Interpretación de Resultados de Análisis Dinámico de Malware

Clase 13 de 22Curso de Análisis de Malware para Dispositivos Móviles

Clase anteriorSiguiente clase

Resumen

¿Cómo interpretar los resultados de un análisis dinámico de malware?

Interpretar correctamente los resultados de un análisis dinámico de malware es crucial para cualquier analista de seguridad. Tras el proceso de análisis y recolección de datos, el siguiente paso es entender y plasmar estos resultados en un informe comprensible, especialmente cuando la audiencia podría no tener conocimientos técnicos.

¿Qué tipo de información se obtiene del dashboard del framework?

Una vez finalizado el análisis, el dashboard del framework presenta una variedad de datos clave:

  • Tráfico generado: Muestra los logs y detalles sobre cómo se manejó el tráfico de la aplicación.
  • Acciones de la aplicación: Datos sobre los archivos de la aplicación asociados a diferentes ejecuciones.
  • Permisos solicitados: Información detallada sobre los permisos que la aplicación solicita, como acceso a la accesibilidad o permisos de administrador significativos.

¿Qué son los permisos y por qué son importantes?

Es fundamental entender los permisos que solicita una aplicación durante el análisis:

  1. Permisos de accesibilidad: Muchas aplicaciones maliciosas usan estos para sobreponerse a otras.
  2. Permisos de administrador: Estos pueden permitir que la aplicación elimine datos o bloquee la pantalla, por lo que deben otorgarse solo a aplicaciones de confianza.

Importancia: Identificar estos permisos ayuda a detectar intentos de suplantación o phishing dentro del dispositivo, como solicitudes para asociarse a Google Play con el fin de robar información crediticia.

¿Qué indican los logs y las capturas de pantalla?

Los logs y las capturas de pantalla proporcionan una ventana detallada al comportamiento de la aplicación analizada:

  • Capturas de actividad: Muestran mensajes emergentes o procesos que la aplicación simula, como actualizaciones o cierres.
  • Errores: Los errores al ejecutar el análisis suelen ser normales y el framework se encarga de reabrir el proceso automáticamente.

¿Cómo se relacionan dominios y URLs con el malware?

Un análisis efectivo también revela conexiones de la aplicación:

  • Dominios conectados: La aplicación puede conectarse a dominios maliciosos.
  • Rutas específicas y bases de datos: Las URLs asociadas y cualquier base de datos creada, como aquellas que podrían almacenar tarjetas de crédito.

¿Cómo se elabora un informe claro y conciso?

Redactar un informe sólido después del análisis incluye:

  • Comprender la audiencia: Si el informe se destina a personas sin conocimientos técnicos, usa términos claros y simples.
  • Objetividad en las conclusiones: Refleja claramente los hallazgos y por qué la aplicación se considera maliciosa.
  • Formato y accesibilidad: Utiliza el informe PDF del framework como base para elaborar una presentación comprensible.

En conclusión, ser capaz de interpretar y comunicar eficazmente el análisis de malware asegura que se tomen decisiones informadas sobre el uso de aplicaciones, protegiendo así la integridad de los dispositivos en los que podría instalarse. La claridad y simplicidad en el informe son críticas para su utilidad y comprensión por parte de todos los involucrados.