Ingenieria Inversa de Apps Android con Frida y RMS

En este articulo veremos cómo aplicar ingeniería inversa a una aplicación Android, en este caso conectada a Firebase. Recuperaremos los id’s de los usuarios y a traves de la sobreescritura de metodos podremos obtener informacion real.

Para ello mediante un análisis dinámico de la aplicación, obtendremos datos de usuarios registrados en la aplicación, vulnerables a una exposición de información sensible.

En este ejemplo podremos ver como a través de la monitorización de los metodos de la aplicacion podremos obtener identificadores de usuarios en la base de datos.

Teniendo el identificador de cada usuario, podremos sobreescribir los metodos de la aplicacion para hacer creer al programa que somos dicho usuario. Y de esta manera podremos obtener informacion sensible de todos los usuarios de la base de datos simplemente cambiando este identificador

Pero vamos a empezar desde el principio para que se pueda entender mejor:

Es necesario un dispositivo Android con permisos de administracion (root), ya sea emulado o fisico.
Sera necesaria la instalacion del servicio Frida-server
En este ejemplo utilizamos RMS Runtime Mobile Security, para probar inyecciones sobre los metodos o las clases criticas.
Para las pruebas usaremos, Meal and Meet, una app de uso libre.

Lo primero que tendremos que hacer es ejecutar nuestro emulador e instalar la app que queramos testear. En el ejemplo vemos que es una app de una red social donde se ven datos de los usuarios registrados, grupos compuestos por otros usuarios y sus geolocalizaciones.

Podeis seguir el ejemplo del video.

Una vez hayamos instalado la app, tendremos que poner Frida a servir.

adb shell “/data/local/tmp/frida-server &”

Se quedara a la espera de recibir comandos, ya sea desde otra terminal o desde nuestro Framework RSM.

Para poder trabajar con RSM tendremos que instalarlo y ponerlo a servir

Python mobilesecurity.py”

Una vez en ejecucion podremos visitar la ip http://127.0.0.1:5000 por defecto que nos permitira manipular la app desde RSM.

El primer paso para Hookear nuestra app es setear el nombre del paquete.

A continuacion debemos elegir las clases que queremos sobreescribir, para poder detectarlas sera necesario navegar dentro de la app para que Frida y RSM puedan ser notificados de la creacion de las clases que queremos modificar.

En el ejemplo tomaremos las clases:

User.class: Es la clase dedicada a los objetos usuario, del que obtendremos sus id’s cuando carguemos los diferentes grupos de usuarios que hay dentro de la app.
MyProfile.class: Es la activity dedicada a mostrar los datos del usuario concreto referido a una id.

Cargaremos todos los metodos y los hookearemos.

Si navegamos a un grupo concreto de la aplicacion, podremos ver que se muestran todos los usuarios que conforman dicho grupo. Es en este momento donde en el apartado I/O Hooked methods podremos ver que para poder mostrar los usuarios que vemos se llama a la clase User.class y sus getters y setters la misma cantidad de veces que usuarios tiene el grupo.

Y si miramos con mas detenimiento observamos que existe un metodo getId() con una salida concreta por cada usuario. Asi podemos apuntar todas los identificadores de los usuarios relacionados en este grupo.

Una vez hayamos guardado los identificadores que queramos investigar tendremos que ir a la pestana Heap Search o Hook LAB, seleccionar aquella clase que queramos sobreescribir y elegir el metodo que modificaremos. En nuestro caso es la activity MyProfile.class y su metodo loadUser() que hemos deducido que sirve para mostrar los datos del usuario registrado en la app.

Una vez extraido el metodo podemos cambiar la variable que entra por parametros y harcodearla con la id de otro usuario, haciendo creer a la app que somos otra persona.

Nos dirigiremos a Load Frida Script y ejecutaremos el codigo, en ese momento los datos mostrados perteneceran a la id que le hayamos pasado y no al usuario real que se ha autenticado.

Mas abajo os dejo la llamada al método loadUser() que uso en la activity MyProfile.

Java.performNow(function () {
  var classname = "com.example.cosmo.comer8.MyProfile"
  var classmethod = "loadUser";

  send("Heap Search - START ("+classname+")\n");

  Java.choose(classname, {
    onMatch: function (instance) {
      
      var s="";
      s=s+"[*] Instance Found: " +instance.toString()+"\n";
      s=s+"Calling method: " +classmethod+"\n";
      
      //public void loadUser(java.lang.String)
      var ret = instance.loadUser(""); //<-- Inserta aqui el String del que quieres hacer la consulta.
      s=s+"Output: "+ ret + "\n";
      send(s);

    }
  });
  send("Heap Search - END ("+classname+")");
});

NoArgs - Tool Designed To Dynamically Spoof And Conceal Process Arguments While Staying Undetected 16/04/2024

NoArgs is a tool designed to dynamically spoof and conceal process arguments while staying undetected. It achieves this by hooking into Windows APIs to dynamically manipulate the Windows internals on the go. This allows NoArgs to alter process arguments discreetly. Default Cmd: Windows Event Logs: Using NoArgs: Windows Event Logs: Functionality Overview The tool primarily […]

Frameless-Bitb - A New Approach To Browser In The Browser (BITB) Without The Use Of Iframes, Allowing The Bypass Of Traditional Framebusters Implemented By Login Pages Like Microsoft And The Use With Evilginx 15/04/2024

A new approach to Browser In The Browser (BITB) without the use of iframes, allowing the bypass of traditional framebusters implemented by login pages like Microsoft. This POC code is built for using this new BITB with Evilginx, and a Microsoft Enterprise phishlet. Before diving deep into this, I recommend that you first check my […]

Toolkit - The Essential Toolkit For Reversing, Malware Analysis, And Cracking 14/04/2024

This tool compilation is carefully crafted with the purpose of being useful both for the beginners and veterans from the malware analysis world. It has also proven useful for people trying their luck at the cracking underworld. It's the ideal complement to be used with the manuals from the site, and to play with the […]

Porch-Pirate - The Most Comprehensive Postman Recon / OSINT Client And Framework That Facilitates The Automated Discovery And Exploitation Of API Endpoints And Secrets Committed To Workspaces, Collections, Requests, Users And Teams 12/04/2024

Porch Pirate started as a tool to quickly uncover Postman secrets, and has slowly begun to evolve into a multi-purpose reconaissance / OSINT framework for Postman. While existing tools are great proof of concepts, they only attempt to identify very specific keywords as "secrets", and in very limited locations, with no consideration to recon beyond […]

APKDeepLens - Android Security Insights In Full Spectrum 11/04/2024

APKDeepLens is a Python based tool designed to scan Android applications (APK files) for security vulnerabilities. It specifically targets the OWASP Top 10 mobile vulnerabilities, providing an easy and efficient way for developers, penetration testers, and security researchers to assess the security posture of Android apps. Features APKDeepLens is a Python-based tool that performs various […]

RemoteTLSCallbackInjection - Utilizing TLS Callbacks To Execute A Payload Without Spawning Any Threads In A Remote Process 10/04/2024

This method utilizes TLS callbacks to execute a payload without spawning any threads in a remote process. This method is inspired by Threadless Injection as RemoteTLSCallbackInjection does not invoke any API calls to trigger the injected payload. Quick Links Maldev Academy Home Maldev Academy Syllabus Related Maldev Academy Modules New Module 34: TLS Callbacks For Anti-Debugging New Module 35: Threadless […]

Sicat - The Useful Exploit Finder 09/04/2024

Introduction SiCat is an advanced exploit search tool designed to identify and gather information about exploits from both open sources and local repositories effectively. With a focus on cybersecurity, SiCat allows users to quickly search online, finding potential vulnerabilities and relevant exploits for ongoing projects or systems. SiCat's main strength lies in its ability to […]

CloudGrappler - A purpose-built tool designed for effortless querying of high-fidelity and single-event detections related to well-known threat actors in popular cloud environments such as AWS and Azure 08/04/2024

Permiso: https://permiso.io Read our release blog: https://permiso.io/blog/cloudgrappler-a-powerful-open-source-threat-detection-tool-for-cloud-environments CloudGrappler is a purpose-built tool designed for effortless querying of high-fidelity and single-event detections related to well-known threat actors in popular cloud environments such as AWS and Azure. Notes To optimize your utilization of CloudGrappler, we recommend using shorter time ranges when querying for results. This approach enhances […]

GDBFuzz - Fuzzing Embedded Systems Using Hardware Breakpoints 07/04/2024

This is the companion code for the paper: 'Fuzzing Embedded Systems using Debugger Interfaces'. A preprint of the paper can be found here https://publications.cispa.saarland/3950/. The code allows the users to reproduce and extend the results reported in the paper. Please cite the above paper when reporting, reproducing or extending the results. Folder structure . ├── […]

ADOKit - Azure DevOps Services Attack Toolkit 06/04/2024

Azure DevOps Services Attack Toolkit - ADOKit is a toolkit that can be used to attack Azure DevOps Services by taking advantage of the available REST API. The tool allows the user to specify an attack module, along with specifying valid credentials (API key or stolen authentication cookie) for the respective Azure DevOps Services instance. […]

Deja un comentario Cancelar la respuesta