Underc0de

Hace un par de semanas me preguntaron sobre esto, así que me saque algo de tiempo y decidi hacer este mini-tutorial para todos, y bueno veremos algunas formas para poder identificar APK's maliciosas y tambien el uso de aplicaciones que nos ayudaran en este proceso.

Comencemos...

¿Qué es una APK?

Cita de: WikipediaUn archivo con extensión .apk (Application PacKage File) es un paquete para el sistema operativo Android. Este formato es una variante del formato JAR de Java y se usa para distribuir e instalar componentes empaquetados para la plataforma Android...

Un archivo .apk normalmente contiene lo siguiente:

    AndroidManifest.xml
    classes.dex
    resources.arsc
    res (carpeta)
    META-INF (carpeta)
    lib (carpeta)
   
El Formato APK es básicamente un archivo comprimido ZIP con diferente extensión por lo cual pueden ser abiertos e inspeccionados usando un software archivador de ficheros como 7-Zip, Winzip, WinRAR o Ark.

• AndroidManifest.xml
  

Es un archivo XML codificado como XML binario que nos muestra los datos de la aplicación(Actividades, permisos, servicios, etc.)

• classes.dex
  

Aquí se encuentra el código de la aplicación compilado en un el formato que interpreta la maquina virtual de Dalvik

• resources.arsc
  

Aquí se encuentran todos los recursos pre-compilados de la aplicación.

• res
  

En esta carpeta estan  los recursos de la aplicación.

• META-INF
  

En esta carpeta encuentran los certificados de la aplicación.

Utilizaremos una muestra disponible en Contagio Mobile
¿Qué es Simplocker?

Cita de: ESETSimplocker es un troyano apuntado a móviles, uno de la los primeros de esta clase que tiene por objetivo los dispositivos móviles con Android. Este código malicioso explora la tarjeta SD residente en busca de ciertos tipos de archivos (.jpeg, .jpg, .png, .bmp, .gif, .pdf, .doc, .docx, .txt, .avi, .mkv, .3gp, .mp4), encripta estos archivos utilizando AES, y luego demanda un rescate de parte del usuario a cambio de la descripción de esos archivos vulnerados. El resultado determina que hasta que el rescate sea pagado, los usuarios no podrán acceder a su archivos personales (fotografías, descargas, canciones , etc.).

Nuestro punto de inicio será el archivo AndroidManifest.xml, este archivo nos mostrará que es lo que va a hacer, si intentamos leer el contenido de este archivo no será legible, para poder leerlo correctamente podemos usar: "AXMLPrinter2" o "xml-apk-parser".

AXMLPrinter2: Obtiene el XML desde el archivo xml binario.
Uso: java -jar AXMLPrinter2.jar <Archivo xml binario>xml-apk-parser: Obtiene el XML directamente desde la APK
Uso: java -jar APKParser.jar <Archivo apk>
El Archivo AndroidManifest:

• Android:versionCode =  Indica la versión de nuestra aplicación
  
• Android:versionName =  Indica la versión de nuestra aplicación mostrada al usuario
  
• package = Es el nombre del paquete Java que contiene el elemento raíz de nuestra aplicación
  
• uses-permission = Esto declara los permisos que necesita la aplicación para funcionar.
  
• permission = Esto declara los permisos que las actividades o servicios que necesita.
  
• application = Esto define nombre, actividades, icono, etc.
  

Contenido del Archivo AndroidManifest de Simplocker:

• android.permission.INTERNET = Permite a las aplicaciones abrir sockets de red
  
• android.permission.ACCESS_NETWORK_STATE = Permite que las aplicaciones accedan a información sobre redes
  
• android.permission.READ_PHONE_STATE = Permite acceso de sólo lectura al estado del teléfono.
  
• android.permission.RECEIVE_BOOT_COMPLETED = Permite que una aplicación para recibir el ACTION_BOOT_COMPLETED que se emite después de que el sistema termine de iniciarse.
  
• android.permission.WAKE_LOCK = Permite el uso de PowerManager WakeLocks mantener procesador de dormir o la pantalla de oscurecimiento
  
• android.permission.WRITE_EXTERNAL_STORAGE = Permite que una aplicación escriba en el almacenamiento externo
  
• android.permission.READ_EXTERNAL_STORAGE = Admite una aplicación que lee de almacenamiento externo.
  

Ahora vamos a decompilar el proyecto:

Como al principio hemos dicho que basicamente se trata de un archivo comprimido con diferente extensión, usando WinRAR podriamos extraer el contenido y con el archivo classes.dex pasandolo por Dex2jar obtendriamos el codigo

Otra alternativa sería usar(aunque es de pago) "AndroChef Java Decompiler", es bastante completo tu solo seleccionas tu apk y nos muestra todo el codigo decompilado.



CREANDO UN ENTORNO VIRTUAL:

Bueno para probar vamos a usar un Emulador para Android(yo usaré el Android SDK)


Para instalar Aplicaciones utilizaremos el "adb.exe" ubicado en la carpeta "platform-tools"
el modo de uso es el Siguiente:

adb.exe install <tu archivo .apk>


Referencias:
http://es.wikipedia.org/wiki/.apk (http://es.wikipedia.org/wiki/.apk)
http://developer.android.com/guide/topics/manifest/manifest-intro.html (http://developer.android.com/guide/topics/manifest/manifest-intro.html)
http://developer.android.com/reference/android/Manifest.permission.html (http://developer.android.com/reference/android/Manifest.permission.html)
https://code.google.com/p/android4me/downloads/list (https://code.google.com/p/android4me/downloads/list)
https://code.google.com/p/xml-apk-parser/ (https://code.google.com/p/xml-apk-parser/)
http://jd.benow.ca/ (http://jd.benow.ca/)
https://code.google.com/p/dex2jar/ (https://code.google.com/p/dex2jar/)
http://contagiominidump.blogspot.in/2014/06/simplocker-android-file-encrypting-tor.html

Liberar los archivos encryptados:
http://download.eset.com/special/ESET-Simplocker-Decryptor.apk (http://download.eset.com/special/ESET-Simplocker-Decryptor.apk)






Si te gusta y quieres compartirlo adelante, recuerda respetar el autor del Post.

Buen tuto, gracias por compartir!!

Gracias por comentar...

Aquí dejo un Videogif como usar Eset Simplocker Decryptor:

(http://i.imgur.com/5zHvE28.gif)

Saludos.