{"id":210,"date":"2014-06-05T11:43:11","date_gmt":"2014-06-05T11:53:47","guid":{"rendered":"https:\/\/0db50google-pulls-21-apps-in-android-malware-scare-6d5df6956d.jpg"},"modified":"2015-07-16T21:38:55","modified_gmt":"2015-07-17T03:38:55","slug":"analisis-de-un-repositorio-ruso-de-aplicaciones-android","status":"publish","type":"post","link":"https:\/\/emanuelpaxtian.com\/blog\/analisis-de-un-repositorio-ruso-de-aplicaciones-android\/","title":{"rendered":"An\u00e1lisis de un repositorio ruso de aplicaciones Android"},"content":{"rendered":"

Con el af\u00e1n de obtener aplicaciones que no est\u00e1n gratuitamente en la Google Play<\/strong> o por que se buscan aplicaciones que traigan “ciertas mejoras” sacrificamos la seguridad por los supuestos beneficios que traen las aplicaciones descargadas desde otros repositorios, en esta ocasi\u00f3n les dejo un an\u00e1lisis realizado por los chicos de hispasec<\/strong> al analizar un repositorio ruso de aplicaciones para Android en el cual encontraron cosas interesantes e intrigantes<\/p>\n

Dentro de nuestra participaci\u00f3n en el proyecto europeo NEMESYS, hemos desarrollado un “honeyclient” que nos permite de recopilar repositorios de Android, descargar las aplicaciones, y analizarlas. Hemos analizado el repositorio ruso de Android “androidar.ru”, para averiguar la confianza que podemos tener en los repositorios alternativos al oficial de Google. Vamos a mostrar algunos de nuestros descubrimientos.<\/p>\n

Un “honeyclient” es un sistema dise\u00f1ado para imitar, ya sea de forma manual o autom\u00e1ticamente, la serie de pasos que realizar\u00eda un usuario normal al visitar diferentes sitios web. Nuestro proyecto est\u00e1 destinado al an\u00e1lisis de repositorios Android alternativos, determinar su fiabilidad y comprobar que no se debe descargar aplicaciones de estos sitios.<\/p>\n

Para evaluar el repositorio, hemos descargado 2.300 aplicaciones. Para cada aplicaci\u00f3n, hemos realizado un an\u00e1lisis est\u00e1tico con Androguard y din\u00e1mico con Droidbox adaptado para la versi\u00f3n de Android 4.1.1. De esta forma queremos conocer el comportamiento de las aplicaciones: es decir los SMS enviados, datos privados robados, etc. Invitamos a leer nuestro informe sobre el an\u00e1lisis de aplicaciones Android.<\/p>\n

\"\"<\/p>\n

Hemos notado que 622 aplicaciones Android (un 27%) mandaban SMS premium y los identificadores IMEI e IMSI del m\u00f3vil por Internet a la direcci\u00f3n 188.42.243.203 (un servidor en Luxemburgo). Con el an\u00e1lisis est\u00e1tico, hemos averiguado que todas las aplicaciones ped\u00edan los 26 permisos siguientes y que ten\u00edan la capacidad de enviar SMS, leer SMS, leer los contactos, sacar fotos, etc.:<\/p>\n

android.permission.ACCESS_NETWORK_STATE
\nandroid.permission.MOUNT_FORMAT_FILESYSTEMS
\nandroid.permission.WRITE_SECURE_SETTINGS
\nandroid.permission.BIND_DEVICE_ADMIN
\nandroid.permission.ACCESS_NETWORK_STATE
\nandroid.permission.SEND_SMS
\nandroid.permission.BIND_REMOTEVIEWS
\nandroid.permission.INTERNET
\nandroid.permission.WRITE_SETTINGS
\nandroid.permission.SET_PROCESS_LIMIT
\nandroid.permission.SET_WALLPAPER_HINTS
\nandroid.permission.BRICK
\nandroid.permission.DEVICE_POWER
\nandroid.permission.READ_CONTACTS
\nandroid.permission.RECEIVE_SMS
\nandroid.permission.INSTALL_PACKAGES
\nandroid.permission.READ_PHONE_STATE
\nandroid.permission.WRITE_SYNC_SETTINGS
\nandroid.permission.ACCESS_FINE_LOCATION
\nandroid.permission.SET_ANIMATION_SCALE
\nandroid.permission.CAMERA
\nandroid.permission.CHANGE_NETWORK_STATE
\nandroid.permission.WRITE_EXTERNAL_STORAGE
\nandroid.permission.ACCESS_CHECKIN_PROPERTIES
\ncom.android.launcher.permission.INSTALL_SHORTCUT”
\nandroid.permission.SYSTEM_ALERT_WINDOW<\/p>\n

Abajo mostramos un ejemplo de una aplicaci\u00f3n del repositorio que env\u00eda tres SMS premium. El primer SMS se env\u00eda a partir de dos minutos, el segundo despu\u00e9s de 10 segundos, y el tercero despu\u00e9s de 15 segundos. Los tres SMS se env\u00edan a n\u00fameros premium diferentes, pero con el mismo mensaje “43978546971 361453287722”. Pensamos que el primer SMS se env\u00eda con retraso para evitar su detecci\u00f3n por las “sandbox” de Google o de casas antivirus. En efecto, con la gran cantidad de aplicaciones Android, imaginamos que analizar cada muestra m\u00e1s de un minuto pide muchos recursos, por lo que en la mayor\u00eda de los casos no se puede hacer.<\/p>\n

\"\"<\/p>\n

Mirando el certificado de la aplicaci\u00f3n, vemos tambi\u00e9n que el desarrollador de la aplicaci\u00f3n no quer\u00eda poner su nombre.<\/p>\n

\"\"<\/p>\n

Adem\u00e1s, el desarrollador ha usado t\u00e9cnicas de ofuscaci\u00f3n del nombre de las clases lo que hace m\u00e1s dif\u00edcil un an\u00e1lisis por ingenier\u00eda inversa. Por ejemplo, el nombre de la clase principal que se llama “imauyfxuhxd.qhlsrdb.rqdpwernbqj”.<\/p>\n

\"\"<\/p>\n

Tambi\u00e9n, nos hemos dado la cuenta de que descargando varias veces la misma aplicaci\u00f3n desde la misma URL:
\n“http:\/\/androidarar.ru\/api.php?n=beyondpod-key&f=beyondpod-key&a=36145&icurl=&imurl=&s=2&ss=13&mt=4&d=2&u=http%3a%2f%2fandroidar.ru%2fengine%2fdownload.php%3fid%3d1062&autoic=1” muchas veces nos devolv\u00eda aplicaciones con hash diferentes. Sin embargo, extrayendo el c\u00f3digo binario de cada aplicaci\u00f3n, hemos comprobado que todas las aplicaciones tienen el mismo c\u00f3digo compilado. En otras palabras, el atacante cambia los iconos y las par\u00e1metros de configuraciones de la aplicaci\u00f3n sin modificar el c\u00f3digo compilado, de manera que se genera un hash diferente para la aplicaci\u00f3n. Pensamos que el atacante lo hace intencionalmente para enga\u00f1ar los antivirus que usan los hash para identificar los malware Android. Un generador de firma sobre el c\u00f3digo compilado como el generador de formas para YARA (que describimos en el blog del Laboratorio de Hispasec) seria m\u00e1s adecuado para identificar el malware.<\/p>\n

Aconsejamos a todos los usuarios descargar las aplicaciones de Android desde el repositorio oficial de Google (https:\/\/play.google.com\/store) y comprobar los permisos que la aplicaci\u00f3n pide durante su instalaci\u00f3n. Por ejemplo, un juego que pida permiso para enviar SMS premium deber\u00eda hacernos sospechar.<\/p>\n

Fuente <\/strong>:\u00a0http:\/\/unaaldia.hispasec.com\/2014\/06\/analisis-de-un-repositorio-ruso-de.html<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Con el af\u00e1n de obtener aplicaciones que no est\u00e1n gratuitamente en la Google Play o por que se buscan aplicaciones que traigan “ciertas mejoras” sacrificamos la seguridad por los supuestos…<\/p>\n","protected":false},"author":1,"featured_media":333,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[13],"tags":[],"class_list":["post-210","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-android"],"_links":{"self":[{"href":"https:\/\/emanuelpaxtian.com\/blog\/wp-json\/wp\/v2\/posts\/210","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/emanuelpaxtian.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/emanuelpaxtian.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/emanuelpaxtian.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/emanuelpaxtian.com\/blog\/wp-json\/wp\/v2\/comments?post=210"}],"version-history":[{"count":0,"href":"https:\/\/emanuelpaxtian.com\/blog\/wp-json\/wp\/v2\/posts\/210\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/emanuelpaxtian.com\/blog\/wp-json\/wp\/v2\/media\/333"}],"wp:attachment":[{"href":"https:\/\/emanuelpaxtian.com\/blog\/wp-json\/wp\/v2\/media?parent=210"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/emanuelpaxtian.com\/blog\/wp-json\/wp\/v2\/categories?post=210"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/emanuelpaxtian.com\/blog\/wp-json\/wp\/v2\/tags?post=210"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}