Domanda Malware Packet capture e virus

Android2

Utente Iron
24 Gennaio 2022
12
5
0
7
Ultima modifica:
Se un telefono android (no wifi solo dati SIM, con DNS apparentemente regolare) è infettato da un virus, per capirlo è un modo valido lasciare acceso un packet capture o può essere raggirato?

Come si fanno a vedere le connessioni in entrata?
 

0xbro

Moderatore
24 Febbraio 2017
3,904
150
2,781
1,525
Se un telefono android (no wifi solo dati SIM, con DNS apparentemente regolare) è infettato da un virus, per capirlo è un modo valido lasciare acceso un packet capture o può essere raggirato?

Come si fanno a vedere le connessioni in entrata?
Sicuramente è una strada valida, ma buona fortuna nell'analizzare tutte le connessioni effettuate e ricevute dal telefono. Personalmente reputo che i malware su Android siano piuttosto rari e "poco impattanti", cosa ti fa credere di aver un virus sul cellulare? Inoltre il dispositivo è rootato?
 

Android2

Utente Iron
24 Gennaio 2022
12
5
0
7
Ultima modifica:
Sicuramente è una strada valida, ma buona fortuna nell'analizzare tutte le connessioni effettuate e ricevute dal telefono. Personalmente reputo che i malware su Android siano piuttosto rari e "poco impattanti", cosa ti fa credere di aver un virus sul cellulare? Inoltre il dispositivo è rootato?
Non è rootato, ma per packet Capture tu cosa hai inteso? Perché per esempio usando dal telefono l'app "netcapture" non mostra tanto traffico, forse perché tralascia quello delle app di sistema (?) O che altro.

Tu intendi catturare il traffico da un secondo device in una lan?

Per esempio mi pare di aver capito che alcuni virus tipo i rootkit non appaiono nel traffico dati (?) registrando il traffico direttamente dallo smartphone

Ma se il dispositivo non è rootato un eventuale virus non può insidiarsi nel sistema operativo di android (il virus che infetta l'os sarebbe un rootkit?) ma solo su un apk, giusto..?

È possibile che un device android non rootato dopo un hard reset abbia ancora un virus persistente?

Se il cellulare si lascia fermo con la connessione attiva e si disattiva tutto quello che si può, magari installando anche un firewall, allora non dovrebbero esserci una marea di connessioni, se per esempio si usa solo per navigare su YouTube non dovrebbe essere difficile vedere eventuali pacchetti sospetti o no?
 

0xbro

Moderatore
24 Febbraio 2017
3,904
150
2,781
1,525
Non è rootato, ma per packet Capture tu cosa hai inteso? Perché per esempio usando dal telefono l'app "netcapture" non mostra tanto traffico, forse perché tralascia quello delle app di sistema (?) O che altro.

Tu intendi catturare il traffico da un secondo device in una lan?

Per esempio mi pare di aver capito che alcuni virus tipo i rootkit non appaiono nel traffico dati (?) registrando il traffico direttamente dallo smartphone

Ma se il dispositivo non è rootato un eventuale virus non può insidiarsi nel sistema operativo di android (il virus che infetta l'os sarebbe un rootkit?) ma solo su un apk, giusto..?

È possibile che un device android non rootato dopo un hard reset abbia ancora un virus persistente?

Se il cellulare si lascia fermo con la connessione attiva e si disattiva tutto quello che si può, magari installando anche un firewall, allora non dovrebbero esserci una marea di connessioni, se per esempio si usa solo per navigare su YouTube non dovrebbe essere difficile vedere eventuali pacchetti sospetti o no?
Sorry mi sono confuso con i log del cell che sono davvero tantissimi -.-

Comunque l'idea del controllare il traffico di rete e i pacchetti ha senso, però non tutti i malware comunicano con l'esterno, perciò a volte non è possibile identificarli in questo modo. Anyway non avendo i privilegi di root sul telefono non c'è modo che un malware si diffonda proprio grazie al sistema di isolamento implementato da android dove ogn app può accedere solamente al proprio spazio di memoria fisica e ai propri processi.

Se hai fatto un hard reset comunque vai più che tranquillo
 

Android2

Utente Iron
24 Gennaio 2022
12
5
0
7
Sorry mi sono confuso con i log del cell che sono davvero tantissimi -.-

Comunque l'idea del controllare il traffico di rete e i pacchetti ha senso, però non tutti i malware comunicano con l'esterno, perciò a volte non è possibile identificarli in questo modo. Anyway non avendo i privilegi di root sul telefono non c'è modo che un malware si diffonda proprio grazie al sistema di isolamento implementato da android dove ogn app può accedere solamente al proprio spazio di memoria fisica e ai propri processi.

Se hai fatto un hard reset comunque vai più che tranquillo
Cosa sono i log del cellulare?

Sai quale app per android fa vedere tutto il traffico in entrata e in uscita?

In che senso il malware può non comunicare all'esterno? Che "registra" e poi viene preso il registrato da una connessione in entrata intendi?

Ma per esempio, per funzionare Google chrome su android come connessioni necessita solamente di system per i DNS e l'app Google chrome o ci sono altre connessioni (intendo traffico in entrata/uscita) che avvengono? Perché provando da netcapture risultano solo questi traffici, forse non registra le app di sistema (?)
 

0xbro

Moderatore
24 Febbraio 2017
3,904
150
2,781
1,525
Cosa sono i log del cellulare?

Sai quale app per android fa vedere tutto il traffico in entrata e in uscita?
No, non ne ho idea. In teoria basterebbe settare un proprio pc come proxy e utilizzarlo per monitorare le connessioni (per esempio facendo passare il traffico tramite burpsuite)

In che senso il malware può non comunicare all'esterno? Che "registra" e poi viene preso il registrato da una connessione in entrata intendi?
Che non tutti i malware sono programmati per comunicare verso l'esterno o ricevere comandi da remoto. Se un malware è programmato per inserire della pubblicità nella tua navigazione probabilmente non comunicherà con l'esterno... dipende cosa fa il malware e com'è stato programmato

Ma per esempio, per funzionare Google chrome su android come connessioni necessita solamente di system per i DNS e l'app Google chrome o ci sono altre connessioni (intendo traffico in entrata/uscita) che avvengono? Perché provando da netcapture risultano solo questi traffici, forse non registra le app di sistema (?)
Google chrome è un browser quindi farà una o più connessioni per ogni sito in cui navighi. Quando vai su google farà una HTTP request a google.com, dopodichè se vai su YouTube farà una o più request a youtube.com e via dicendo. Le basi del protocollo HTTP. Probabilmente non le vedi perchè sono in HTTPS, e quindi criptate, oppure perchè l'app non ha abbastanza privilegi... Non saprei. Android è un sistema abbastanza complesso, ci ho smanettato un po' ma non lo conosco ancora così bene. Forse è necessario fare il certificate un-pinning, cosa molto complessa sui sistemi Android moderni (dal 6.0 in poi), percui non so dirti con esattezza.

Sta di fatto che se fai un hard-reset vai tranquillo. Non hai ancora detto cosa ti fa pensare di aver un malware sul cellulare
 

Android2

Utente Iron
24 Gennaio 2022
12
5
0
7


No, non ne ho idea. In teoria basterebbe settare un proprio pc come proxy e utilizzarlo per monitorare le connessioni (per esempio facendo passare il traffico tramite burpsuite)


Che non tutti i malware sono programmati per comunicare verso l'esterno o ricevere comandi da remoto. Se un malware è programmato per inserire della pubblicità nella tua navigazione probabilmente non comunicherà con l'esterno... dipende cosa fa il malware e com'è stato programmato


Google chrome è un browser quindi farà una o più connessioni per ogni sito in cui navighi. Quando vai su google farà una HTTP request a google.com, dopodichè se vai su YouTube farà una o più request a youtube.com e via dicendo. Le basi del protocollo HTTP. Probabilmente non le vedi perchè sono in HTTPS, e quindi criptate, oppure perchè l'app non ha abbastanza privilegi... Non saprei. Android è un sistema abbastanza complesso, ci ho smanettato un po' ma non lo conosco ancora così bene. Forse è necessario fare il certificate un-pinning, cosa molto complessa sui sistemi Android moderni (dal 6.0 in poi), percui non so dirti con esattezza.

Sta di fatto che se fai un hard-reset vai tranquillo. Non hai ancora detto cosa ti fa pensare di aver un malware sul cellulare
Ma e' sicuro al 100% che su un dispositivo android senza root, con l'hard reset viene eliminato ogni eventuale virus?

Cioe' non esistono/sono mai esistiti exploit o altro per modificare l'os di ripristino o modi simili per far persistere l'infezione?
 

0xbro

Moderatore
24 Febbraio 2017
3,904
150
2,781
1,525
Ma e' sicuro al 100% che su un dispositivo android senza root, con l'hard reset viene eliminato ogni eventuale virus?

Cioe' non esistono/sono mai esistiti exploit o altro per modificare l'os di ripristino o modi simili per far persistere l'infezione?
Non che io sappia, e anche se esistessero avrebbero un valore pari o superiore a milioni di dollari e sarebbero appunto 0day, cioè exploit non disponibili pubblicamente ma riservati ad un'elite molto ristretta. Non verrebbero nemmeno sprecati contro "persone normali" perché tali exploit vengono usati per scopi d'intelligence/militari e rischiare di farli conoscere ai vendor ne comprometterebbe il prezzo e la vendita. Perciò la risposta è che ne sono sicuro al 99.99%