Decodifica richieste da app Android potenzialmente dannose

2

Recentemente ho svolto alcuni lavori di valutazione della sicurezza sulle nostre applicazioni Android, inoltrando tutte le comunicazioni tramite Burp Suite.

Ho notato che uno dei nostri dispositivi inviava richieste a un dominio che non riconoscevo, uno registrato in Cina. Si scopre che l'applicazione che invia queste richieste è un'app di gestione file preinstallata sul dispositivo (tablet cinese economico).

Sembra quasi che invii richieste quando l'applicazione è in uso, anche se a volte sembra che invii richieste anche in background. L'app non visualizza contenuti aggiunti o correlati, quindi non è così, anche quando carica contenuti come la guida, proviene da un dominio diverso. Il mio sospetto è che stia pubblicando una sorta di dati di monitoraggio o di snooping.

Sono ovviamente preoccupato e curioso di sapere quali dati questa applicazione sta inviando, ma sto cercando di risolvere i payload. Le intestazioni non indicano un tipo di contenuto, ho usato tutti i decodificatori in Burp Suite senza alcun risultato. Per prima cosa ho considerato binario e gzip ma alla fine ho trovato gli stessi dati, ho anche provato a convertire i dati in cinese con zero successi.

Se qualcuno può far luce sui miei prossimi passi per decodificare il contenuto di questa richiesta, sarebbe molto apprezzato.

Ecco le schermate richiesta / risposta

Richiesta iniziale -

Codificamodificataperformare:

Corriattraversoildecoder:

Larispostaèsemprelastessa

    
posta iainpb 22.02.2018 - 17:43
fonte

1 risposta

2

Sì, questo è malware. Oppure "Spyware", a seconda del libro sull'argomento che hai letto l'ultima volta e da che parte del letto sei uscito da questa mattina. La tua domanda ha suscitato il mio interesse quando ho visto che ho visto lo stesso dominio mentre guardavo un'altra app. Ho pensato che fosse improbabile che fossimo soli, così ho cercato su Google e ho trovato questo:

L'app Android di Airbnb contiene spyware.

In base a questo post, possiamo supporre che il codice sospetto-migliore ora usi una chiave segreta per crittografare i dati anziché gzip.

Penso che sia più probabile che si tratti di un codice che è entrato in qualche libreria / framework popolare allo scopo di raccogliere informazioni statistiche su utenti / dispositivi o che fa parte di un altro libreria di piattaforma. Indipendentemente da ciò, il termine "spyware" si adatta ancora. Questa raccolta di dati sta chiaramente andando ben oltre ciò che l'app ha uno scopo legittimo, e né gli ecosistemi Android o iOS sono particolarmente adatti a questo genere di cose.

Il sottodominio ha persino un grosso anello di malware. 'infoc2' ... come in C2 ... come in Comando e controllo .

Raccomando di mandare un'email alla società dietro l'app, potrebbero non sapere cosa sta succedendo qui e potrebbero ringraziarti. Se fosse stato legittimamente aggiunto, potresti spaventarli per rimuoverlo. E se non ottieni una risposta, segnalerei gli sviluppatori ad Android / Google.

Io desidero ancora ottenere il testo in chiaro del payload, suggerirei di decompilare l'app e osservarne le stringhe, potresti essere fortunato e trovare la chiave. Senza conoscere lo schema di crittografia, dovresti ricorrere a un gruppo di essi in una sceneggiatura e limitarti a forzarlo. Tuttavia, la mia impressione sarebbe che gli sviluppatori di questo hanno probabilmente lanciato la propria crittografia di base, nel qual caso bisognerebbe decodificare questa funzione dal binario o tentare di forzare l'applicazione a bypassarla con modifiche di runtime dinamiche in modo che le richieste contenute testo in chiaro (guarda un framework chiamato "Substrate" per questo).

    
risposta data 23.02.2018 - 03:47
fonte

Leggi altre domande sui tag