Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Herramientas para el análisis de malware en Android


El malware para Android no detiene su actividad. Constantemente vemos distintas campañas que buscan distribuir malware para robar credenciales, robar información, espiar o desplegar anuncios maliciosos. Si bien el análisis de aplicaciones en Android suele ser una tarea compleja, en esta oportunidad compartimos nuevas herramientas que pueden resultar de gran ayuda a la hora de realizar tareas de análisis de malware.




Frida

Mas allá de las diversas herramientas que se van diseñando para facilitar el análisis de malware en Android, resulta clave entender de manera general cómo funciona Frida, ya que es la principal herramienta en la que se basan las demás herramientas


  • Compartimos y analizamos una serie de herramientas útiles para el análisis de malware en Android. 

JADX

Es una herramienta de línea de comandos que cuenta con una interfaz gráfica. Permite descompilar las aplicaciones APK y obtener los recursos, como el archivo AndroidManifest.xml. También cuenta con un desofuscador para facilitar la tarea al analista de malware.




De esta manera Quark-Engine nos brinda un primer acercamiento para saber qué tan maliciosa es la aplicación que estamos analizando.

Quark-Engine

Quark-Engine es una un sistema de puntuación de malware para Android que permite al analista tener un panorama general de la aplicación. Lo curioso de esta herramienta es que los desarrolladores se basaron en el derecho Penal de Taiwán para programar la lógica de la puntuación y determinar qué tan maliciosa puede ser la aplicación a evaluar. Por ejemplo, Taiwán divide este análisis en cinco etapas, por eso Quark-Engine divide en cinco etapas la actividad maliciosa que puede llegar a realizar una aplicación:



APKLab

Es una herramienta diseñada para Virtual Studio Code que integra otras herramientas, como Quark-Engine, APKtool, JADX, entre otras. Facilita mucho el análisis por su interfaz integrada, desde la cual se puede renombrar varias clases, funciones y variables. Además, con APKLab podemos “buildear” nuevamente la .apk de una manera sencilla con las modificaciones dentro del archivo para facilitar el análisis del malware en concreto.


Vale la pena recordar que si hay algo que a los cibercriminales les gusta hacer es ofuscar el código del malware, y esto no es la excepción en Android. Pero gracias a la amigable interfaz que ofrece APKLab el analista podrá realizar referencias cruzadas y renombrar clases y métodos de una manera rápida.


Medusa

Al igual que Dexcalibur, Medusa es un framework escrito en Python de instrumentación binaria basado en Frida.

A través de Medusa se puede modularizar la automatización de diversos procesos y técnicas durante el análisis de la aplicación maliciosa seleccionada.


Dexcalibur

Realizar ingeniera inversa es un proceso complejo; sin embargo, existen herramientas como Dexcalibur que permiten la automatización de instrumentación dinámica aprovechando Frida. Dexcalibur analiza estáticamente, genera hooks y hasta incluso guarda los datos interceptados. El principal objetivo de Dexcalibur es ofrecerle al analista una herramienta de uso sencillo para la creación de hooks y búsqueda de patrones dentro del archivo malicioso.



Runtime Mobile Security (RMS)

Runtime Mobile Security (RMS) es un framework que utiliza Frida para poder analizar aplicaciones tanto en Android como iOS. A través de RMS se puede visualizar rápidamente las clases que se van cargando junto con sus métodos.  De esta manera es fácil hacer un seguimiento para poder rastrear los argumentos que se van seleccionando al ejecutar la aplicación.



Fuentes:

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.