Malwares dirigidos contra los sistemas Android

1. Historia

La primera versión del sistema operativo Android se publicó en 2007. Hasta febrero de 2023, existían catorce versiones de este sistema operativo y muchas otras subversiones. Este sistema operativo está basado en el núcleo (kernel) Linux. Las versiones de Android se pueden identificar gracias a un número de versión, pero también gracias a un nombre en clave proporcionado por Google. He aquí un recapitulativo de las distintas versiones de Android:

Las principales versiones que todavía circulan son Oreo y Pie (Android 10.0), así como Android 12.

El sistema operativo permite gestionar el material del teléfono, como la pantalla, teclado (físico o virtual), sensores (acelerómetro, GPS…), conexiones (Wi-Fi, Bluetooth, telefonía…), cámara, puerto USB e incluso la tarjeta de memoria. El sistema operativo ofrece una API a los desarrolladores de aplicaciones para que todos los modelos de dispositivos que usen ese sistema operativo utilicen la misma.

Es interesante recalcar que Android funciona en teléfonos y tabletas, pero también en otros dispositivos más exóticos, como televisiones o incluso frigoríficos. Esto nos lleva a plantearnos interrogantes en lo relativo a la seguridad de los objetos conectados. ¿Habrá frigoríficos infectados en los próximos años?

2. Arquitectura

Android no es una simple distribución Linux, sino un sistema operativo completo. Google ha desarrollado distintas capas aplicativas, desde la capa de abstracción de hardware hasta la interfaz gráfica pasando por las máquinas virtuales Java que permiten que las aplicaciones Android funcionen. He aquí un esquema de la arquitectura de Android:

Detengámonos más de cerca en cada una de las capas de la arquitectura Android de abajo hacia arriba.

Hardware

Esta capa no representa realmente el sistema operativo; sin embargo, todo comienza por el equipo soporte físico (hardware en inglés). Esta capa abarca todos los aspectos físicos del dispositivo móvil: pantalla, sensor, conexiones, etc.

Núcleo de Linux

El kernel (núcleo) de Linux permite establecer el vínculo entre la parte puramente aplicativa y la parte material. A lo largo de los años, Android ha modificado ligeramente el kernel de Linux con el objetivo de optimizar algunas tareas del núcleo. Por ejemplo, se ha implementado ASHMem (Anonymous Shared Memory, Memoria anónima compartida) como mecanismo para compartir la memoria. Binder es una implementación hecha por Android de los IPC (Inter Process Call, llamada interproceso) con el objetivo de permitir una comunicación entre los procesos. Logger es un sistema de registro de eventos a nivel del kernel implementado también por Android. A estas modificaciones del kernel de Linux hechas por Android se las conoce por el término Androidisms. 

El kernel lleva también al HAL (Hardware Abstraction Layer, capa de abstracción de hardware). Esta capa permite que una aplicación pueda comunicarse de manera transparente con el hardware...

1. Instalar usando Google Store

Las aplicaciones Android se instalan, teóricamente, desde Google Store. Los atacantes intentan utilizar el mismo procedimiento. Los usuarios confían en la Store y los desarrolladores de malwares se aprovechan de ello para infectar el máximo número de usuarios. Por ejemplo, el malware BeiTaAd es un adware que estaba alojado y se expandió por la tienda de Android. En 2019, se identificaron más de 230 aplicaciones que contenían dicho malware. Este se hacía pasar, principalmente, por un paquete de soporte de idiomas y temas.

Es difícil elegir víctimas específicas a través de la store de Google. Generalmente, el objetivo de los malwares que utilizan dicha tienda es infectar un número máximo de víctimas.

En el caso de BeiTaAd, el malware estuvo disponible durante más de siete meses e infectó miles de dispositivos a través de todo el mundo.

2. Instalar usando tiendas alternativas

Existen tiendas (stores) alternativas a la de Google. Samsung, por ejemplo, dispone de un store desde hace años y Huawei ha creado una alternativa desde el veto de E.E. U.U. en 2019. También existen tiendas mantenidas por la comunidad y no por empresas. Al igual que sucede con Google Store, los atacantes pueden utilizarlas con el objetivo de desplegar sus malwares en los dispositivos de los usuarios....

1. ¿Máquina virtual o teléfono físico?

Con el fin de poder analizar una aplicación, instalarla y manipularla, necesitamos un laboratorio de análisis. Para esto tenemos dos soluciones: la virtualización o un dispositivo físico. Cada una de estas soluciones tiene sus ventajas e inconvenientes.

Android en una máquina virtual

Existe un Android portado en x86. Este nos permite ejecutar Android en una máquina virtual en un ordenador estándar con VirtualBox (u otra herramienta de virtualización). Este Android portado está disponible en: https://www.fosshub.com/Android-x86.html

He aquí el procedimiento de instalación en VirtualBox.

El primer paso consiste en crear la máquina virtual haciendo clic en Máquinay después en Nueva. Se nos pide el nombre de la máquina virtual, tipo e imagen ISO por usar:

En la pantalla siguiente, se nos solicita la contraseña de usuario, nombre de la máquina y dominio. El siguiente paso consiste en añadir memoria RAM y procesadores. Un valor de 4 GB de RAM es una cifra realista para un dispositivo móvil. Después, VirtualBox nos pide el tamaño del disco duro que se va a crear. Son necesarios 16 GB como mínimo para poder trabajar cómodamente.

La máquina virtual está casi lista. Ya se puede instalar el sistema operativo:

El procedimiento es bastante simple: basta con ir al menú de instalación y seguir los pasos del instalador. Una vez la instalación finalizada, la máquina virtual queda lista para su uso y ya se puede lanzar:

Esta es la configuración de la máquina virtual al final de la operación:

El uso de una máquina virtual es muy práctico y no necesita de ningún equipo particular. Sin embargo, tiene muchas limitaciones. Por ejemplo, Android-x86 solamente puede ejecutar binarios x86 o x64. Si un malware carga un binario para ARM o ARM64, la ejecución será imposible y el binario fallará. Un malware podrá identificar fácilmente que está en una máquina virtual porque no hay servicio GSM, ni tarjeta SIM, etc. Por este motivo, muchos analistas utilizan dispositivos físicos para analizar malwares en Android. 

Android en un dispositivo físico

El uso de un dispositivo físico para el análisis de malwares es a menudo la elección más simple. Se puede utilizar cualquier teléfono con Android. Rootearlo puede ser buena idea para facilitar el análisis. No todos los teléfonos se pueden rootear; es conveniente comprobar si el dispositivo en cuestión lo es en foros especializados, como XDA Developers: https://forum.xda-developers.com. Para que el dispositivo parezca un dispositivo estándar, vale la pena añadir algunas aplicaciones, una tarjeta SIM de prepago desechable o incluso tener una cuenta Google dedicada al análisis.

Sin embargo, hay que tener cuidado y no activar el GPS: esto podría dar nuestra geolocalización al atacante que ha desarrollado el malware que estamos analizando si este recupera esta información. En el caso de los análisis en Android, hay que tener mucho cuidado con los datos que se encuentren en el dispositivo de prueba y con los datos a los que el atacante podría tener acceso si el teléfono ejecuta la aplicación maliciosa.

2. Adb (Android Debug Bridge)

Adb es una consola interactiva que permite realizar diferentes acciones en un dispositivo Android usando su puerto USB. Adb forma parte de la suite SDK Platform Tools de Android y puede descargarse en: https://developer.android.com/studio/releases/platform-tools.html

Para activar el depurador en el dispositivo Android, dependiendo de la versión de Android, habrá que mostrar el menú Opciones para desarrolladores. Para activar la depuración por USB se debe acceder a Configuración - Sistema - Avanzado - Opciones para desarrolladores y finalmente Depuración por USB. En la primera conexión a un ordenador, el teléfono...

1. Analizar un archivo APK

Para empezar, trabajaremos con el malware KevDroid. El primer paso consiste en listar los permisos que necesita esta apk:

paul@lab:~$ aapt dump permissions KevDroid.apk  
package: com.cool.pu  
uses-permission: name='android.permission.RECEIVE_BOOT_COMPLETED' 
uses-permission: name='android.permission.READ_CALL_LOG'  
uses-permission: name='android.permission.READ_SMS'  
uses-permission: name='android.permission.RECEIVE_SMS'  
uses-permission: name='android.permission.RECORD_VIDEO'  
uses-permission: name='android.permission.RECORD_AUDIO'  
uses-permission: name='android.permission.CAMERA'  
uses-permission: name='android.permission.READ_PHONE_STATE'  
uses-permission: name='android.permission.PROCESS_OUTGOING_CALLS' 
uses-permission: name='android.permission.ACCESS_FINE_LOCATION'  
uses-permission: name='android.permission.ACCESS_COARSE_LOCATION' 
uses-permission: name='android.permission.GET_ACCOUNTS'  
uses-permission: name='android.permission.READ_CONTACTS'  
uses-permission: name='android.permission.READ_EXTERNAL_STORAGE'  
uses-permission: name='android.permission.WRITE_EXTERNAL_STORAGE' 
uses-permission: name='android.permission.ACCESS_NETWORK_STATE'  
uses-permission: name='android.permission.INTERNET'  
uses-permission: name='android.permission.READ_FRAME_BUFFER'  
uses-permission: name='android.permission.ACCESS_SUPERUSER'  
uses-permission: name='com.google.android.c2dm.permission.RECEIVE' 
uses-permission: name='android.permission.WAKE_LOCK'  
permission: com.cool.pu.permission.C2D_MESSAGE  
uses-permission: name='com.cool.pu.permission.C2D_MESSAGE' 

La lista de los permisos nos permite ver rápidamente las probables funcionalidades de KevDroid :

1. Usar Frida

Al igual que para Windows, el código en ejecución se puede analizar dinámicamente. Una de las herramientas más populares es Frida, que está disponible en: https://www.frida.re/

Frida permite rastrear la ejecución de una aplicación Android. Permite, por ejemplo, leer los valores que se utilizan en distintas funciones; leer los valores a la salida o, incluso, modificarlos con el objetivo de cambiar la ejecución de la aplicación.

Para usar Frida en Android, primero hay que instalar Frida-server en el dispositivo. Está disponible en: https://github.com/frida/frida/releases (atención, elija la arquitectura de CPU correcta que corresponda al dispositivo):

C:\Users\paul> adb.exe root  
C:\Users\paul> adb.exe push frida-server-12.6.10-android-arm /data/ 
local/tmp/  
C:\Users\paul> adb.exe shell "chmod 755 /data/local/tmp/frida-server" 
C:\Users\paul> adb.exe shell "/data/local/tmp/ frida-server-12.6.10- 
android-arm &" 

Probaremos la instalación desde la máquina Windows:

C:\Program Files\Python3\Scripts>frida-ps.exe -U  
 PID  Name  
-----  --------------------------------------------------  
14118  -  
3605  .dataservices  
1965  ATFWD-daemon  
5990  adbd  
1945  adspd  ...