2 oct 2015

Analizando software malicioso en Android con PHP. Parte 7

Buenas a todos, en el post de hoy de la cadena "Analizando software malicioso en Android con PHP", no compartiré con todos vosotros ningún código, sino simplemente algunos apuntes en los que me suelo basar cuando me toca analizar un APK.

Lo que hoy veremos son ciertas cadenas de texto con funciones que podremos encontrarnos de forma habitual en el código fuente de una aplicación Android, y que por tanto, si los localizamos mientras estamos haciendo un análisis estático de un APK nos darán información de mucho valor durante el análisis.

Os las listo a continuación separadas por categorías:

PREFERENCIAS

getSharedPreferences()
MODE_PRIVATE
MODE_WORLD_READABLE
MODE_WORD_WRITEABLE
addPreferencesFormResource

ALMACENAMIENTO

getExternalStorageDirectory()sdcard

db
sqlite
database
insert
delete
select
table
cursor
rawQueryin

IDENTIFICADORES

uid
user-id
imei
deviceId
deviceSerialNumber
devicePrint
X-DSN
phone
mdn
did
IMSI
uuid


HASHES

MD5
BASE64
des

LOCALIZACIÓN

getLastKnownLocation()
requestLocationUpdates()
getLatitude()
getLongitude()
LOCATION

CONEXIONES

http
https
HttpURLConnection
URLConnection
URL
TrustAllSSLSocket-Factory
AllTrustSSLSocketFactory
NonValidatingSSLSocketFactory

NOTIFICACIONES

Toast.makeText

LOG

Si aparace la palabra log, pues como es lógico o el software utiliza un log, o forma parte de otro string como bLOG, por lo que para añadirlo a nuestro analizador de código podremos utilizar alguna expresión regular para controlarlo.

Listados como el que acabo de compartir os los encontraréis por Internet a patadas, por lo que aprovecharlo para complementar vuestros diccionarios de búsqueda y en próximos posts los incorporaremos a nuestro analizador.

Saludos!

No hay comentarios:

Publicar un comentario