UNIVERSIDAD TÉCNICA DE MACHALA

UNIDAD ACADÉMICA DE INGENIERÍA CIVIL

CARRERA DE INGENIERÍA DE SISTEMAS

INFORME FINAL DE
AUDITORIA INFORMÁTICA

CURSO
10mo. SEMESTRE PARALELO “A” (PROMOCION # XIV)

ESTUDIANTE RESPONSABLE

BRYAN SANTIAGO RUIZ ABAD

DOCENTE RESPONSABLE

ING. RODRIGO MOROCHO ROMÁN, MG

PERIODO 2018 – I

MACHALA – EL ORO – ECUADOR

Contenido

1. Descripción del escenario de auditoria .............................................................................. 3

1.1. Amenaza ........................................................................................................................ 3
1.2. Vulnerabilidades............................................................................................................ 3
1.3. Topología ...................................................................................................................... 3
1.4. Dispositivos utilizados para el escenario: aplicaciones, sistemas operativos ................ 4
2. Descripción de las herramientas de auditoría a utilizar .................................................. 4
3. (Procedimiento de auditoria) Pruebas de auditoria ......................................................... 4
4. Resultados de auditoría ...................................................................................................... 8
5. Recomendaciones de control o controles ......................................................................... 12
6. Implementación del control (Procedimiento de la implementación del control) ......... 12
7. Resultados luego de la implementación del control ....................................................... 13
8. Riesgo residual ................................................................................................................... 13
9. Conclusiones ...................................................................................................................... 13
1. Descripción del escenario de auditoria

1.1. Amenaza
Al igual que cualquier dispositivo inteligente, un Smartphone se enfrenta a
amenazas ya sean de sistema o también por hardware, en relación con el
software se enfrenta a constantes amenazas que en varias ocasiones se dan por
el simple de hecho de descargar archivos, abrir un link, descarga de
aplicaciones, entre otros.
Metasploit permite acceder a los datos del dispositivo mediante la generación
de un link.
En este caso de estudio, la amenaza a la que se enfrenta el Smartphone es de
una aplicación móvil (apk) infectada con un troyano que permita tomar el
control del dispositivo.
1.2. Vulnerabilidades
Los dispositivos móviles a menudo mejoran sus sistemas para disminuir las
vulnerabilidades, porque no se puede asegurar que sea completamente seguro,
en este caso Android tiene más vulnerabilidades en versiones menores a la 6.0,
pero esto no quiere decir que las nuevas versiones no tengan vulnerabilidades.
Sin embargo, depende del usuario incrementar el nivel de seguridad por medio
de aplicaciones, pero no siempre es así, por ello la principal vulnerabilidad en
este caso es la falta o carencia de seguridad frente a la instalación de
aplicaciones con orígenes desconocidos.

1.3. Topología

Troyano

Troyano

Figura 1. Topología escenario de auditoría

 1.4. Dispositivos utilizados para el escenario: aplicaciones, sistemas operativos

 AhMyth
 Ngrok (ataque fuera de la red)
 Emkei
 Dispositivo móvil
 Sistema operativo Android

2. Descripción de las herramientas de auditoría a utilizar

AhMyth

Es un RAT (Remote Administration Tool), que crea una aplicación móvil (apk)
infectada con el famoso virus troyano, que permitirá el acceso a la información del
dispositivo móvil con sistema operativo Android.

Ngrok

Es una herramienta que nos permite crear túneles seguros hacia un servidor local.

Emkei

Es una página que permite enviar correos electrónicos simulando datos de alguna
organización o empresa, usado para ingeniería social.

3. (Procedimiento de auditoria) Pruebas de auditoria

Ataque local

Cuando la víctima se encuentra conectada en la misma red del atacante se realiza

lo siguiente:

 Abrimos nuestra herramienta AhMyth y ubicamos la ip del host que va a

realizar el ataque y un puerto habilitado.
Para saber que puerto está habilitado accedemos a la página
http://canyouseeme.org/ e ingresamos un puerto en este caso el 8080 está
habilitado para poder usarlo como se muestra en la Figura 2.
 Figura 2. Puertos disponibles

La ip so obtiene accediendo al cmd de nuestro pc, con el comando ipconfig,

Figura 3.

Figura 3. Comando para verificar ip de host

Ubicamos la ip y el puerto y se da clic en Build, esperamos unos minutos para

que nuestra apk sea generada, en nuestra herramienta AhMyth como lo
muestra la Figura 4.

Figura 4. Herramienta AhMyth

Accedemos a la ruta Figura 5, donde se generó la apk y la renombramos.

Figura 5. Ruta de almacenamiento de la apk generada

Ahora accedemos a https://emkei.cz/ Figura 6, para enviar nuestra aplicación

con un mensaje e ingresamos el correo de la víctima para poder enviar la apk
infectada.

Figura 6. Página para el envío de correos falsos

Una vez que se tiene cargada la apk se procede a enviar el anuncio falso a la
víctima.

Ataque fuera de la red local

Para realizar un ataque fuera de la red local es decir sin importar que la víctima
esté conectada en otra red, se realiza el mismo procedimiento anterior, pero se
usa ngrok para abrir un túnel hacia un servidor local, como lo muestra la
Figura 7.

Figura 7. Comando ngrok para generar túnel

Al ejecutar el comando anterior ngrok nos crea un túnel a un servidor local
para poder acceder a victimas fuera de la red, la Figura 8 muestra el puerto
habilitado por esta herramienta.

Figura 8. Puerto generado por ngrok

En AhMyth ubicamos de la siguiente manera, en el puerto ubicamos la ip de

ngrok y el puerto en el que apertura el túnel, Figura 9 muestra cómo se debe
posicionar los datos en la herramienta.

Figura 9. AhMyth ataque fuera de red local

4. Resultados de auditoría

Para que la víctima pueda ser atacada, debe instalar la apk y abrirla, a
continuación, se muestra cómo funciona el ataque.

Como se observa en la Figura 10, aparece el tipo de dispositivo, versión de

Android, puerto al que está conectado, entre otras cosas.

Figura 10. Panel de AhMyth con victimas atacadas

Al dar clic en Open The Lab podremos acceder al dispositivo y brinda las opciones
presentadas en la Figura 11.

Podemos grabar audio, acceder a la ubicación de la víctima, mensajes, archivos,

entre otros.

Figura 11. Panel de acceso de victimas AhMyth

Se pueden guardar los contactos de la víctima dando clic en Guardar, como lo
muestra la Figura 12.

Figura 12. Contactos de la victima

Se puede enviar un mensaje desde la víctima o a su vez guardar sus mensajes,

como lo muestran las Figuras 13 y 14.

Figura 13. Envío de mensajes desde el dispositivo de la victima

 Figura 14. Mensajes de la victima

Se puede observar también la localización de la víctima, como lo muestra la

Figura 15.

Figura 15. Ubicación de la victima

También podemos descargar información personal como imágenes accediendo a

los archivos mediante la lista de carpetas, como se muestra en la Figura 16 y 17.
 Figura 16. Datos de la victima

Figura 17. Acceso a una imagen de la victima

Al darle clic en el icono de guardar, se descargan los archivos, tal y como lo

muestra la Figura 18.

Figura 18. Archivos obtenidos de la victima

 La víctima fue atacada satisfactoriamente se pudo acceder a los datos personales,
sin embargo, se debe informar y aconsejar que se tomen las medidas
correspondientes para evitar este tipo de ataques.

5. Recomendaciones de control o controles

 El tipo de ataque ejecutado es realizado mediante la inyección de un virus

(troyano), la play store de Android proporciona un sin número de apps (antivirus)
útiles para proteger al dispositivo también de este tipo de ataques.

 Evitar la instalación de apps (apk) de orígenes desconocidos es importante para

cuidar la integridad de nuestra información, en muchas ocasiones este tipo de
aplicaciones suelen venir con virus difícil de detectar y por ende ser víctima de un
ataque informático.

6. Implementación del control (Procedimiento de la implementación del control)

 Se puede instalar la app que se muestra en la Figura 19, esta aplicación permite
proteger al dispositivo móvil de ataques maliciosos, en la mayoría de dispositivos
no viene integrado la seguridad contra este tipo de ataques es así que la opción
más viable es instalar este tipo de apps, cabe recalcar que debe ser una app de play
store y no de orígenes desconocidos.

Figura 19. App para detectar apps maliciosas

7. Resultados luego de la implementación del control

Una vez instalada la app, se procede a comprobar si la victima está protegida

contra el ataque de apps maliciosas (troyano), como se muestra en la Figura 20.

Figura 20. Mensaje de alerta app maliciosa

Deja instalar la aplicación, pero cuando es ejecutada la detecta como maliciosa y

recomienda desinstalarla, así el atacante no puede acceder a la información del
dispositivo.

8. Riesgo residual
Este tipo de ataque puede ser blindado con una aplicación de cualquier tipo, siendo
poco probable la detección del virus, lo que conlleva al atacante aprovechar las
vulnerabilidades del dispositivo y así obtener información personal.
9. Conclusiones

 Los dispositivos móviles presentan vulnerabilidades como cualquier otro

dispositivo tecnológico, si bien con cada actualización se busca protegerlos, hay
que tomar en cuenta que también son actualizados los métodos para robar su
información.

 Existen varios modos para obtener información de victimas de dispositivos

móviles con sistema operativo Android, sin embargo, los más conocidos son:
generar una app (troyano) y generar un link (metasploit).

 Actualmente la app contaminada puede vulnerar cualquier versión de Android si

el mismo no cuenta con un antivirus, mientras que el link (metasploit) vulnera
versiones inferiores a 5.3 pero se revisando información en comunidades de
hacking ético, se está trabajando para vulnerar versiones superiores a 5.3.

 Las apps de orígenes desconocidos son potencialmente peligrosas debido a que

no cuentan con la verificación oficial de la Play Store.