Esta semana vamos a publicar en Eleven Paths un informe de un pequeño estudio que hemos hecho con ficheros de credenciales incrustados directamente en el contenido de apps de Android. Para nosotros localizar estos ficheros usando Tacyt es bastante sencillo, ya que consiste en utilizar el modificador filePaths: que nos permite hacer búsquedas sobre los ficheros empaquetados en cada APK que tenemos descargada. Así, localizar un fichero de backup, un dichero con una determinada extensión o un fichero con un nombre concreto está al alcance de una simple búsqueda.
Una de estas utilidades es la de localizar, por ejemplo, aquellas apps que se ocupan de descargar otras apps o instalar otras apps en el terminal. Una de las formas de localizar a los donwloaders o droppers es tan sencillo como buscar apps con enlaces que terminen en ficheros APK.
Figura 2: Apps con enlaces que apuntan a APKs |
Esto ya lo hizo nuestro compañero Carlos Díaz en un fantástico trabajo para demostrar cómo la Visual Intelligence puede ayudar a enfocar el trabajo de un analista de seguridad.
Figura 3: Representación visual de datos de apps que apuntan a APKs |
Realizar el mismo proceso, pero por apps que tengan incluidas ya APKs dentro de ellas es igual de sencillo. Basta con utilizar la búsqueda citada antes de filePaths por aquellos que terminen en .APK. Los resultados son muchos.
Figura 4: Casi 9.000 apps en Google Play incluyen un APK dentro |
Por supuesto, no tienen que ser maliciosas esas APKs, pero sí que es un truco que han utilizado en el pasado los creadores de software malicioso.
Figura 5: Un APK en otro market que incluye FreeSMS.APK |
En otros Markets es posible localizar apps con APKs ya marcadas por los antivirus. Este es un APK embebido en apps que no tienen nada que ver con los SMS.
Figura 6: FreeSMS.APK marcada por antivirus |
Conocido esto, ayer perdí un poco de mi tarde de domingo en jugar buscando apps con ficheros .EXE embebidos. Las extensiones no tienen porque estar alineadas con el formato de fichero, pero lo cierto es que es raro que existan archivos .EXE en los APK que se van a distribuir a través de Google Play. No parece la mejor de las formas de dejar terminada la app. El número de ellas que ha habido es bastante alto y se puede encontrar de todo.
Figura 7: Apps en Google Play con ficheros .EXE incrustados |
Hay que decir que un .EXE podría ejecutarse en un sistema Android si cumple determinadas condiciones y se lanza con un emulador, por lo que algunas de las apps que llevaban estos ficheros es porque directamente se habían programado para Windows y se ejecutan vía emulador, VM o intérprete. Otras son solo descuidos de empaquetado y otras llevan ficheros .EXE porque usan librerías que han incluido completamente.
Figura 8: Apps con Crypt5.exe (retiradas de Google Play) |
Entre las cosas que se pueden encontrar aparecen herramientas de ofuscación como Crypters o herramientas comunes como Python que han sido empaquetadas. Me ha llamado especialmente la atención alguna app que tenía incrustada la instalación de Spotify o de Norman Virus Control, pero es que se puede encontrar casi de todo. Aquí una pequeña lista de archivos que he sacado.
Figura 9: Algunos archivos .EXE que aparecen en apps de Google Play |
Como se puede ver, hay hasta un Putty.exe incluida en una app o SerProxy.exe, que son herramientas de utilería típicas de entornos Windows. Por supuesto, nada de esto indica que son maliciosas por tener ficheros de este tipo, pero sí que denotan descuidos en la construcción de la app o hacen que los analistas se interesen en saber más de por qué una app puede llevar incrustadas esos ficheros .EXE o .APK.
¿Quieres utilizar Tacyt en tu investigación?
Como sabéis, Tacyt es una plataforma de investigación privada, pero si deseas hacer una investigación concreta en un entorno Universitario o de Investigación en Seguridad, o tienes un proyecto concreto donde creas que te puede ser de utilidad, ponte en contacto con nosotros en Eleven Paths y vemos si podemos darte acceso o no. No pensamos por ahora hacer Tacyt abierta o gratuita por ahora, pero sí que pensamos que debe estar disponible a investigadores que la necesiten y tengan alguna idea para un proyecto de investigación.
Saludos Malignos!
Muy interesante el tema.
ResponderEliminarNo me imaginaba que ficheros APK tuviesen esta clase de librerias y demás contenidos.
Gracias por la investigación y por compartir tus conocimientos