Share this page!

b14ckh013 Profile picture
Twitter logo
Oct 18 19 tweets 6 min read
¿Son los archivos .APK ejecutables?
Esta pregunta me surge de algunos textos que he visto por ahí y de una discusión reciente con otras personas.
#hilo_b1h0
(hilo) 🧵
Nota 1: A partir de ahora (si no me olvido) pondré un hashtag en el primer tuit de mis hilos para identificarlos. El hashtag es: #hilo_b1h0
Alguien me comentó que quería agruparlos, y yo mismo al buscarlos me llevó tiempo, por lo que he decidido hacer esto. 💡
⬇️
Nota 2: No soy experto, ni mucho menos, en desarrollo de Apps Android. Estos es simplemente fruto de mi experiencia e investigación. Si alguien considera que estoy equivocado en algo, agradeceré sus aportes.
⬇️
Bien. Empiezo.
En algunos sitios he leído (y también lo he oído de palabra) que los archivos .APK son un formato ejecutable para dispositivos #Android.
⬇️
He de decir que esto no es del todo correcto. Un ejecutable es un binario que un sistema operativo interpreta por si solo, ya sea un formato #PE (.EXE) en Windows, o un formato #ELF para Linux.
⬇️
En el caso del #APK, no es un fichero ejecutable. Sí es binario, pero no ejecutable. Hay un entorno que lo reconoce directamente, que es el ecosistema Android y tras hacer "click" sobre el archivo se desencadenan toda una serie acciones.
⬇️
Habrá quien te diga que esto técnicamente es que "se ejecuta" en Android. Y bueno... podríamos darle muchas vueltas al término. Para mí no es un ejecutable. Es un archivo comprimido.
⬇️
🙆 ¿Un archivo comprimido?
👨 Si, exactamente.
🙆 Entonces, ¿se puede abrir con, por ejemplo, PKUnzip, 7Zip, o algún descompresor similar?
👨 Efectivamente.
⬇️
Pero déjame, una vez más, que me vaya por las ramas. Lo sé, soy un poco pesado.
⬇️
¿Has oído hablar alguna vez de los "Magic Bytes"?
También les denomina, según con quien hables, "Magic Numbers". Son una serie de bytes con valores concretos, normalmente al principio de los archivos binarios, con los que se identifica el tipo de archivo.
⬇️
En Ciberseguridad es importante esta técnica para determinar muchas veces el tipo de archivo, cuando un malware intenta ocultar un formato de archivo por otro, o para identificar trazas de archivos.
Puedes ver algunos aquí:
en.wikipedia.org/wiki/List_of_f…
⬇️
Pues si cogemos un archivo .APK, y lo abrimos con un editor hexadecimal (otra herramienta imprescindible para ingeniería inversa y forense) podremos ver esto al inicio de un archivo .APK
⬇️
Podremos ver la secuencia de BYTES (en hexadecimal): 50 4B 03 04
Que se corresponde con el formato de archivos comprimidos ZIP, entre muchos otros. ¿Reconoces algún otro? 😉
⬇️
Así pues, podemos usar 7Zip, por ejemplo, para abrir el archivo .APK e incluso para descomprimir su contenido sobre una carpeta. Y podremos ver que está compuesto por múltiples archivos y carpetas.
⬇️
Entre otros archivos, podemos destacar el AndroidManifest.xml del que ya hablaré (si tengo tiempo y ganas) otro día.
⬇️
Luego hay muchos otros archivos de los que depende la App, pero recordemos que Android es una VM Java corriendo sobre una versión de Linux, por lo tanto, los ejecutables son App Java. Actualmente, también otro lenguaje como Kotlin (del que no conozco N A D A).
⬇️
Pero si nos vamos a la carpeta lib dentro del paquete de archivos, encontraremos también archivos con extensión .so, que son librerías del sistema Linux y cuyos archivos tienen formato o estructura ELF que es el correspondiente a los binarios de Linux.
⬇️
Y hasta aquí el hilo sobre los "ejecutables #APK" que en realidad no son ejecutables, sino un conjunto de archivos y carpetas comprimidos en formato ZIP.
(fin) 🔚
Si has llegado hasta aquí, por favor, sigue con este otro hilo que aclara algunos puntos de controversia de este mismo hilo.
👇👇👇

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with b14ckh013

b14ckh013 Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @310hkc41b

b14ckh013 Profile picture
Oct 16
Está claro que el #smishing es el pan de cada día.
Veamos que podemos sacar con 4 o 5 comandos desde nuestro equipo.
(hilo) 🧵
DISCLAIMER: Usa siempre una máquina virtual (VM) si vas a acceder a sitios maliciosos o manipular malware. No es que en este caso vaya a ser muy peligroso, pero más vale prevenir.
⬇️
Primero, el teléfono. Hay muchos recursos para buscar información de teléfonos. En este caso voy a usar una herramienta llamada "phoneinfoga". La puedes descargar desde GitHub.
github.com/sundowndev/pho…
⬇️
Read 39 tweets
b14ckh013 Profile picture
Oct 9
Bueno, pues otro hilo va sobre la posible relación de estos dos #smishings recibidos en dos días seguidos en el mismo dispositivo móvil.
(hilo) 🧵
Intentaré no irme mucho por las ramas. 😅
Ayer me ofusqué demasiado sin tener en cuenta el elemento básico. El #smishing estaba preparado para funcionar única y exclusivamente en un dispositivo móvil.
⬇️
Y precisamente así se comportan los dos #smishings. Exactametne de la misma manera. En el caso del del @bbva al llegar a la página de "login" si el agente de usuario no es un dispositivo móvil ya no muestra el contenido y salta directamente a Google.
⬇️
Read 19 tweets
b14ckh013 Profile picture
Oct 8
Vamos a ver si me da tiempo a sacar algo de esto.
Intento hacer hilo analizando los datos en tiempo real (cosa complicada) a medida que salgan datos. Así que paciencia, que hilo puede tardar en aparecer.
(hilo) 🧵
Como se trata de sacar datos, aquí es cosa de "tirar del hilo", como se suele decir. Así que vamos a por los datos. Sabemos que es un SMS, por lo tanto, es un #smishing no un #phishing como he dicho esta mañana, aunque en esencia es lo mismo. Solo cambia el envío.
⬇️
Partimos de un número de teléfono: +34 677 553 154
¿Qué sabemos de este teléfono?
Es de España.
Pertenece a la compañía Vodafone.
No tiene WhatsApp.
⬇️
Read 40 tweets
b14ckh013 Profile picture
Sep 13
El correo sigue siendo una de las vías principales de transmisión en infección del #malware porque aquí, aparte de la solución de seguridad que adopte la empresa, existe otro elemento: El usuario.
(hilo) 🧵
Y este usuario llevará a cabo, de bien seguro, todas las acciones que no te esperabas. Para empezar, clicar en enlace que claramente son sospechoso. Pero el orden de las cosas será:
1) Clicar
2) Ver que salen cosas raras
3) Avisar al departamento IT
🤷‍♂️
⬇️ Image
El correo anterior lo he recibido en una de mis cuentas empresariales. En el asunto, aparece el nombre de un antiguo cliente mío. En la lista de destinatarios está mi correo y el de otras personas que están en la agenda de correo de ese cliente y a las cuales no conozco.
⬇️
Read 29 tweets
b14ckh013 Profile picture
Jun 29
¿No os ha pasado nunca que lleváis unos días malos y necesitáis descargar energías negativas con alguien? Pero con alguien que se lo merezca, ¡¡¡claro!!! 😬
hilo de troleo a un scammer #scam #whatscam #whasapp ... 🧵
En realidad, se trata de transformar las vibraciones negativas en algo positivo. Ahí te descargas y ya ... 😎
⬇️
No es habitual, que conste, pero a veces me guardo algunos IOC's de cosas malas. En este caso me guardé el teléfono de un #scammer, por si algún otro día salía la oportunidad.
⬇️
Read 23 tweets
b14ckh013 Profile picture
Mar 31
Vaya, vaya, vaya. Parece que Elon Musk está en todos lados y me envían una invitación para vete a saber que... 😏
Un corto hilo sobre análisis de PDF.
🧵
El primer punto es analizar los datos del remitente y mirar las cabeceras. No voy a profundizar, pero con las direcciones de email que aparezcan ya tenemos unos cuantos indicadores que nos pueden servir más adelante. También vemos que hay un archivo PDF adjunto.
⬇️
Todo usuario debería sospechar que cualquier PDF adjunto, sobre todo si viene de un desconocido, o el nombre del PDF ya incita a que sea abierto.
Por supuesto, el usuario "de a pie" no es experto en esto, y se le debe de guiar en ciertas buenas prácticas.
⬇️
Read 12 tweets

Did Thread Reader help you today?

Support us! We are indie developers!

This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Don't want to be a Premium member but still want to support us?

Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal

Or Donate anonymously using crypto!

Ethereum

0xfe58350B80634f60Fa6Dc149a72b4DFbc17D341E copy

Bitcoin

3ATGMxNzCUFzxpMCHL5sWSt4DVtS8UqXpi copy

Thank you for your support!

Follow Us on Twitter!

Send Email!

Email the whole thread instead of just a link!

Separate emails with commas

:(