Encontrar un troyano en un dispositivo Android

4

Un conocido mío recientemente me hizo sospechar que su dispositivo Android 6.0 no arraigado había sido infectado por un tercero que tiene acceso físico regular a él. Si bien tengo experiencia en seguridad de la información, realización de pruebas parciales y otras cosas, no sé mucho acerca de los análisis forenses de Android. La mayoría de la documentación que he encontrado en línea está dedicada a la recuperación de contactos / mensajes de texto, que realmente no se ajusta a este escenario en particular.

Poner el dispositivo debajo de Wireshark y observar el tráfico no ha producido nada, pero las ROM stock están repletas de tantas aplicaciones que hay mucho ruido de fondo.

¿Hay alguna metodología en particular que pueda seguir para averiguar si se ha instalado un troyano en el teléfono? También aceptaría referencias a libros.

Gracias de antemano!

    
pregunta executifs 07.09.2016 - 01:36
fuente

2 respuestas

1

He tenido algunos años de experiencia con la piratería informática en entornos móviles, he aquí algunos de los métodos y notas que pueden ayudarlo a ponerse al día y mantener su propio hardware un poco más seguro al realizar su investigación.

Para el modo de amenaza general y el rastreo de la red, es posible que desee verificar mi respuesta publicada en la pregunta de detectar si un teléfono está en secreto el ruido de envío de datos tendrá que ser tamizado aunque si el dispositivo de destino no es compatible con las opciones de cortafuegos no root sugeridas allí y asegúrese de prestar atención al malware mencionado que salta de una PC conectada a un dispositivo USB antes de intentar conectar un USB forense Otra opción que creo que no mencioné fue que el monitoreo / envenenamiento de la búsqueda de DNS puede ayudar a clasificar el tráfico de aplicaciones legítimas del tráfico no legítimo.

  

pequeña advertencia, aunque no lo he visto en la naturaleza, es muy posible que el dispositivo infectado intente atacar las redes Wi-Fi que se encuentran, así que considere la posibilidad de crear un VAP (punto de acceso virtual) para separar la red. del dispositivo infectado de cualquier otra cosa mientras se realizan investigaciones MiTM. Metasploit y otros no son muy difíciles de instalar en Android, así que ten mucho cuidado con el dispositivo infectado que estornuda en otros.

Ahora porque ha declarado que el tráfico de red es ruidoso y es probable que termine de conectarlo a un USB para obtener imágenes, le convendría considerar USBguard o deshabilitar HID y use ssh para interactuar con su dispositivo forense. Sin embargo, dado que el malware sigue siendo cada vez más inteligente, sería una buena idea utilizar solo un dispositivo reemplazable a bajo costo para dispositivos forenses basados en USB; inserte la búsqueda web "sistema en un chip" y reduzca las opciones disponibles a los tableros con arquitectura de CPU x86 para que sea más fácil cargar ADB (Android Debug Bridge) controladores y mantener una conexión sólida para obtener imágenes del sistema de archivos.

  

Tenga en cuenta que una vez que haya asegurado lo suficiente el dispositivo que se conectará con el dispositivo posiblemente infectado, lo mejor que debe tener en cuenta es que push & Los comandos de pull con ADB son tan indulgentes como las opciones de línea de comando de en el archivo y de salida del archivo que se usan con dd , lo que quiere decir que no son muy tolerantes, por lo que ten cuidado.

     

Nota al margen, Tripwire y herramientas de sistema de archivos similares pueden ser muy útiles para encontrar malware multiplataforma, pero eso y otros necesitarían una configuración previa para conectar el dispositivo infectado ... solo es realmente aplicable si su modalidad de amenaza es suficiente para requerir una inspección forense de las operaciones forenses de preformado del dispositivo en el dispositivo posiblemente infectado, y esto también indica la línea de preguntas si el observador está observando al observador mirando Los observé de manera confiable ... y si seguimos esa línea de pensamiento, alcanzaré los límites de caracteres para publicar respuestas nuevamente.

Lo siguiente es emular el dispositivo con imágenes, hay algunas opciones pero el AVD (dispositivo virtual de Android) el administrador que viene con el SDK (Kit de desarrollo de software) de Android debería ser suficiente para esta tarea. Haga una copia de seguridad del dispositivo posiblemente infectado, cargue un AVD para simular el hardware del objetivo y restaure la copia de seguridad en el sistema de archivos del dispositivo emulado, luego vaya a la ciudad para diseccionar la memoria o establecer puntos de interrupción o incluso intente penetrar el dispositivo emulado para encontrar puntos de egreso utilizados por el malware original ... tal vez sea posible rootear el dispositivo emulado también para probar si el malware malicioso ha estado esperando antes de tomar medidas ... ah, y asegúrese de desconectar / desmontar y retire la energía del dispositivo físico que quizás esté infectado una vez que haya cargado su respaldo en el entorno emulado. Mientras esté trabajando en una versión emulada del dispositivo infectado, sus acciones no afectarán al cliente, por lo que debe ser tan difícil con el dispositivo emulado como lo desee, sin embargo, si tiene espacio, haga una copia de seguridad del dispositivo. Realice una copia de seguridad para que no sea necesario volver a conectar el dispositivo posiblemente infectado.     

respondido por el S0AndS0 17.12.2016 - 19:45
fuente
0

Puedes descargar Netstat Plus o PacketCapture para obtener una vista en tiempo real de todos los paquetes que se envían desde el teléfono y filtrar para reducirlos y eliminar todo el "ruido".

Como han sugerido otros, Forzar detención cualquier aplicación conocida-buena durante la resolución de problemas.

    
respondido por el HashHazard 07.09.2016 - 03:07
fuente

Lea otras preguntas en las etiquetas