AWAKE es una base de conocimientos estructurada para la investigación de
seguridad de Android. Esta wiki explica cómo funciona el malware, cómo
los ataques explotan la plataforma, cómo se rompen las protecciones y cuál es
la situación de la industria. Creado para analistas, inversores, pentesters e
investigadores de inteligencia de amenazas.
Todo es atacar primero: entender cómo se rompen las cosas, no cómo
defenderlas.
Actores de amenazas
El ecosistema de malware de Android es operado por distintas categorías de
actores de amenazas
que van desde agencias de inteligencia de estados nacionales hasta
desarrolladores independientes que venden creadores de RAT en Telegram.
Comprender quién crea e implementa malware para Android, y por qué, es
esencial para la atribución, el modelado de amenazas y la predicción de lo que
vendrá después.
Técnicas de ataque
Cómo funcionan realmente el malware y los exploits de Android. Más de
30 técnicas
organizadas por superficie de ataque, con una
kill chain
que muestra cómo se combinan en operaciones reales y una matriz de los pares
de técnicas más comunes.
Familias de malware
Más de
80 artículos de familias
individuales que cubren capacidades, infraestructura C2, historial de campañas
y linaje de códigos. Una
línea de tiempo desde 2010
hasta el presente y una
guía de nomenclatura
para mapear entre
nombres de detección de proveedores.
Empaquetadores y protectores
Todos los principales
packers y métodos de patching
de Android están documentados: cómo identificarlos, cómo protegen la
aplicación y cómo descomprimirlos. Matriz de comparación directa, árbol de
decisiones de identificación y conjunto de herramientas de desempaquetado
universal.
Permisos
Más de
50 permisos de Android
documentados desde una perspectiva de abuso. Qué desbloquea cada uno, cómo lo
utiliza el malware y cómo los permisos pasan de otorgarse automáticamente a
tener control total del dispositivo.
Reversing
Análisis estático, análisis dinámico,
hooking, parcheo e interceptación de red. Además de
28 frameworks de desarrollo
(Flutter, React Native, Unity, Xamarin y más), cada uno con su propio flujo de
trabajo para reizar ingeniería inversa.
Grayware
La
zona gris
entre el software legítimo y el malware. SDK de intermediarios de datos,
fraude publicitario, stalkerware, aplicaciones de préstamos abusivos,
firmware greyware, vigilancia comercial y el comercio de datos que lo
financia todo.
Seguridad de la plataforma
Los mecanismos de seguridad de Android desde el lado ofensivo. App sandbox,
SELinux, arranque verificado, almacén de claves, Play Integrity y
autenticación biométrica: qué protegen y en qué se quedan cortos.
Industria
El panorama de la seguridad móvil: proveedores de AV, proveedores de MDM,
empresas de seguridad de aplicaciones y empresas de inteligencia sobre
amenazas. Quién hace qué y cómo encajan.
Fuente:
AWAKE