Análisis de Malware en APKS



Hola tod@s


Android se ha convertido en él plataforma móvil más atacada por el malware, no obstante es el sistema operativo más usado. Por ello, es necesario contar con unas series de herramientas para analizar las APKS que instalamos en nuestros dispositivos móviles, al igual que analizamos las aplicaciones que instalamos en los PC´s.

Veamos algunas herramientas que podemos encontrar para analizar APK:

  • DroidBox: es una gran utilidad de análisis dinámico, permite el acceso a las comunicaciones de la aplicación, también cuanta con un mapa que muestra el comportamiento de la APK.
  • APKTool: es una utilidad multiplataforma que permite descompilar y volver a compilar las aplicaciones.
  • Androguarn: es una utilidad cuyo objetivo es detectar y advertir de comportamientos potencialmente peligrosos como información sensible del dispositivo móvil, el envío de SMS Premium, grabación de audio y video, etc.
  • Androguard: desarrollada en Python, permite decompilar y tener acceso a permisos, Receivers, Activities, Content Providers, Services, Package Name, clases, métodos, etc.
  • ApkInspector: también desarrollada en Python, su característica principal es que dispone de un interface gráfico a través del cual se pueden visualizar diferentes aspectos de las APKs analizadas como por ejemplo el AndroidManifest.xml.
  • APKStudio: es un IDE (entorno de desarrollo integrado) multiplataforma que permite descompilar y compilar APKs
  • Dex2Jar: permite convertir un fichero .APK en uno .JAR de manera que se pueda visualizar el código de la aplicación.
  • JD-GUI: es una herramienta con interface gráfica que permite interactuar de una manera intuitiva con ficheros con extensión .CLASS.
  • JAD: Es una aplicación multiplataforma que permite convertir ficheros .DEX en ficheros .CLASS. 
No seáis malos.

Ataques de inyección de código en aplicaciones móviles basadas en HTML5

Hola a tod@s

Con nuestros Smartphone escaneamos códigos QR, realizamos envíos de mensajes, escuchamos música o vemos videos. En estos pequeños gestos podemos estar expuestos a infectarnos o ser víctimas de robo de información.

Una tecnología emergente HTML5 se ha convertido en nuevo vector de ataque, el desarrollo de aplicaciones basadas en HTML5 ha ido ganando rápidamente popularidad en la industria móvil. Un reciente informe de Gartner dice que para el año 2016, cincuenta por ciento de las aplicaciones móviles utilizará las tecnologías basadas en HTML5.

¿Qué plataformas están afectadas?
Todos los principales sistemas móviles se verán afectados, incluyendo Android, iOS, Blackberry, Windows Phone, etc., porque todos ellos admiten aplicaciones móviles basadas en HTML5.

Un problema notorio de la tecnología basada en HTML5 es que código malicioso puede inyectar fácilmente en el programa y ejecutado. Es por ello que el ataque Cross-Site Scripting (XSS) sigue siendo uno de los ataques más comunes en la Web. Sólo pueden hacer objetivo a ataques XSS en aplicaciones web a través de un solo canal (es decir, Internet), pero con la adopción de la misma tecnología en dispositivos móviles, se ha descubierto que un tipo similar de ataque no puede ser sólo lanzado contra aplicaciones móviles, puede atacar de muchos canales, incluyendo código QR, exploración de Wi-Fi, canciones MP3, videos MP4, Mensajes SMS, etiquetas NFC, lista de contactos, etc.. Tanto como una aplicación basada en HTML5 muestra información obtenida del exterior o de la aplicación, puede ser una víctima potencial.

¿Qué hace una aplicación Vulnerable?

  1. En primer lugar, esta aplicación debe basarse en la tecnología basada en HTML5, es decir, su código (o parte de su código) está escrito en JavaScript. Si la aplicación está escrita usando el lenguaje nativo de la plataforma (por ejemplo Java para Andrid) y Object-C para iOS, es inmune a este tipo de ataques.
  2. En segundo lugar, si existe un canal para la aplicación recibir datos desde afuera. Los datos pueden ser desde fuera del dispositivo (por ejemplo, análisis de código QR) o desde otra aplicación en el mismo dispositivo (por ejemplo, la lista de contacto).
  3. En tercer lugar, la aplicación necesita mostrar la información desde afuera. La elección de las API para mostrar la información es crítica. Algunas API es seguro, pero muchos de ellos no lo son.
¿Cómo funciona el ataque?








No seáis malos.

Email Tracking: Ataque y defensa

El rastreo de correo electrónico es más común de lo que piensas. Consiste básicamente en la monitorización del correo electrónico con el fin de conocer si el destinatario lo abrió, cómo, cuándo, y dónde, entre otras cosas.
Existen varias herramientas que nos permiten saber qué ocurre con los emails que enviamos a partir del momento en el cual pulsamos el botón "Enviar".

La mayoría son utilizadas por empresas de marketing, anunciantes, empresas o gente que directamente les interesa conocer, sin que tú tengas constancia, si has abierto el correo que te han enviado, desde qué dispositivo, con qué navegador, etc. 

De esta forma pueden después crear sus estadísticas y engrosar sus bases de datos de conocimiento con sus potenciales clientes, gente que está interesada o no, comprobar si sus correos se tratan como spam, etc. Estas son algunas de las más conocidas:
La mayoría son de pago pero ofrecen versiones gratuitas y/o limitadas a varios emails al día.

¿Cómo podemos saber si el correo que recibimos está siendo rastreado por el remitente?
Recientemente ha aparecido una utilidad en forma de plugin para Chrome, llamada Ugly Email.

Su funcionamiento consiste en buscar los patrones utilizados por las herramientas de rastreo (como las citadas anteriormente) dentro de los emails que hemos recibido y alertarnos, en caso de encontrar alguno, para que nosotros decidamos si queremos finalmente abrirlo o no. La forma de avisarnos es añadiendo el icono de un ojo (Evil eye) junto al asunto del correo.
Las contras de Ugly Email: de momento solo funciona en Chrome y para Gmail.

Fuente: Ugly Email

P.D.: en caso de que decidas abrir ese correo, puedes seguir esta mini guía de Life Hacker para evitar que el remitente reciba la información. Básicamente comenta que no debemos pulsar en los enlaces que pone "Mostrar imágenes".

Saludos.

Mi Pato y Yo 1ºParte

Hola a tod@s

Hoy será el primero de una cadena de artículos sobre Rubber Ducky. No vamos a volver a explicar que es Rubber Ducky, este pato de goma de apariencia inofensiva, ya hablamos de él en la cadena de artículos dedicados a Juguetes Hacking


En este primer capítulo veremos un payload muy sencillo, tan sólo habré un editor de texto y escribe un mensaje.


A continuación el código necesario para crear este payload:

  1. DELAY 3000
  2. GUI r
  3. DELAY 500
  4. STRING notepad
  5. DELAY 500
  6. ENTER
  7. DELAY 750
  8. STRING Te dejaste le pc sin bloquear :D hackeado by Estación Informática
  9. ENTER


La utilización de este pato es muy sencilla, se puede enumerar en los siguientes pasos:
  1. Primer paso será crear el payload en un archivo de texto.
  2. Segundo paso será encodear el archivo de texto.
  3. Tercer paso será cargar el binario creado en la tarjeta de memoria de Rubber Ducky.
  4. Cuarto paso pinchar el Rubber Ducky en el PC víctima.

Como una imagen vale más que mil palabras, os dejo con el video, recordad que estos videos estarán disponibles en nuestro canal deYoutube o en próximos artículos.



No seáis malos.

FRAUDFOX VM Fake browser fingerprint BANKS PAYPAL

Hola a tod@s

Las entidades bancarias y servicios de pago seguro están constantemente persiguiendo el fraude en sus servicios. Una de las técnicas más habituales para detectar actividades anómalas es el Fingerprinting Web. Los navegadores pueden transmitir mucha información, como la zona horaria, idiomas, dirección IP, versión de plugins, preferencias, etc. Cuando cambian algunos de estos parámetros puede significar que una cuenta está siendo  accedida de forma fraudulenta, es decir no son las huellas que suele tener su cliente en su navegador.

Otro dato que tienen en cuenta es el de ventas no autorizadas o un alto volumen de ventas del producto en un corto período de tiempo igual o similar.

Se dio a conocer una herramienta de “crimeware” llamada FraudFox, la función de esta herramienta es la de cambiar la huella del navegador, pero como siempre aquí está la polémica. Su cometido es cambiar la huella de navegador por privacidad en la red, sin embargo para otros la herramienta perfecta con la que los ciberdelincuentes comentan sus actos ilícitos y fraudes de forma anónima.

Esta herramienta permite cambiar los parámetros de Fingerprinting Web, como por ejemplo la versión del navegador, lenguaje, zona horaria, plugins, etc.

¿Estáis a favor o en contra de este tipo de herramientas?




No seáis malos.


Memoria USB de Concienciación



Hola a tod@s


Te levantas por la mañana, sueño, prisas, pruebas, informes, reuniones, etc. Tu mente está saturada, encima no tienes a mano un pendrive que necesitas, pero al llegar a tu mesa, encuentras una unidad USB en tu mesa. ¿Qué harías?



En pruebas de ingeniería social se utiliza a veces un pendrive infectado con un keylogger, también apareció a escena rubber ducky con su apariencia de pendrive. Ahora van aún más lejos y sacan al mercado un USB que quema el puerto.


Este USB Killer tiene un diseño con apariencia “normal” de un pendrive, pero tras esa apariencia esconde un fondo oscuro, algunos lo han bautizado como “Memoria USB de Concienciación"


Cómo veis, ya no sólo está en juego la seguridad de los datos de vuestros pc´s por el robo de información de un pendrive infectado, ahora también podrán “joder” el puerto del pc.


Cuidado con los pendrive que os encontréis por ahí. Estáis avisados.


No seáis malos.