Análisis Estático de Aplicaciones Android con Framework especializado

Clase 9 de 22Curso de Análisis de Malware para Dispositivos Móviles

Clase anteriorSiguiente clase

Resumen

¿Cómo realizar nuestro primer análisis estático?

El análisis estático es esencial para identificar vulnerabilidades en aplicaciones antes de su instalación. Con el entorno y las herramientas adecuadas, puedes llevar a cabo este tipo de análisis de forma eficiente, optimizando tiempo y recursos. A continuación, te mostraré cómo realizar un análisis estático usando un framework específico y una aplicación de ejemplo.

¿Qué aplicaciones utilizaremos?

Para este ejemplo, utilizaremos la aplicación "linterna.apk", una conocida aplicación aparentemente inofensiva, que servirá de base para nuestro análisis. Esta será suministrada en la sección de archivos del curso para que puedas seguir el mismo ritmo.

¿Cómo importar e iniciar el análisis?

  1. Importar la aplicación: Arrastra y suelta la aplicación linterna.apk dentro del framework.
  2. Inicio automático del análisis: Una vez dentro del framework, el análisis estático se inicia automáticamente. Este análisis principal permitirá identificar una amplia gama de características de seguridad de la aplicación.

¿Qué información proporciona el análisis inicial?

  • Puntaje de seguridad: El resultado inicial muestra un puntaje de seguridad del archivo.
  • Información del archivo: Esta sección detalla el nombre, peso y hashes del archivo utilizando algoritmos como MD5, SHA-1, y SHA-256.
  • Información de la aplicación: Incluye el nombre original de la aplicación, sus paquetes y versiones.

¿Cuáles son las características clave a analizar?

Actividades, servicios, receptores y proveedores

Estas pestañas muestran:

  • Actividades: Las diferentes acciones que realiza la aplicación.
  • Servicios: Las conexiones que utiliza.
  • Receptores y proveedores: Componentes que la aplicación emplea.

Permisos de la aplicación

  • Permisos peligrosos: Algunos permisos solicitados por la aplicación, como el acceso al administrador de descargas, pueden indicar comportamientos sospechosos, como los de un "dropper", que descarga otros archivos potencialmente malévolos.

Análisis del manifiesto

  • Al analizar el manifiesto de Android, podrás verificar permisos extendidos y configuraciones de la aplicación.

Código Java y Smali

  • Observa cómo los archivos Smali pueden ser utilizados para ingerir malware en la aplicación.

¿Qué significan las firmas y certificados?

Las firmas digitales proporcionan un nivel de confianza en la aplicación. Sin embargo, un certificado bueno no garantiza que la aplicación sea legítima o segura. Es vital analizar la firma en conjunción con otros factores.

¿Por qué son importantes los dominios y conexiones?

  • El framework permite analizar los dominios a los cuales la aplicación se conecta, el estado de dichos dominios (por ejemplo, si están en una lista negra), y ofrece información geolocalizada.

¿Qué es el análisis anti-emulación?

  • Técnicas anti-emulación: Algunas aplicaciones consultan el fabricante y modelo del dispositivo. Esto puede prevenir su ejecución en máquinas virtuales o entornos sin SIM card.

¿Cómo optimiza el framework los análisis de malware?

  • El uso de este framework supera a los métodos tradicionales al automatizar y simplificar el análisis estático, ahorrando tiempo y recursos, cruciales en entornos profesionales de análisis de malware.

¿Es útil para desarrolladores?

  • Totalmente. Este framework no está limitado al descubrimiento de aplicaciones maliciosas. Como desarrollador, puedes utilizarlo para revisar tus aplicaciones antes de lanzarlas, evaluando servicios, APIs y otros detalles importantes.

En resumen, el análisis estático es un paso crucial para garantizar la seguridad tanto en aplicaciones propias como de terceros. Aprovechando herramientas adecuadas, podemos revelar riesgos y comportamientos sospechosos, permitiendo tomar decisiones informadas antes de implementar cualquier software. ¡Sigue explorando y asegurando tus aplicaciones con confianza!