En BrightWave Company, se produjo una filtración de datos debido a la falta de conocimientos de seguridad de un empleado, lo que comprometió sus credenciales. El atacante utilizó estas credenciales para obtener acceso no autorizado al sistema y extraer datos confidenciales. Durante la investigación, el empleado reveló dos puntos críticos: primero, almacena todas sus credenciales en la aplicación de notas de su teléfono y, segundo, descarga frecuentemente archivos APK de fuentes no confiables. Su tarea es analizar el volcado de Android proporcionado, identificar el malware descargado y determinar su funcionalidad exacta.
1. ¿Qué enlace sospechoso se utilizó para descargar el APK malicioso de su investigación inicial?
En este laboratorio se nos entrega un conjunto de herramientas y evidencia a analizar.
Dentro de esta carpeta hay dos subdirectorios Tools y Artifacts. La carpeta Tools contiene todas la herramientas necesarias para realizar este laboratorio y la carpeta Artifacts contiene todos los artefactos que se deben analizar en este caso es una imagen de un dispositivo Android.
Para responder esta primera pregunta utilizaremos la Herramienta ALEAPP ubicada en el directorio \Start Here\Tools\Mobile Forensics. Con la siguiente configuración.
Para confirmar que la URL es sospechosa la enviaré a VirusTotal.
2. ¿Cuál es el nombre de la APK maliciosa?
En la siguiente carpeta podemos obtener el nombre de la APK maliciosa.
Con la herramienta Jadx.exe ubicada en la carpeta Start Here\Tools\Miscellaneous abriremos la APK descargada. en el archivo AndroidManifest.xml encontramos el nombre de la APK maliciosa.
Los datos se exfiltraron mediante correo electrónico en ella existe una clase llamada SendEmail en esta clase se implementa el método OpenEmailClient() donde se específica el puerto de conexión para la exfiltración de datos vía email.
5. ¿Cuál es el nombre de la plataforma de servicio que utilizó el atacante para recibir los datos exfiltrados?
En el método OpenEmailClient() de la clase SendMail encontramos el string del servicio que utiliza el atacante para recibir los datos exfiltrado.
El correo electrónico que utilizó el atacante lo podemos encontrar haciendo una búsqueda con la herramienta jadx.exe como se muestra en la siguiente imagen.
Al analizar el código utilizado por el atacante hay una clase llamada BroadcastFormAlarm en ella se utiliza un método llamado OnReceive() que hace lectura de un archivo llamado Config.txt. Al analizar el archivo se pueden recuperar las credenciales.
8. El malware alteró las imágenes almacenadas en el teléfono Android cifrándolas. ¿Cuál es la clave de cifrado que utiliza para cifrar estas imágenes?
En la clase MainTask se implementa un método ENC() en el se implementa el algoritmo de encriptación de imágenes y su clave de cifrado codificado en base64.
Para obtener la clave en "Texto claro" debemos decodificar la clave. Utilizaremos la herramienta online base64.
La información del CVC se encuentra en el siguiente directorio Start Here\Artifacts\data\media\0\Pictures\.aux como se muestra en la siguiente imagen.
Comentarios
Publicar un comentario