Cómo hacer MiTM para inspeccionar el tráfico HTTPS de un APK malicioso de Android

Dado que la depuración de APKs de terceros es complicada y el reversing de APKs muy ofuscados es extremadamente difícil, nuestra siguiente mejor opción es dejar que el APK se ejecute para ver cómo se comporta. Cuando hacemos este tipo de análisis dinámico, buscamos principalmente qué tipos de permisos solicita el APK y qué llamadas hace.

Lamentablemente, la mayoría del malware hoy en día utiliza HTTPS para sus callbacks. Eso hace que la inspección del tráfico de la red sea imposible con un sniffer como Wireshark o tcpdump sin algún tipo de técnica de MiTM.

Ser capaz de inspeccionar el tráfico de red de la muestra de malware de turno proporciona indicadores de compromiso (IOC) vitales para el triage de los analistas y proporciona a los reversers información contextual que les ayuda a centrarse en las rutinas clave dentro del APK.

En este video tutorial, podemos ver cómo utilizar la herramienta MITMProxy en Kali Linux para interceptar y descifrar el tráfico IPV4/IPV6 de un emulador de Android que ejecuta malware APK.

Herramientas necesarias

• Software de virtualización (VMware, Virtualbox, Qemu)
• Kali Linux
• Android Studio
• MITM Proxy (preinstalado en Kali Linux)
• MITMProxy Startup Script (script de inicio opcional de ringzerolabs)

Fuente: https://www.ringzerolabs.com/2020/10/man-in-middle-android-apk-network.html