Diplomado en seguridad informática

Análisis estático, dinámico y online

Presentado a:
Ing. Onalvis Escudero

Presentado por:
De oro Alcázar Richard Andrés
Polo Aide José Adrián
Torres Olivero Kevin Alberto

Corporación universitaria americana

Ingeniería de sistemas
2021-1
 Tabla de contenido

Introducción .......................................................................................................................... 3
Análisis Estático ................................................................................................................... 4
Análisis Dinámico................................................................................................................. 8
Análisis online .................................................................................................................... 14
Conclusión .......................................................................................................................... 19
 Introducción

Actualmente las aplicaciones móviles son la razón por la que los usuarios pasan cada vez
más tiempo en sus teléfonos, pues estas simplifican gran parte de los procesos de la vida
cotidiana como las compras, las comunicaciones y el entretenimiento. Existen muchas
app en las diferentes plataformas, se ha multiplicado el uso de dispositivos móviles, ya
que se pueden hacer muchas funciones con este dispositivo. Hay muchas aplicaciones en
las plataformas digitales, las cuales contienen software malicioso y hay muchos usuarios
los cuales ignoran este comportamiento colocando así en peligro su información y datos
personales. La idea de este informe es analizar una aplicación de la play store en busca
de comportamientos o funciones maliciosas dentro de la misma. Vamos a realizar 3 tipos
de análisis, el análisis estático, análisis dinámico, análisis online.
Análisis Estático
Descargamos la app de la play store llamada ingreso.solidariocol_2_9792204.apk la
cual vamos a analizar, esta es una app donde puedes consultarte en la página del
gobierno si es beneficiario del subsidio del ingreso solidario

Luego de descargada la app, procedemos a abrir la herramienta dex2jar en nuestra

máquina virtual de santoku, nos abre la terminal. En ella nos vamos a la ubicación de la
App, que en nuestro caso sería Downloads.
Posicionados en esa carpeta Downloads

Ejecutamos el comando d2j-dex2jar nombre_de_la_App y esperamos a que cargue

Damos un ls para ver si creo el otro archivo

Luego de esto vamos a abrir la herramienta Java decompiler (JD) y procedemos a abrir el
archivo .jar
En este código podemos ver que hay instancias de objetos, para general una alarma, no
vemos algo sospechoso.
Por medio de esta clase se toman los datos para hacer la búsqueda
Estas clases tienen algo peculiar y es que tiene muchas variables declaradas, no
sabemos el motivo exacto de estas clases pero si podemos ver que hay un
comportamiento extraño.

Y así podemos ir analizando la app, aplicando ingeniería inversa para poder conocer
cómo funciona la aplicación. Y saber si tiene algunos métodos maliciosos.

Análisis Dinámico

Abrimos el Burp suite, que es Burp Suite es una plataforma integrada para la realización
de las pruebas de seguridad de las aplicaciones web.
Configuramos para escoger todas las interfaces
Validamos que el equipo ya se encuentre conectado con el comando adb devices

Realizamos un ping desde el dispositivo hacia el computador

Con el comando adb shell settings put global http_proxy <ip> : <port> colocamos
redireccionamos la salida del proxy del dispositivo a la computadora
Configuramos el proxy en la red WiFi con estos ajustes

Luego de haber realizado estos procesos, solamente vamos a poder navegar en el

dispositivo en paginas con el protocolo HTTP, cuando se intenta navegar bajo el protocolo
HTTPS este nos arroja un error de certificado

Luego de eso, realizamos un intento de inicio de sesión y realizamos la captura del texto
en base64 desde la aplicación BURP
Luego el que capturamos el base64 con el uso de la aplicación base64decode realizamos
la decodificación pero nos damos cuenta que sigue mandando encriptado los datos

En el historial HTTP, enviamos a repeater y pegamos el texto en base64

Y esto nos arroja los datos enviados en la página web, en este caso, nos envía solamente
el usuario ya que el inicio de sesión no fue exitoso
Análisis online

Ejecutamos el MobSF

Ingresamos al MobSF
Cargamos la aplicación a Analizar

Analizamos la aplicación Ingreso Solidario COL

Ya tenemos los resultados que nos arroja MobSF

Revisando el manifesto podemos ver que nuestra aplicación tiene varios permisos tales
como poder escribir en el almacenamiento, permisos de internet, también puede saber
información sobre la red, de igual manera puede acceder a la información del WiFi,
también tiene permisos para evitar que la pantalla entre en suspensión.

Aquí validamos un poco el código y encontramos que hace uso de base de datos
Aquí podemos validar que la aplicación se encuentra firmada correctamente

Revisando un poco más a fondo, podemos encontrar que la aplicación tiene demasiados
Starting Activity siendo que solamente debería tener uno solo ya que esto podría vulnerar
y ser accesibles desde otras aplicaciones.
Podemos encontrar en el análisis del código que tienen varios problemas de ALTA
importancia.

Tales como el CWE-649 que este trata de que la aplicación recibe valores de entrada
pero no valida su integridad.
 Conclusión

Podemos concluir con este informe que es importante conocer el funcionamiento de las
aplicaciones ya que actualmente hay muchas de ellas que son maliciosas. Cada vez que
instalemos un app hay que revisar los permisos que requieren, ya que hay app que piden
ciertos permisos que no son necesarios y podría tratarse de una app que quiere acceder a
nuestra información.