Este framework
permite hacer análisis estático y dinámico de una aplicación Android o iOS. El
análisis estático es muy sencillo y basta con arrastrar una aplicación a su
interfaz web (está hecho con Django) y esperar a que nos muestre los
resultados, para el análisis dinámico es necesario tener VirtualBox y cargar la
máquina que nos proporcionan, toda esta información está muy bien explicada en
la wiki del repositiorio, por lo que aquí no hablaremos de ello.
Hemos bajado un Malware para Android desde el siguiente repositorio, que tiene varios para analizarlos. Nosotros hemos elegido Android.VikingHorde.
La interfaz
que dispondremos al entrar es la siguiente:
Ahí
cargaremos la aplicación que queramos analizar.
Análisis estático con MobSF
Para
realizar este tipo de análisis lo único que tendremos que hacer es cargar la
aplicación y esperar a que el framework la haya analizado y nos
muestre un reporte, aquí tenemos el nuestro:
Nos muestra
su hash, información de la App, los permisos que requiere, código Java y smali
(si es posible), etc. Si cogemos su MD5 y vamos a VirusTotal, y lo ingresamos en el apartado de Search veremos que
ya existe información, que se trata de un troyano:
Tiene una
sección que analiza el código, se puede apreciar parte de este contenido en la
siguiente imagen, lo que se ve en rojo o verde es el nivel del “problema”:
Podemos
descubrir muchas cosas con está herramienta y con un simple análisis estático,
aquí no se va a ver todo para no extenderse.
Análisis dinámico con MobSF
Normalmente
necesitaremos de un análisis dinámico, por lo que si has seguido los pasos de
instalación que te muestran en el repositorio de GitHub, podemos darle al botón
Start Dynamic Analysis, si no tienes arrancada la máquina virtual, se
arrancará.
En la nueva
ventana daremos al botón Create Environment, que se encargará de
instalar la aplicación en el emulador y posteriormente la arranca. Se puede
apreciar en la siguiente imagen que se activan varios botones, y que podemos
ejecutar comandos adb.
El malware
que se ha instalado no va a abrir ninguna App. Cuando hayamos terminado de
manipular la App que queremos analizar, pincharemos en el botón Finish, se
tirará un rato procesando la información y nos creará un nuevo informe, con los
datos recogidos durante la sesión.
Si
elegimos otra aplicación del repositorio mencionado antes, Android.Spy.49_iBanking_Feb2014,
se trata de un troyano bancario. Veremos cómo se inicia en el emulador:
Por último,
una captura de parte del reporte que nos muestra:
Los informes
que se generan pueden ser descargados. Ahora toca practicar e investigar en el
entorno controlado que tenemos, recuerda tener un SNAPSHOT de la máquina
virtual antes de comenzar, para así poder regresar siempre al punto de
partida.
No hay comentarios:
Publicar un comentario