Come rilevare se il mio telefono Android è arrivato con malware preinstallato?

2

Ho notato che il mio android sta tentando di eseguire attività che non ho autorizzato e di cui non sono a conoscenza. Quando faccio il ripristino di fabbrica di questo dispositivo, tenta di aprire quello che ritengo sia una sorta di malware. Se non c'è connessione a Internet, carica solo uno schermo trasparente. Rimane così finché non uccido la "app".

C'è un modo per verificare se si tratta di malware / adware o se ha inviato dati sensibili? Quali strumenti mi permetterebbe di fare questo? (Se posso entrare nel suo apk binario con qualsiasi strumento integrato in Kali Linux sarebbe fantastico).

Ho provato a disconnettere tutti i miei dispositivi dalla rete e ad ascoltare i pacchetti inviati / ricevuti con Wireshark, ma non riesco ancora a vedere quello che è, a causa della connessione play_store e così via ..: (

Grazie, LeFizzy.

    
posta LeFizzy 01.09.2016 - 19:49
fonte

1 risposta

4

Configurazione di un proxy per visualizzare il traffico di rete

Is there any way to check if this is malware/adware, or if it has sent off any sensitive data? What tools would allow me to do this?

Puoi configurare un proxy sul tuo computer e impostarlo sul tuo telefono, in modo da poter vedere tutti i collegamenti da e verso il tuo telefono. OWASP ZAP è una possibilità ed è gratuito. Scarica, installa e avvialo. Quindi vai a Tools > Options e seleziona Local proxy a sinistra. Imposta address sull'IP della rete interna del tuo computer (solitamente 192.168.x.x o 10.x.x.x ). Assicurati che il telefono sia connesso alla stessa rete del computer. Nota la porta (per impostazione predefinita è 8080 , puoi lasciarla in questo modo). Fai clic su OK .

Ora sul tuo telefono, imposta questo come proxy. Nel tuo telefono potrebbe essere diverso, ma nel mio telefono (Android 4.4) se apro le impostazioni wifi e clicco sul wifi connesso, apre la pagina Network details , scorri verso il basso e c'è Proxy . Impostalo su Manual , quindi imposta Hostname sull'IP del tuo computer (quello che hai usato prima) e Port su 8080 (o se lo hai cambiato, usa quello). Puoi lasciare vuoto il campo Bypass for .

Da ora in poi vedrai tutte le connessioni link dal tuo telefono verso Internet in ZAP. Per visualizzare anche il traffico http s crittografato, dovrai aggiungere il certificato radice di ZAP al certificate storage locale del telefono. Per fare ciò, vai prima a ZAP , Tools , Options di nuovo e seleziona Dynamic SSL Certificates . Fai clic su save e copiala sulla scheda SD del telefono. Quindi sul telefono vai a Settings , Additional settings , Privacy , Credential storage , Install from SD card , seleziona il file del certificato e aggiungilo. Tieni presente che il telefono potrebbe avere una diversa struttura delle impostazioni, quindi devi cercare Credential storage , molto probabilmente in Privacy o Security .

Ora ZAP mostrerà anche il tuo traffico https (a meno che il progettista dell'app non abbia usato il pinning del certificato). ZAP raggrupperà il traffico in base al dominio, in modo che tu possa vedere che altro sta facendo il tuo telefono oltre a Google Play Services e allo stesso modo.

Ottieni l'elenco delle applicazioni installate e il loro file di apk

If I can get into it's apk binary with any tool built into Kali Linux that would be great

Installa adb

Per ottenere il file apk puoi usare il bridge di debug per android, adb. Non è preinstallato su kali, ma puoi installarlo facilmente. Basato su questo tutorial tutto ciò che devi fare è per eseguire:

sudo add-apt-repository ppa:phablet-team/tools && sudo apt-get update 

e

sudo apt-get install android-tools-adb

Imposta il tuo driver di dispositivo (potrebbe essere opzionale)

Il prossimo passo non è probabilmente necessario sotto kali, ma sotto Ubuntu devi fare quanto segue:

Crea un file vuoto nella directory /etc/udev/rules.d/ con il seguente nome:

Se stai usando la versione di Ubuntu Gusty / Hardy / Dapper, crea il file con il nome 50-android.rules . Esegui il seguente comando per farlo:

sudo gedit /etc/udev/rules.d/50-android.rules

Se stai usando la versione di Ubuntu Karmic Koala / Lucid Lynx / Maverick Meerkat, crea il file con il nome 70-android.rules . Esegui il seguente comando per farlo:

sudo gedit /etc/udev/rules.d/70-android.rules

Digita il seguente contenuto nell'editor e salvalo.

For Gusty/Hardy: SUBSYSTEM==”usb”, SYSFS{idVendor}==”USB-VENDOR-ID”, MODE=”0666″
For Dapper: SUBSYSTEM==”usb_device”, SYSFS{idVendor}==”USB-VENDOR-ID”, MODE=”0666″
For Karmic Koala: SUBSYSTEM==”usb”, SYSFS{idVendor}==”USB-VENDOR-ID”, MODE=”0666″
For Lucid Lynx: SUBSYSTEM==”usb”, SYSFS{idVendor}==”USB-VENDOR-ID”, MODE=”0666″
For Maverick Meerkat: SUBSYSTEM==”usb”, ATTR{idVendor}==”USB-VENDOR-ID”, MODE=”0666″ 

ID fornitore e fornitore qui .

Abilita il debug USB sul telefono

Anche questo passaggio è per kali: sul tuo telefono abilita USB debugging nel Settings sotto Developer options . In Android 4.2.x e su Developer Options è nascosto per impostazione predefinita, per renderlo visibile, tocca sette volte il Build Number ( Settings > About Phone > Build Number ), e appariranno le opzioni dello sviluppatore.

Ottieni l'elenco delle applicazioni e i file apk

Ora collega il telefono al computer tramite USB e puoi ottenere il file apk con i comandi adb ( come spiegato qui ) : 1) Determina il nome del pacchetto dell'app, ad es. "Com.example.someapp".

adb shell pm list packages

2) Ottieni il nome completo del percorso del file APK per il pacchetto desiderato.

adb shell pm path com.example.someapp

L'output sarà simile a questo: pacchetto: /data/app/com.example.someapp-2.apk

3) Estrai il file APK dal dispositivo Android alla casella di sviluppo.

adb pull /data/app/com.example.someapp-2.apk path/to/desired/destination/on/your/computer
    
risposta data 07.09.2016 - 13:59
fonte

Leggi altre domande sui tag