[We Live Security] Modificando payloads de msfvenom para Android

En ocasiones, desde el lado de la investigación usamos componentes maliciosos en nuestros entornos de prueba, como por ejemplo un APK malicioso creado específicamente. Para hacerlo, se requiere algo de personalización: modificar el icono de la aplicación, el nombre de la aplicación, la lista de permisos peticionados, alguna funcionalidad que posee un bug o que necesita ajustarse a determinada plataforma o dispositivo, entre otras cosas.

Cuando se trata de una operación de única vez, uno puede arreglárselas en el momento con una consola y algunos comandos, pero cuando se trata de una tarea repetitiva, la automatización se vuelve necesaria.

En particular, me encontraba preparando una demostración que incluía la generación de un APK malicioso con msfvenom para generar una conexión TCP inversa. Según el escenario planteado, era fundamental que el icono y el nombre de la aplicación concordasen con los de la aplicación explotada. Para complicar las cosas, la IP de conexión no podía ser estática, por lo que necesitaría generar el APK malicioso una y otra vez antes de cada evento.

Read More

[Infografía]: +1100 casos de #Ransomware en #Android durante Enero

Todos nos hemos topado con la palabra ransomware alguna vez, ya que es algo que da que hablar constantemente. Para aquellos que no lo conocen, se trata de un tipo de malware que se encarga de secuestrar un dispositivo con un método característico: cifrando los archivos con una clave secreta. Una extorsión que obliga al usuario a pagar un rescate económico para desbloquearlo; habitualmente mediante una criptomoneda. Incluso pagando el rescate existen casos en los que no puede recuperarse la información, ya que o nunca llegan a proporcionar la clave una vez hecho el pago o esta es inservible.

A pesar de ello, no se le muestra suficiente atención en Android, siendo aun el ordenador de sobremesa o servidor el objetivo habitual, posiblemente por razones estrictamente achacables al retorno de inversión. En este breve estudio, veremos si deberíamos, o no, preocuparnos por este tipo de malware en dispositivos móviles. Y constataremos como se está consolidando como una plataforma lucrativa para los creadores de ransomware. Read More

¿Qué necesitás saber sobre los permisos de apps en #Android?

Cuando se trata de malware, Android tiene un mecanismo de defensa muy bueno (el sistema de permisos de aplicaciones). Este sistema define una serie de acciones que una aplicación tiene permitidas (o no) para funcionar. Por defecto, todas las aplicaciones de Android funcionan en aislamiento de procesos (un entorno aislado). Si quieren acceder, editar o borrar información fuera de dicho aislamiento, necesitarán los permisos del sistema.

Los permisos se dividen en varias categorías, pero hablaremos solo de dos: normal y peligroso. Los permisos normales cubren acciones como el acceso a Internet, la creación de iconos, conexión Bluetooth, etc. Estos permisos se conceden por defecto y la aprobación del usuario no es necesaria.

Si una aplicación necesita uno de los permisos “peligrosos”, se requiere la confirmación del usuario. Entonces, ¿por qué se considera que algunos permisos son peligrosos? ¿De verdad son por naturaleza peligrosos? ¿En qué casos deberías permitirlos?

Permisos peligrosos

La categoría “peligrosa” incluye nueve grupos de permisos en los que las aplicaciones están, de algún modo, conectadas con la privacidad o seguridad del usuario. Cada grupo contiene varios permisos que una aplicación puede requerir.

Read More

#QARK: Quick #Android Review Kit

QARK (Quick Android Review Kit) es una herramienta que está diseñada para buscar varias vulnerabilidades de seguridad relacionadas con el funcionamiento de aplicaciones de Android, ya sea en código fuente o en archivos empaquetados en APKs. Con la particularidad de que esta herramienta también es capaz de crear APKs desplegables como prueba de concepto o comandos ADB, capaces de explotar muchas de las vulnerabilidades que encuentran en Android. No es necesario tener privilegios de root el dispositivo de prueba, ya que esta herramienta se centra en vulnerabilidades que pueden ser explotadas bajo condiciones de un usuario común.

A diferencia de los productos comerciales, es 100% libre bajo las condiciones de la licencia Apache versión 2.0. QARK también ofrece información educativa que permite a los que están dando sus primeros pasos en el análisis de seguridad en Android localizar explicaciones precisas y en profundidad de las vulnerabilidades. QARK automatiza el uso de decompiladores múltiples, aprovechando sus salidas combinadas, para producir resultados mas precisos, al decompilar APKs. Por último, la mayor ventaja que tiene QARK sobre las herramientas tradicionales, es que no sólo apuntan a posibles vulnerabilidades, si no, que puede producir comandos ADB, o incluso APKs totalmente funcionales, que convierten las hipotéticas vulnerabilidades en explotaciones operativas “POC”.

Read More

Buscando en los #metadatos en archivos #APK

En nuestro rol de investigadores de seguridad, recurrentemente debemos practicar ingeniería reversa de las muestras que están bajo nuestro escrutinio. Usualmente, los algoritmos que otorgan al malware su funcionamiento eclipsan el análisis; no obstante, un archivo ejecutable puede sutilmente ocultar entre sus metadatos otras pistas de utilidad.

Certificado de la aplicación

Parte de los datos que muchos analistas olvidan chequear al momento de estudiar una muestra se encuentran en el certificado con el que fue firmada la aplicación. Este certificado suele llevar el nombre de CERT.RSA y se encuentra en la carpeta META-INF dentro del APK.

Contiene un conjunto de datos que pueden llegar a ser muy útiles cuando intentamos seguir los pasos de un único desarrollador de malware en el marco de una campaña de códigos maliciosos. Para leer la información en él almacenada podemos utilizar la herramienta keytool de JRE con la siguiente línea de comando:

keytool -printcert -file META-INF\CERT.RSA

Read More

Mejorando la multitarea en Android

 Desde sus comienzos, uno de los pilares fundamentales de la plataforma Android ha sido la multitarea. La plataforma de Google permite, a nivel interno, una mayor operatividad a las aplicaciones, independientemente de las acciones del usuario. Esto posibilita, por ejemplo, que Spotify descargue las nuevas canciones de una playlist de forma automática o que Dropbox suba a sus servidores todas las fotografías que realizamos de forma instantánea.
Cómo mejorar la multitarea de Android de una forma simple y efectiva

No obstante, los más power-users siguen demandando nuevas funciones orientadas a la multitarea y a la gestión múltiple de aplicaciones. Algunas las más demandadas, por ejemplo, son las aplicaciones flotantes y aceleración del cambio entre aplicaciones, dos funciones que algunos fabricantes ya incorporan (como Sony o Samsung) pero que Google sigue sin implementar de forma nativa en el sistema operativo.

 

Afortunadamente, en la Google Play Store podemos encontrar infinidad de aplicaciones centradas en mejorar la multitarea de Android. Algunas de ellas se centran en mejorar los fundamentos del sistema (el intercambio de aplicaciones, los procesos en segundo plano, etc.), mientras que otras aportan soluciones completamente nuevas.

mejorar la multitarea de Android

Un ejemplo perfecto lo encontramos en Last App Switcher, una sencilla utilidad que facilita y mejora el intercambio entre las diferentes aplicaciones que tenemos abiertas. Cuando Last App Switcher se encuentra activo, basta con hacer tap sobre un icono flotante —o, si lo configuramos previamente, deslizar hacia arriba Google Now— para volver a la aplicación anterior. Muy útil si, por ejemplo, trabajas en un documento de texto y necesitas consultar información frecuentemente en el navegador web o en un correo electrónico.

Otra de las aplicaciones más populares para mejorar la multitarea de Android es Switchr. Al igual que LAS (Last App Switcher),Switchr se centra en optimizar y mejorar el intercambio de aplicaciones, haciéndolo más accesible y práctico. El funcionamiento de Switchr es muy sencillo: deslizando lateralmente desde el borde de la pantalla,Switchr nos permite intercambiar entre las diferentes aplicaciones abiertas. Dependiendo del modo que escojamos, al deslizar lateralmente accedemos a la aplicación anterior o, en su defecto, se nos mostrará un menú de multitarea mucho más rápido. Un funcionamiento muy similar al deslizamiento lateral que, desde la versión nueve, podemos realizar en iOS para acceder a la aplicación anterior y al menú de multitarea (haciendo uso de 3D Touch).

Yendo más allá del intercambio de aplicaciones, en Google Play Store podemos encontrar dos aplicaciones muy interesantes como Side Control y Omni Swipe. Ambas aplicaciones sitúan, a un deslizamiento de distancia —ya sea desde el borde de la pantalla o desde una de sus esquinas—, todo un set de aplicaciones y utilidades importantes. Previa configuración, ambas aplicaciones permiten acceder a notificaciones recientes, aplicaciones recientes, marcadores o incluso pequeñas carpetas preconfiguradas, en las cuales podemos añadir las aplicaciones que utilizamos con mayor frecuencia para facilitar y agilizar el acceso a las mismas.

Mejorar la multitarea de Android

Además de agilizar el cambio de aplicaciones, en Google Play Store encontramos un gran número de utilidades centradas en mejorar la multitarea de Android mediante la ejecución simultánea de dos aplicaciones. Una de ellas es C Floating, la cual permite abrir pequeñas ventanas flotantes sobre cualquier aplicación que ejecutemos en nuestro smartphone. Esto resulta de gran utilidad en smartphones con pantallas de gran tamaño, donde la posibilidades de multitarea son excepcionales. Un ejemplo de uso: realizar cálculos a la par que editar un documento de texto.

Por último, una utilidad muy interesante para mejorar la multitarea de Android es Link Bubble Browser. Siguiendo la línea de C Floating, esta aplicación permite visualizar en pequeñas ventanas flotantes el contenido de cualquier link que tengamos en la aplicación principal. Un ejemplo práctico: estamos visualizando la timeline de Twitter y deseamos acceder a un enlace compartido por alguno de nuestros followings. Lo tradicional sería hacer tap en él y abrirlo en Chrome —o el navegador que tengamos configurado por defecto—. En cambio, con Link Bubble Browser, podremos visualizar en una ventana flotante al estilo de las bubble chat de Facebook.

Fuente: Hipertextual

DynamicSec.

Read More

Enviando mensajes programados desde WhatsApp

Tengas o no tu celular rooteado, podés hacer uso de la aplicación Seebye Schedule, en sus dos versiones, para programar los mensajes de WhatsApp.

Pero no sólo basta con la posibilidad de programar los mensajes en WhatsApp, ya que la aplicación también ofrece otras posibilidades como la selección de la frecuencia con las que los mensajes programados sean enviados, automatizando de esta manera todo el proceso y haciendo más sencillo el uso de la aplicación.

Read More

Booteando nuestra PC desde un dispositivo Android.

El titular puede sorprender pero es que es lo que vamos a conseguir con una aplicación como DriveDroid, una de las más veteranas de Google Play pero no por ello menos interesantes, que nos va a permitir almacenar una imagen ISO o IMG de un sistema operativo y arrancar una computadora desde ella conectando el móvil a éste último.

DroidDroid es una de las aplicaciones que los más geeks, si no la conocían, seguro que desde hoy llevarán instalada en su dispositivo. Y es que permite lo que ya hemos comentado, arrancar la PC conectando el móvil con el cable USB a éste.

Read More

Whatsapp permitirá grabar llamadas telefónicas.

Hace poco tiempo vimos como aparecía la carpeta WhatsApp Calls entre las que genera la app de mensajería instantánea. Así que se cree que las llamadas de voz (por VoIP) llegarán tras meses de retraso a WhatsApp. La causa de la tardanza parece que fue el intentar ofrecer llamadas de calidad bajo redes 2G y aprovechar bien la cancelación de ruido en Android. Y ahora sabemos que WhatsApp permitirá grabar llamadas en Android.

Read More