Análisis de malware para Android con MobSF - BoomerNiX

martes, 12 de junio de 2018

Análisis de malware para Android con MobSF

Hoy vamos a hablar de una herramienta para analizar aplicaciones móviles en búsqueda de Malware. Se trata de MobSF – Mobile Security Framework, se puede descargar de GitHub.

Este framework permite hacer análisis estático y dinámico de una aplicación Android o iOS. El análisis estático es muy sencillo y basta con arrastrar una aplicación a su interfaz web (está hecho con Django) y esperar a que nos muestre los resultados, para el análisis dinámico es necesario tener VirtualBox y cargar la máquina que nos proporcionan, toda esta información está muy bien explicada en la wiki del repositiorio, por lo que aquí no hablaremos de ello.

Hemos bajado un Malware para Android desde el siguiente repositorio, que tiene varios para analizarlos. Nosotros hemos elegido Android.VikingHorde.

La interfaz que dispondremos al entrar es la siguiente:


Ahí cargaremos la aplicación que queramos analizar.

Análisis estático con MobSF

Para realizar este tipo de análisis lo único que tendremos que hacer es cargar la aplicación y esperar a que el framework la haya analizado y nos muestre un reporte, aquí tenemos el nuestro:



Nos muestra su hash, información de la App, los permisos que requiere, código Java y smali (si es posible), etc. Si cogemos su MD5 y vamos a VirusTotal, y lo ingresamos en el apartado de Search veremos que ya existe información, que se trata de un troyano:


Tiene una sección que analiza el código, se puede apreciar parte de este contenido en la siguiente imagen, lo que se ve en rojo o verde es el nivel del “problema”:


Podemos descubrir muchas cosas con está herramienta y con un simple análisis estático, aquí no se va a ver todo para no extenderse.

Análisis dinámico con MobSF

Normalmente necesitaremos de un análisis dinámico, por lo que si has seguido los pasos de instalación que te muestran en el repositorio de GitHub, podemos darle al botón Start Dynamic Analysis, si no tienes arrancada la máquina virtual, se arrancará.

En la nueva ventana daremos al botón Create Environment, que se encargará de instalar la aplicación en el emulador y posteriormente la arranca. Se puede apreciar en la siguiente imagen que se activan varios botones, y que podemos ejecutar comandos adb.


El malware que se ha instalado no va a abrir ninguna App. Cuando hayamos terminado de manipular la App que queremos analizar, pincharemos en el botón Finish, se tirará un rato procesando la información y nos creará un nuevo informe, con los datos recogidos durante la sesión.


Si elegimos otra aplicación del repositorio mencionado antes, Android.Spy.49_iBanking_Feb2014, se trata de un troyano bancario. Veremos cómo se inicia en el emulador:


Por último, una captura de parte del reporte que nos muestra:


Los informes que se generan pueden ser descargados. Ahora toca practicar e investigar en el entorno controlado que tenemos, recuerda tener un SNAPSHOT de la máquina virtual antes de comenzar, para así poder regresar siempre al punto de partida.

No hay comentarios:

Publicar un comentario