Detectar el comportamiento real de una aplicación maliciosa requiere ir más allá del código fuente. El análisis dinámico permite observar cómo actúa una app dentro de un entorno emulado, revelando solicitudes de permisos sospechosas, técnicas de ocultamiento y pantallas diseñadas para robar información. Mobile Security Framework (MobSF) integra esta capacidad de forma directa, combinando el trabajo previo del análisis estático con la ejecución controlada en un dispositivo virtual.
¿Cómo se inicia el análisis dinámico en MobSF?
El punto de partida es contar con el análisis estático ya completado dentro del framework. En el ejemplo práctico se trabaja con una aplicación que simula ser una actualización de Flash Player [01:08], una técnica clásica de ingeniería social donde se engaña a la víctima para que descargue e instale software malicioso en su teléfono.
Antes de revisar el certificado de la app, el framework ya lo marca como malo [02:00], lo que refuerza la sospecha. Para iniciar el análisis dinámico se selecciona la opción correspondiente dentro de MobSF, y automáticamente el framework instala la aplicación en la máquina virtual de Genymotion [02:27], un emulador Android que debe estar previamente configurado y en ejecución.
¿Qué sucede durante la ejecución automática?
Una vez instalada la app en el dispositivo emulado, MobSF ofrece la posibilidad de testear la aplicación de forma automática [03:22]. Al activar esta función, el framework interactúa con todas las actividades que contiene la app sin intervención manual. Durante la ejecución se observaron comportamientos muy reveladores:
- Solicitud de permisos de administrador del dispositivo [04:02].
- Petición de acceso a la accesibilidad del sistema.
- Aparición de una pantalla que pide datos de tarjeta de crédito asociados a Google Play [04:22].
- Mensaje falso de actualización en progreso para mantener la apariencia legítima [04:41].
Si la aplicación se cierra durante el proceso, el framework reabre automáticamente el proceso para continuar con el análisis [04:56]. Esto garantiza que se exploren todas las funcionalidades sin perder información.
¿Qué es la técnica de ocultamiento en el menú principal?
Un hallazgo particularmente interesante ocurre al finalizar el análisis. Al regresar al menú de aplicaciones del dispositivo emulado, la app ya no aparece visible [05:29]. Sin embargo, al revisar la sección de configuración y buscar dentro de las aplicaciones instaladas, se encuentra todavía presente bajo el nombre de una supuesta actualización de Flash Player [05:52].
Esta técnica de ocultamiento es común en malware móvil: la aplicación se esconde del menú principal para que el usuario no pueda desinstalarla fácilmente, mientras sigue ejecutándose en segundo plano recopilando datos sensibles.
¿Cuál es la diferencia entre el análisis automático y manual?
MobSF permite dos enfoques para el análisis dinámico. El modo automático ejecuta todas las actividades que la aplicación contiene, basándose en los archivos, funciones y comportamiento registrado durante el análisis estático [06:33]. Su ventaja es el alcance: puede acceder a funciones que un usuario común difícilmente encontraría.
Por otro lado, el modo manual permite al analista interactuar directamente con la aplicación dentro del emulador [06:55]. Aunque no siempre alcanza el mismo nivel de profundidad que el automático, resulta útil para:
- Validar si los resultados coinciden con la ejecución automática.
- Complementar hallazgos específicos.
- Simular escenarios de uso real.
La recomendación es combinar ambos enfoques: primero dejar que el framework realice el testing automático y luego interactuar manualmente para confirmar o ampliar los resultados obtenidos [07:08].
El análisis dinámico transforma datos estáticos en evidencia concreta del comportamiento malicioso. Si has trabajado con MobSF o conoces otras herramientas de análisis dinámico, comparte tu experiencia y qué técnicas de ocultamiento has encontrado en apps sospechosas.
