Decodificación de solicitudes de aplicaciones de Android potencialmente maliciosas

2

Recientemente he estado realizando un trabajo de evaluación de seguridad en nuestras aplicaciones de Android, mediante la distribución de todas las comunicaciones a través de Burp Suite.

Noté que uno de nuestros dispositivos enviaba solicitudes a un dominio que no reconocí, uno que está registrado en China. Resulta que la aplicación que envía estas solicitudes es una aplicación de administrador de archivos que venía preinstalada en el dispositivo (tableta china barata).

En su mayoría, parece que envía solicitudes cuando la aplicación está en uso, aunque en ocasiones parece que también envía solicitudes en segundo plano. La aplicación no muestra agregados o contenido relacionado, por lo que no es así, también cuando carga contenido como ayuda, proviene de un dominio diferente. Mi sospecha es que está publicando algún tipo de seguimiento o datos de indagación.

Obviamente, estoy preocupado y tengo curiosidad por saber qué datos está enviando esta aplicación, pero me cuesta trabajo calcular la carga útil. Los encabezados no indican un tipo de contenido, he usado todos los decodificadores en Burp Suite sin éxito. En primer lugar, consideré binary y gzip, pero al final obtuve los mismos datos. También intenté convertir los datos a chino sin éxito.

Si alguien puede arrojar alguna luz sobre mis próximos pasos para decodificar el contenido de esta solicitud, eso sería muy de agradecer.

Aquí están las capturas de pantalla de solicitud / respuesta

solicitud inicial -

Secambiólacodificaciónparaformar:

Ejecutaratravésdeldecodificador:

Larespuestaessiemprelamisma.

    
pregunta iainpb 22.02.2018 - 17:43
fuente

1 respuesta

2

Sí, esto es malware. O 'Spyware', dependiendo de qué libro sobre el tema que leyó por última vez y de qué lado de la cama salió de esta mañana. Tu pregunta despertó mi interés cuando vi que en realidad he visto el mismo dominio mientras miraba otra aplicación. Pensé que parecía poco probable que estuviéramos solos, así que lo busqué en Google y encontré esto:

La aplicación de Android Airbnb contiene Spyware.

Sobre la base de esta publicación, podemos suponer que el código sospechoso en el mejor de los casos ahora usa una clave secreta para cifrar los datos en lugar de descomprimirlos.

Creo que es más probable que este sea el código que se ha abierto camino en alguna biblioteca / marco popular con el fin de recopilar información estadística sobre usuarios / dispositivos, o que sea parte de otro anuncio plataforma de la biblioteca. En cualquier caso, el término 'spyware' todavía encaja. Esta recolección de datos claramente va más allá de lo que la aplicación tiene un propósito legítimo, y ni los ecosistemas de Android ni iOS son particularmente amigables con este tipo de cosas.

El subdominio incluso tiene un anillo de malware bastante grande. 'infoc2' ... como en C2 ... como en Comando y Control .

Recomiendo enviar un correo electrónico a la compañía detrás de la aplicación, es posible que no sepan lo que está sucediendo aquí y que puedan agradecerte. Si se agregó legítimamente, puede asustarlos para que lo eliminen. Y si no recibe ninguna respuesta, informaría a los desarrolladores a Android / Google.

Si todavía estás interesado en obtener el texto plano de la carga útil, sugeriría que descompiles la aplicación y mires sus cadenas, podrías tener suerte y encontrar la clave. Sin conocer el esquema de encriptación, tendrías que hacer un bucle sobre un montón de ellos en un script y simplemente forzarlo. Sin embargo, mi corazonada sería que los desarrolladores de esto probablemente hayan lanzado su propio cripto básico, en cuyo caso necesitaría realizar una ingeniería inversa de esta función desde el binario o intentar forzar a la aplicación a que la omita con modificaciones dinámicas en tiempo de ejecución para que las solicitudes contengan texto sin formato (mira un marco llamado 'Substrato' para esto).

    
respondido por el hiburn8 23.02.2018 - 03:47
fuente

Lea otras preguntas en las etiquetas