En el año 2014, nuestros compañeros del Laboratorio de ElevenPaths publicaron una herramienta que se llamaba GMTCheck. Esta herramienta se construyó para completar la información que la Plataforma de Ciberinteligencia en aplicaciones móviles Tacyt daba a los investigadores fuera mayor.
Se trataba de un pequeño "leak" de información en los metadatos de los ficheros de un .apk para Android que permitía saber (y permite) saber la franja horaria en la que se compiló una aplicación concreta.
Figura 2: Descarga GmtCheck de la web de ElevenPaths |
En un estudio de malware, esta información puede ser vital para los procesos de atribución, ya que pueden ayudar a conocer las familias, los orígenes del mismo, y descubrir nuevas amenazas aún ocultas por patrones similares, y nosotros lo utilizamos para ayudar a los departamentos de seguridad a tener una visión clara de todas las apps que aprueban en sus listas MDM, por lo que está incluido dentro las funcionalidades del servicio mASAPP Online que monitoriza constantemente todas las apps aprobadas en una empresa y que hemos lanzado recientemente.
Figura 3: mASAPP Online
Durante este verano, nuestros compañeros descubrieron otro nuevo leak, en este caso por culpa de un bug de la herramienta aapt que se utiliza para empaquetar aplicaciones .apk. Dicha herramienta utiliza una función para calcular el offset de la zona horaria, pero, por un error de programación nunca se inicializa correctamente, por lo que siempre es cero, tal y como se explicó en el artículo del blog de ElevenPaths.
Figura 4: Rock appround the clock
Con estas dos técnicas, más alguna más utilizada en la investigación del origen del famoso WannaCry, nuestros compañeros hicieron un paper que se llamo "Rock Appround the Clock: Tracking Android malware developers by "AAPT" time zone disclosure bug ... and other hour related tricks" y que llevaron a la DefCON de este año. Aquí un vídeo de un ejemplo de cómo funciona el bug de aapt que se presentó en DefCon.
Figura 5: PoC del bug de AAPT
Ahora, además de tener el paper publicado con toda la información, desde el Laboratorio de ElevenPaths en Málaga y Buenos Aires, han puesto una pequeña web experimental para ayudarte a investigar todos estos bugs o leaks de zona horaria en Applets .Jar o Apps .apk, bajo el nombre de GMTCheck Online.
Figura 6: GMT Check Online de ElevenPaths |
Se trata de implementar de forma sencilla todos los trucos que hemos ido utilizando en nuestras investigaciones, y que tan buen resultado han dado a la hora de catalogar la atribución de las familias de malware que vamos descubriendo cada poco en el mundo Android, y que fueron la base de la explicación del libro de "Malware en Android: Discovering, Forensics and Reversing" que publicamos en 0xWord.
Figura 7: Malware en Android: Discovering, Forensics and Reversing |
Ese libro fue escrito por Miguel Ángel García del Moral y en el índice podéis ver muchas de las técnicas que usamos en la construcción de estas herramientas que hoy os cuento. Este es uno de los libros que más me enseñó que no conocía y que más disfruté leyendo.
Saludos Malignos!
No hay comentarios:
Publicar un comentario