¿Cómo detectar si mi teléfono Android viene con malware preinstalado?

Navega tus respuestas
2

Me di cuenta de que mi Android está intentando ejecutar tareas que no he autorizado y que no conozco. Cuando reinicio de fábrica este dispositivo, intenta abrir lo que creo que es un tipo de malware. Si no hay conexión a internet, simplemente carga una pantalla transparente. Permanece así hasta que mato la "aplicación".

¿Hay alguna forma de verificar si se trata de malware / adware o si ha enviado datos confidenciales? ¿Qué herramientas me permitirían hacer esto? (Si puedo acceder a su archivo binario apk con cualquier herramienta integrada en Kali Linux, eso sería genial).

He intentado desconectar todos mis dispositivos de la red y escuchar los paquetes enviados / recibidos con Wireshark, pero todavía no puedo ver lo que es, debido a la conexión play_store, y así sucesivamente ..: (

Gracias, LeFizzy.

    
pregunta LeFizzy 01.09.2016 - 19:49
fuente

1 respuesta

4

Configuración de un proxy para ver el tráfico de red

  

¿Hay alguna forma de verificar si se trata de malware / adware o si ha enviado datos confidenciales? ¿Qué herramientas me permitirían hacer esto?

Puede configurar un proxy en su computadora y configurarlo en su teléfono, para que pueda ver todas las conexiones desde y hacia su teléfono. OWASP ZAP es una posibilidad, y es gratis. Descargue, instale y comience. Luego ve a Tools > Options y seleccione Local proxy a la izquierda. Establezca address en la red interna de su computadora (generalmente 192.168.x.x o 10.x.x.x ). Asegúrese de que su teléfono esté conectado a la misma red que su computadora. Tenga en cuenta el puerto (por defecto es 8080 , puede dejarlo de esta manera). Haga clic en OK .

Ahora en tu teléfono configura esto como un proxy. En su teléfono puede ser diferente, pero en mi teléfono (Android 4.4) si voy a la configuración de wifi y hago clic en el wifi conectado, se abre la página Network details , desplácese hacia abajo y aparece Proxy . Establézcalo en Manual , luego configure Hostname a la IP de su computadora (la que usó anteriormente) y el Puerto a 8080 (o si la ha cambiado, use esa). Puede dejar el campo Bypass for vacío.

A partir de ahora, verás todas las conexiones enlace de tu teléfono a Internet en ZAP. Para ver también el tráfico de http s cifrado , deberá agregar el certificado raíz de ZAP al certificate storage local del teléfono. Para hacer esto primero, vaya a ZAP , Tools , Options otra vez y seleccione Dynamic SSL Certificates . Haga clic en save y cópielo en la tarjeta SD de su teléfono. Luego, en su teléfono, vaya a Settings , Additional settings , Privacy , Credential storage , Install from SD card , seleccione el archivo de certificado y añádalo. Tenga en cuenta que su teléfono puede tener una estructura de configuración diferente, por lo que debe buscar Credential storage , probablemente en Privacy o Security .

Ahora ZAP también mostrará su tráfico https (a menos que el diseñador de la aplicación haya utilizado la fijación de certificados). ZAP agrupará el tráfico por dominio, para que pueda ver qué más está haciendo su teléfono, aparte de los Servicios de Google Play y otros.

Obtenga la lista de aplicaciones instaladas y su archivo apk

  

Si puedo acceder a su binario apk con cualquier herramienta integrada en Kali Linux que sería genial

Instalar adb

Para obtener el archivo apk puede usar el puente de depuración de Android, adb. No está preinstalado en kali, pero puede instalarlo fácilmente. Basado en este tutorial, todo lo que necesita hacer es para ejecutar: 

sudo add-apt-repository ppa:phablet-team/tools && sudo apt-get update

y 

sudo apt-get install android-tools-adb

Configura el controlador de tu dispositivo (puede ser opcional)

Es probable que el siguiente paso no sea necesario en kali, pero en Ubuntu debes hacer lo siguiente:

Cree un archivo vacío en el directorio /etc/udev/rules.d/ con el siguiente nombre:

Si está utilizando la versión de Ubuntu Gusty / Hardy / Dapper, cree el archivo con el nombre 50-android.rules . Ejecute el siguiente comando para hacerlo: 

sudo gedit /etc/udev/rules.d/50-android.rules

Si está utilizando la versión de Ubuntu Karmic Koala / Lucid Lynx / Maverick Meerkat, cree el archivo con el nombre 70-android.rules . Ejecute el siguiente comando para hacerlo: 

sudo gedit /etc/udev/rules.d/70-android.rules

Escriba el siguiente contenido en el editor y guárdelo. 

For Gusty/Hardy: SUBSYSTEM==”usb”, SYSFS{idVendor}==”USB-VENDOR-ID”, MODE=”0666″
For Dapper: SUBSYSTEM==”usb_device”, SYSFS{idVendor}==”USB-VENDOR-ID”, MODE=”0666″
For Karmic Koala: SUBSYSTEM==”usb”, SYSFS{idVendor}==”USB-VENDOR-ID”, MODE=”0666″
For Lucid Lynx: SUBSYSTEM==”usb”, SYSFS{idVendor}==”USB-VENDOR-ID”, MODE=”0666″
For Maverick Meerkat: SUBSYSTEM==”usb”, ATTR{idVendor}==”USB-VENDOR-ID”, MODE=”0666″

Fuente e ID del proveedor aquí .

Habilitar la depuración USB en el teléfono

Este paso también es para kali nuevamente: en su teléfono, active USB debugging en Settings debajo de Developer options . En Android 4.2.xy arriba Developer Options está oculto por defecto, para hacerlo visible, toque siete veces el Build Number ( Settings > About Phone > Build Number ), y aparecerán las opciones para desarrolladores.

Obtenga la lista de aplicaciones y los archivos apk

Ahora conecte su teléfono a su computadora a través de USB, y puede obtener el archivo apk con comandos adb ( como se explica aquí ) : 1) Determine el nombre del paquete de la aplicación, por ejemplo, "com.example.someapp". 

adb shell pm list packages

2) Obtenga el nombre completo de la ruta del archivo APK para el paquete deseado. 

adb shell pm path com.example.someapp

El resultado se verá así: package: /data/app/com.example.someapp-2.apk

3) Tire del archivo APK desde el dispositivo Android al cuadro de desarrollo. 

adb pull /data/app/com.example.someapp-2.apk path/to/desired/destination/on/your/computer
    
respondido por el Torin42 07.09.2016 - 13:59
fuente

Lea otras preguntas en las etiquetas

Bajo el ataque xmlrpc, ¿cuál es el mejor enfoque? ¿Cómo lidiar con herramientas de administración como ipscanners y PSTools?