Analizando software malicioso en Android con PHP

Flu-Project ha comenzando una cadena de artículos en la que veremos como programar un sencillo análisis estático de archivos APK en PHP, con el fin de extraer los datos básicos de una aplicación Android, lo que nos permitirá automatizar la comprobación de las IPs a las que se conecta el software, permisos con los que cuenta, rutas con las que interactúa en el móvil, si accede a la cámara, micrófono, etc. Todo en PHP con la idea de que pueda ser utilizado en modo servicio.

Para comenzar con el proyecto me he descargado Whatsapp de un Black Market, con la idea de ver si realmente hace lo que dice que hace su autor.

El primer ejercicio que realizaremos será crear un nuevo documento PHP en el que mediante la instrucción "exec", ejecutaremos las siguientes instrucciones:

• Utilizaremos el software dex2jar para decompilar el APK y generar un archivo .jar que podríamos abrir por ejemplo con JD-GUI para analizarlo, pero que nosotros procesaremos desde PHP de forma automatizada. La herramienta la estoy ejecutando sobre KALI por lo que ya se encuentra dex2jar instalada. Para más información sobre dex2jar os dejo el siguiente enlace: http://tools.kali.org/reverse-engineering/dex2jar.
• Crearemos una carpeta de trabajo. Yo la he llamado "android".
• Decompilaremos el contenido del jar resultante en la carpeta antes creada con JD-CORE, para extraer los archivos .java que analizaremos posteriormente. 

Seguir leyendo:

• Flu-Project - Parte I
• Flu-Project - Parte II
• Flu-Project - Parte III
• Flu-Project - Parte IV
• Flu-Project - Parte V
• Flu-Project - Parte VI
• Flu-Project - Parte VII

Suscríbete a nuestro Boletín