El uso de herramientas online de análisis de malware, suponen una ayuda para el investigador que tiene que saber que hace un determinado APK.
El uso de este tipo de herramientas nos sirve para antes de ponernos nosotros ha realizar un análisis manual que nos de un “previo” de que es lo que hace. Además este tipo de herramientas permiten algo muy útil y es poder relacionar casos. Es decir, si hay samples relacionados porque comunican con el mismo C &C o hay strings y datos relacionados esto nos permite poder identificar campañas activas y poder incluso hacer tracking de los ciber-criminales que desarrollan estas muestras. Es algo normal proveerse de API’s de acceso para poder hacer submit de los análisis, ya que puedes integrarlo en procesos internos o herramientas que hayas podido desarrollar de manera interna. Vamos a ver que posibilidades que nos ofrece la herramienta.
La web se presenta de forma sencilla y muy común. Realizar submit del sample y metiendo un captcha
Vamos a escoger algunos de los samples que yo tengo para ver que output podemos recibir de la herramienta.
Cuando realizamos Submit del sample, se realiza el Upload y ya te mostrará información sobre la subida.
La web se irá actualizando conforme se va analizando la muestra, podemos ver detalles como la versión de Android que se está utilizando para el análisis y la suite de antivirus que se está usando. En el análisis hay un enlace para ir directamente a todos los detalles sobre el análisis.
Primero podemos ver detalles como los relativos a los hash de la aplicación, la primera vez que se vió. Es decir, ¿Se había analizado antes?
Además algo que me ha gustado mucho es que permite hacer búsquedas en servicios de análisis externos. Podemos ver servicios de terceros como:
- VirusTotal
- CopperDroid
- ForeSafe
- SandDroid
- AndroidObservatory
- VisualThreat
Puedes compartir los detalles del análisis en las redes sociales si quieres en Twitter o Facebook.
El análisis te da mas información que podemos consultar, información relativa a los permisos requeridos por el APK (no los que necesita sino, los que pide)
Obviamente no hace falta decir que es necesario un análisis manual de la aplicación además de poder ver análisis de otros servicios de terceros.