AndroTotal

Who-can-fight-Android-malwareAndroTotal, el uso de herramientas online de análisis de malware, suponen una ayuda para el investigador que tiene que saber que hace un determinado APK.

El uso de este tipo de herramientas nos sirve para antes de ponernos nosotros a realizar un análisis manual que nos dé un "previo" de que es lo que hace.

Además este tipo de herramientas permiten algo muy útil y es poder relacionar casos. Es decir, si hay samples relacionados porque comunican con el mismo C&C o hay strings y datos relacionados esto nos permite poder identificar campañas activas y poder incluso hacer tracking de los ciber-criminales que desarrollan estas muestras.

Índice

AndroTotal y API's de acceso

Es algo normal proveerse de API's de acceso para poder hacer submit de los análisis, ya que puedes integrarlo en procesos internos o herramientas que hayas podido desarrollar de manera interna. Vamos a ver que posibilidades que nos ofrece la herramienta.

La web se presenta de forma sencilla y muy común. Realizar submit del sample y metiendo un captcha

AndroTotal

Vamos a escoger algunos de los samples que yo tengo para ver que output podemos recibir de la herramienta.

Cuando realizamos Submit del sample, se realiza el Upload y ya te mostrará información sobre la subida.

Captura

La web se irá actualizando conforme se va analizando la muestra, podemos ver detalles como la versión de Android que se está utilizando para el análisis y la suite de antivirus que se está usando. En el análisis hay un enlace para ir directamente a todos los detalles sobre el análisis.

AndroTotal

Primero podemos ver detalles como los relativos a los hash de la aplicación, la primera vez que se vió. Es decir, ¿Se había analizado antes?

Servicios de terceros

Además algo que me ha gustado mucho es que permite hacer búsquedas en servicios de análisis externos. Podemos ver servicios de terceros como:

  • VirusTotal
  • CopperDroid
  • ForeSafe
  • SandDroid
  • AndroidObservatory
  • VisualThreat

Puedes compartir los detalles del análisis en las redes sociales si quieres en Twitter o Facebook.

El análisis te da más información que podemos consultar, información relativa a los permisos requeridos por el APK (no los que necesita sino, los que pide)

Obviamente no hace falta decir que es necesario un análisis manual de la aplicación además de poder ver análisis de otros servicios de terceros.

 

Subir