Ahmyth Rat Para Android
Ataque
RAT
Se define RAT (Remote Administration Tool)
a las herramientas que son utilizadas para administrar remotamente algún tipo
de sistema. Estas aplicaciones pueden ser legítimas o no y pueden ser
utilizadas con o sin autorización del usuario.
En el mundo de malware estas aplicaciones
generalmente son troyanos que abren una puerta trasera (backdoor) en el equipo
del usuario para permitir dicha administración por un tercero, motivo por el
cual ahora también se los conoce como RAT de Remote Administration Trojan.
Generalmente la infección se realiza a
través de algún método de Ingeniería Social, engañando al usuario para que
ejecute un programa determinado (el servidor del troyano). Una vez que el
usuario lo ha hecho, el programa conecta automáticamente con la dirección IP
del equipo del atacante (cliente) y aparece en el listado de la parte superior.
Suponiendo que el atacante sea eficiente, puede disponer del control de cientos
de víctimas.
Este tipo de herramientas por supuesto son
indeseables para cualquier usuario final pero pueden ser peores aún dentro de
una red corporativa, en donde se está brindando la posibilidad de acceder a
dicha red a un tercero.
En esta situación, las alternativas para
el atacante son muy variadas ya que puede realizar cualquier tipo de acción en
el sistema infectado tal y como si encontrara delante del mismo, con la
salvedad de que el dueño del sistema jamás se entera de la intrusión, a menos
que cuente con una herramienta de protección que detecte dicha amenaza.
Android
Android es el nombre de un sistema
operativo que se emplea en dispositivos móviles, por lo general con pantalla
táctil. De este modo, es posible encontrar tabletas (tablets), teléfonos
móviles (celulares) y relojes equipados con Android, aunque el software también
se usa en automóviles, televisores y otras máquinas. Creado por Android Inc.,
una compañía adquirida por Google en 2005, Android se basa en Linux, un
programa libre que, a su vez, está basado en Unix. El objetivo inicial de
Android, de este modo, fue promover los estándares abiertos en teléfonos y
computadoras (ordenadores) móviles. Dada la gran cantidad de dispositivos
equipados con Android, ya es posible encontrar más de un millón de aplicaciones
que utilizan este sistema operativo para su funcionamiento. Android también se
destaca por su seguridad, ya que los expertos han detectado pocas
vulnerabilidades en su estructura.
Además
de todo lo indicado hasta el momento, merece la pena conocer otra serie de
datos de interés acerca del sistema operativo Android, entre los que podemos
destacar los siguientes:
·
Google Play es su
catálogo para poder acceder a todo tipo de aplicaciones, tanto gratuitas como
de pago.
·
Dispone del
correspondiente soporte para streaming.
·
Puede soportar lo que
son videollamadas mediante Hangouts.
·
Da la posibilidad de
que el terminal pueda ser empleado como punto de acceso, ya sea inalámbrico o
alámbrico.
Android puede adaptarse a múltiples
resoluciones de pantalla y soporta conexiones WiFi, Bluetooth, LTE, CDMA,
GSM/EDGE, HSPA+ y UMTS, entre otras. También permite el envío de mensajes MMS y
SMS, cuenta con navegador web, posibilita el desarrollo de streaming y está
capacitado para trabajar con archivos MP3, GIF, JPEG, PNG, BMP, WAV, MIDI,
MPEG-4 y otros formatos multimedia. En cuanto a las distintas versiones de
Android, cabe mencionar que se denominan con nombres de postres, cuyas
iniciales se ordenan alfabéticamente. Así, la primera versión de Android se
llamó Apple Pie, la segunda Banana Bread y así sucesivamente. Esto permite
reconocer las versiones y determinar cuáles son las más recientes de acuerdo a
su letra inicial. Además de las ya citadas versiones, las siguientes que
continuaron fueron estas: Cupcake, Donut, Éclair (Pepito), Froyo (Yogur
helado), Gingerbread (Pan de jengibre), Honeycomb (Panal), Ice cream sandwich
(Sándwich de helado), Jelly bean (Gominola), Kit Kat, Lollipop (Piruleta),
Marshmallow (Nube), Nougat (Turrón)…
De la misma manera, no podemos pasar por
alto el hecho de que existe una aplicación de Android realmente importante y
novedosa. Se trata de Android Pay, que viene a ser el sistema de pago que da la
posibilidad a cualquier usuario con un smartphone Android 4.4 o superior de
poder realizar pagos en establecimientos mediante el teléfono. Respecto al
logo, cabe destacar que es de color verde, que fue diseñado con la conocida
fuente Droid y que la tipografía se llama Norad. En la actualidad podemos decir
que se ha convertido en el sistema operativo para dispositivos móviles más
potente, creciente y demandado junto a iOS, que es el que poseen los
dispositivos que pertenecen a la compañía Apple.
Archivos APK
Android Application Package. Es decir un
archivo ejecutable de aplicaciones para Android. Un archivo con extensión .apk
es un paquete para el sistema operativo Android. Este formato es una variante
del formato JAR de Java y se usa para distribuir e instalar componentes
empaquetados para la plataforma Android, tanto smartphones como tablets. APK
hace referencia a un tipo de formato para archivos Android, en la mayoría de
los casos se trata de aplicaciones o juegos, que nos permite instalarlos en
nuestro dispositivo sin necesidad de utilizar Play Store.
Ip
Una dirección IP es un número que
identifica, de manera lógica y jerárquica, a una Interfaz en red (elemento de
comunicación/conexión) de un dispositivo (computadora, tableta, portátil,
smartphone) que utilice el protocolo IP o (Internet Protocol), que corresponde
al nivel de red del modelo TCP/IP. La dirección IP no debe confundirse con la
dirección MAC, que es un identificador de 48 bits expresado en código
hexadecimal, para identificar de forma única la tarjeta de red y no depende del
protocolo de conexión utilizado en la red.
La
dirección IP puede cambiar muy a menudo debido a cambios en la red, o porque el
dispositivo encargado dentro de la red de asignar las direcciones IP, decida
asignar otra IP (por ejemplo, con el protocolo DHCP). A esta forma de
asignación de dirección IP se le denomina también dirección IP dinámica
(normalmente abreviado como IP dinámica).
Los sitios de internet que por su
naturaleza necesitan estar permanentemente conectados, generalmente tienen la
necesidad de una dirección IP fija (comúnmente, IP fija o IP estática); esta no
cambia con el tiempo.
Los servidores de correo, DNS, FTP
públicos y servidores de páginas web necesariamente deben contar con una
dirección IP fija o estática, ya que de esta forma se permite su localización
en la red. Los dispositivos se conectan entre sí mediante sus respectivas
direcciones IP. Sin embargo, para las personas es más fácil recordar un nombre
de dominio que los números de la dirección IP.
Los servidores de nombres de dominio DNS,
"traducen" el nombre de dominio en una dirección IP. Si la dirección
IP dinámica cambia, es suficiente actualizar la información en el servidor DNS.
El resto de las personas seguirán accediendo al dispositivo por el nombre de
dominio.
Tcp/Ip
El conjunto de protocolos TCP/IP es unos
de los más utilizados en servicios de red. Hacen referencia a dos protocolos
que son:
·
TCP (Transmission
Control Protocol) Protocolo de Control de Transmisión.: Este protocolo se
encarga de crear “conexiones” entre sí para que se cree un flujo de datos. Este
proceso garantiza que los datos sean entregados en destino sin errores y en el
mismo orden en el que salieron. También se utiliza para distinguir diferentes
aplicaciones en un mismo dispositivo.
·
IP (Internet Protocol)
Protocolo de Internet.: Este protocolo se encarga del envío y recepción de
datos en bloques. El envío lo hace siempre por la mejor ruta pero sin
garantizar que llegue a alcanzar el destino.
Este conjunto de protocolos se utiliza
para resolver la transmisión de datos que se genera en una red ya sea de forma
interna o externa. La unión de estos protocolos se realiza para asegurar que la
información llegue siempre por la mejor ruta y de forma correcta a destino.
Ngrok
Ngrok es una herramienta que permite acceder
nuestro servidor local a cualquier persona en internet con la que compartamos
una url generada dinámicamente , esto es
muy útil por ejemplo cuando necesitamos mostrar avances constantemente en
sitios que se encuentran en etapa de desarrollo o cuando trabajamos con un
equipo de desarrolladores de forma
remota .
Ngrok nos permite realizar esto sin hacer ninguna configuración extra en el
router o firewall simplemente basta con bajar la pequeña aplicación (apenas
3.80mb) y ejecutar un comando:
1.
Ngrok
tcp 444
La aplicación creara un tunnel mediante
una la url dinámica mostrando lo que se
tenga en nuestro servidor previamente instalado MAMP, LAMP o WAMP dentro de la carpeta principal de este:
2. http://92832de0.ngrok.io -> localhost:80
En
la versión gratuita esta url se
genera cada que ejecutemos ngrok, sin
embargo con la opción de pago podemos configurar subdominios permanentes y
otras opciones más avanzadas que harán más fácil nuestro trabajo.
Lan
LAN son las siglas de "Local Area
Network", es decir, Red de área local. Una Red LAN conecta diferentes
ordenadores en un área pequeña, como un edificio o una habitación, lo que
permite a los usuarios enviar, compartir y recibir archivos. Un sistema de redes
LAN conectadas mediante líneas telefónicas se denomina WAN "Wide-Area
Network", es decir, es una red de área ancha. Cada ordenador individual
conectado a una LAN se denomina "nodo", el cual tiene su propia CPU.
Ahmyth
AhMyth tiene muchas características que
usted esperaría ver en una RAT como monitoreo de ubicación geográfica, módulos
de SMS, visor de listas de contactos, administrador de archivos, instantáneas
de cámara, micrófono grabadora y mucho más. Este RAT es muy fácil de usar
debido a su diseño de GUI simple y eficaz. AhMyth es una herramienta de acceso
remoto multiplataforma disponible para Linux, Windows y Apple OS.
AhMyth
consta de dos partes.
·
Lado del servidor:
aplicación de escritorio basada en framework electron (panel de control)
·
Lado del cliente:
aplicación de Android (puerta trasera o backdoor)
Herramientas:
·
Camera:
Tomar el control de la cámara frontal y cámara trasera en tiempo real.
·
File
Manager: permite el acceso de archivos de los
dispositivos Android comprometidos.
·
Mic:
puede usar el micrófono
·
Location:
ubicación geográfica del dispositivo Android de destino.
·
Contacts:
lista de contactos del dispositivo comprometido
·
SMS:
se pueden enviarse mensajes SMS desde los dispositivos Android comprometidos a
otros dispositivos móviles
·
Calls
logs: puede ver los registros de llamadas.
Puertos
Un puerto es una interfaz a través de la
cual se pueden enviar y recibir los diferentes tipos de datos. La interfaz
puede ser de tipo física (hardware) o puede ser a nivel lógico o de software,
en cuyo caso se usa frecuentemente el término puerto lógico (por ejemplo, los
puertos de redes que permiten la transmisión de datos entre diferentes
computadoras).
Recomendaciones para
no ser víctima de un ataque RAT
- Solo descargar apps de Google Play. Si bien esto no
asegura que la app no es maliciosa, este comportamiento maligno es más
común en tiendas de terceras partes, donde difícilmente se eliminen por
más que sean descubiertas; a diferencia de lo que pasa en Google Play que
se eliminan rápidamente cuando son reportadas.
- Asegúrate de revisar el número de descargas, la
valoración y los comentarios existentes sobre la app antes de descargarla
de Google Play.
- Presta atención de cuáles son los permisos que otorgas
a las apps que instalas.
- Mantén tu dispositivo Android actualizado y utiliza una
solución de seguridad para móviles que sea confiable.
VÍDEO TUTORIAL


0 comentarios: