAR de Java y se usa para distribuir e instalar componentes empaquetados para la plataforma Android... Un archivo .apk normalmente contiene lo siguiente: AndroidManifest.xml classes.dex resources.arsc res (carpeta) META-INF (carpeta) lib (carpeta) El Formato APK es básicamente un archivo comprimido ZIP con diferente extensión por lo cual pueden ser abiertos e inspeccionados usando un software archivador de ficheros como 7-Zip, Winzip, WinRAR o Ark. AndroidManifest.xml Es un archivo XML codificado como XML binario que nos muestra los datos de la aplicación(Actividades, permisos, servicios, etc.) classes.dex Aquí se encuentra el código de la aplicación compilado en un el formato que interpreta la maquina virtual de Dalvik resources.arsc Aquí se encuentran todos los recursos pre-compilados de la aplicación. res En esta carpeta estan los recursos de la aplicación. META-INF En esta carpeta encuentran los certificados de la aplicación. Utilizaremos una muestra disponible en Contagio Mobile ¿Qué es Simplocker? Simplocker es un troyano apuntado a móviles, uno de la los primeros de esta clase que tiene por objetivo los dispositivos móviles con Android. Este código malicioso explora la tarjeta SD residente en busca de ciertos tipos de archivos (.jpeg, .jpg, .png, .bmp, .gif, .pdf, .doc, .docx, .txt, .avi, .mkv, .3gp, .mp4), encripta estos archivos utilizando AES, y luego demanda un rescate de parte del usuario a cambio de la descripción de esos archivos vulnerados. El resultado determina que hasta que el rescate sea pagado, los usuarios no podrán acceder a su archivos personales (fotografías, descargas, canciones , etc.). Nuestro punto de inicio será el archivo AndroidManifest.xml, este archivo nos mostrará que es lo que va a hacer, si intentamos leer el contenido de este archivo no será legible, para poder leerlo correctamente podemos usar: "AXMLPrinter2" o "xml-apk-parser". AXMLPrinter2: Obtiene el XML desde el archivo xml binario. This is the hidden content, please Sign In or Sign Up xml-apk-parser: Obtiene el XML directamente desde la APK This is the hidden content, please Sign In or Sign Up This is the hidden content, please Sign In or Sign Up This is the hidden content, please Sign In or Sign Up El Archivo AndroidManifest: Android:versionCode = Indica la versión de nuestra aplicación Android:versionName = Indica la versión de nuestra aplicación mostrada al usuario package = Es el nombre del paquete Java que contiene el elemento raíz de nuestra aplicación uses-permission = Esto declara los permisos que necesita la aplicación para funcionar. permission = Esto declara los permisos que las actividades o servicios que necesita. application = Esto define nombre, actividades, icono, etc. Contenido del Archivo AndroidManifest de Simplocker: android.permission.INTERNET = Permite a las aplicaciones abrir sockets de red android.permission.ACCESS_NETWORK_STATE = Permite que las aplicaciones accedan a información sobre redes android.permission.READ_PHONE_STATE = Permite acceso de sólo lectura al estado del teléfono. android.permission.RECEIVE_BOOT_COMPLETED = Permite que una aplicación para recibir el ACTION_BOOT_COMPLETED que se emite después de que el sistema termine de iniciarse. android.permission.WAKE_LOCK = Permite el uso de PowerManager WakeLocks mantener procesador de dormir o la pantalla de oscurecimiento android.permission.WRITE_EXTERNAL_STORAGE = Permite que una aplicación escriba en el almacenamiento externo android.permission.READ_EXTERNAL_STORAGE = Admite una aplicación que lee de almacenamiento externo. Ahora vamos a decompilar el proyecto: Como al principio hemos dicho que basicamente se trata de un archivo comprimido con diferente extensión, usando WinRAR podriamos extraer el contenido y con el archivo classes.dex pasandolo por Dex2jar obtendriamos el codigo DEX2JAR This is the hidden content, please Sign In or Sign Up JD-GUI:Decompiler(Haz Clic para ver el VIDEOGIF) This is the hidden content, please Sign In or Sign Up Otra alternativa sería usar(aunque es de pago) "AndroChef Java Decompiler", es bastante completo tu solo seleccionas tu apk y nos muestra todo el codigo decompilado. This is the hidden content, please Sign In or Sign Up This is the hidden content, please Sign In or Sign Up CREANDO UN ENTORNO VIRTUAL: Bueno para probar vamos a usar un Emulador para Android(yo usaré el Android SDK) ANDROID VIRTUAL This is the hidden content, please Sign In or Sign Up This is the hidden content, please Sign In or Sign Up Para instalar Aplicaciones utilizaremos el "adb.exe" ubicado en la carpeta "platform-tools" el modo de uso es el Siguiente: This is the hidden content, please Sign In or Sign Up Instalando APK This is the hidden content, please Sign In or Sign Up Simplocker Instalado This is the hidden content, please Sign In or Sign Up Pantalla Principal This is the hidden content, please Sign In or Sign Up Archivos Encryptados This is the hidden content, please Sign In or Sign Up Referencias: This is the hidden content, please Sign In or Sign Up This is the hidden content, please Sign In or Sign Up This is the hidden content, please Sign In or Sign Up This is the hidden content, please Sign In or Sign Up This is the hidden content, please Sign In or Sign Up This is the hidden content, please Sign In or Sign Up This is the hidden content, please Sign In or Sign Up This is the hidden content, please Sign In or Sign Up Liberar los archivos encryptados: This is the hidden content, please Sign In or Sign Up This is the hidden content, please Sign In or Sign Up Si te gusta y quieres compartirlo adelante, recuerda respetar el autor del Post. Edited August 13, 2014 by fudmario Añadir videoGif Eset Simplocker Decryptor Link to comment Share on other sites More sharing options...
sQuo Posted August 13, 2014 Share Posted August 13, 2014 Re: Android: Análisis de Malware | by fudmario estas hecho un crack en esto del analisis, cada vez sorprendes más.. manuales muy bien explicados friends: Link to comment Share on other sites More sharing options...
fudmario Posted August 13, 2014 Author Share Posted August 13, 2014 Re: Android: Análisis de Malware | by fudmario Gracias por Comentar bro... Actualize el post, añadi el videogif como usar Eset Simplocker Decryptor. Saludos. Link to comment Share on other sites More sharing options...
Recommended Posts