El Mobile Hacking Space es una comunidad creada por y para entusiastas de la seguridad mobile. Es un punto de encuentro para desarrolladores, pentesters e investigadores donde poder compartir conocimiento y aprender más sobre seguridad en sistemas móviles. Organizamos actividades como charlas, CTF, hackatones y workshops durante todo el año. ¡Síguenos en nuestras redes sociales y entérate de las últimas novedades!



Image

Inicial
Avanzado
Time Zone: GMT-3
Día
10:30
11:00
11:30
12:00
12:30
13:00
13:30
14:00
14:30
15:00
15:30
16:00
16:30
17:00
17:30
18:00
18:30
19:00
19:30
Jueves 24
Viernes 25
Sábado 26
10:30 - Mobile Hacking Tips - 30'
11:00 - Presentacion del espacio Mobile Hacking Space - 30'
11:00 - Cómo armar tu laboratorio para análisis de APK - 120'
13:30 - Mobile Hacking Tips - 30'
13:00 - iOS App Analysis, ¿por dónde empiezo? - 60'
Lunch break
Lunch break
18:30 - Malware injection on Android Apps - 45'
11:00 - iOS App Analysis, ¿por dónde empiezo? - 60'
12:00 - Becoming Malicious: Android Chapter - 45'
13:00 - OWASP Mobile Project and how to use it for white hat hacking - 45'
14:30 - Hackeando Aplicaciones móviles de ¿Seguridad? - 45'
15:15 - Malware injection on Android Apps - 45'
16:30 - Exploiting Android deep links and exported components - 45'
17:15 - Android COVID-19 threats - 45'
18:30 - Cierre del espacio Mobile Hacking Space, entrega de premios - 30'

Image

 

Exploiting Android deep links and exported components
Android applications are treasure chests of potential vulnerabilities waiting to be discovered. This talk will give a brief introduction about essential tools, the Android ecosystem, and methodology. The main focus will be on how to exploit exported Android components and deep links with examples provided to demonstrate exploit concepts and attack vectors. Track TBD - English

Image

 

Android COVID-19 threats
This presentation will provide an overview of various Android threats that were distributed in the first half of 2020 while abusing a COVID-19 theme. I will discuss distribution vectors of various malicious campaigns covering spyware, ransomware, an SMS worm, banking trojans, adware, malicious tracking apps, fake government apps, etc. These threats tried to exploit vulnerable users in this pandemic situation by impersonating coronavirus trackers, government apps, coronavirus symptom identifiers, financial loss compensation claims, fake Zoom apps, and others. For the banking trojan, I have prepared a video demonstration from a campaign that was distributed in Italy and displays a victim device browsing a malicious website, downloading malware and exfiltrating the victim’s data. In addition, I will demonstrate newly discovered Android ransomware impersonating an official COVID-19 tracing app. When I analysed this threat, I found a vulnerability that allowed for the creation of a decryption tool which is also demonstrated. Track TBD - English

Image

 

iOS App Analysis, ¿por dónde empiezo?
Se buscará cubrir los casos básicos necesarios para poder comenzar a auditar una aplicación en iOS, partiendo desde lo general del sistema, siguiendo con cómo realizar un Jailbreak, formas para instalar una app que se quiere analizar, cómo analizar tráfico de red y la información interna generada por la aplicación. También se evaluará si es posible llegar al código de la aplicación y se verá el uso de algunas herramientas útiles. No hacen falta requisitos ni conocimientos previos para poder seguir el contenido. Track TBD - Español

Image

 

Becoming Malicious: Android Chapter
La charla consta de 2 partes, la primera consiste en la descripción de los componentes de una aplicación móvil y cómo explotarlos individualmente. La segunda parte trata sobre el abuso avanzado de estos componentes y cómo construir un agente malicioso para Android. Track TBD - Español

Image

 

Mobile Hacking Tips
En esta pequeña charla se mostrarán algunos tips y trucos que nos ayudarán a la hora de testear una app móvil, y que pueden ahorrarnos algún que otro dolor de cabeza. Track TBD - Español

Image

 


Malware injection on Android Apps
Have you ever wondered how to inject malicious code on any APK? In this talk you will learn how to create malicious code, tamper any existing APK and bypass some security checks. In this talk we will approach the basic concepts of Android malware, including how it works, what actions it executes and pieces of code as examples. Some of them include: trojans, C2, spyware and phishing. Also we will present different techniques about injecting the malware by smali edition, manual and automated injection with some tools. Additionally, we will go through evasion techniques in order to find out what happens when detection tools try to analyze the sample. Examples of methods to avoid being detected will be shown, reviewing the common techniques. Finally, we will finish showing the results of behaviours of sample malware on real devices. Track TBD - Español

Image

 

OWASP Mobile Project and how to use it for white hat hacking
Hablaré de dos de los proyectos más importantes de OWASP en cuanto a la seguridad móvil y cómo pueden ayudarte a probar el nivel de seguridad de una aplicación. El Estándar de Verificación de Seguridad de Aplicaciones Móviles (MASVS) de OWASP es, como su nombre lo indica, un estándar para la seguridad de aplicaciones móviles. Puede ser utilizado por arquitectos y desarrolladores de software que buscan desarrollar aplicaciones móviles seguras, pero también puede ser utilizado por los expertos en seguridad para comprobar el nivel de seguridad o para garantizar la integridad y la coherencia de los resultados de las pruebas, dependiendo de si participaron en el proceso de desarrollo. Mientras que la Guía de Pruebas de Seguridad Móvil (MSTG) de OWASP es un manual completo de pruebas de seguridad en aplicaciones móviles e ingeniería inversa tanto para iOS como para Android. Este proyecto proporciona a los expertos en seguridad móvil casos de prueba detallados para el análisis tanto estático como dinámico, algunas herramientas recomendadas y podría ayudarnos a realizar ingeniería inversa y a manipular una aplicación móvil. Hablaré sobre cómo utilizar ambos proyectos para mejorar sus habilidades en las pruebas de seguridad para aplicaciones móviles. Track TBD - Español

Image

 

Hackeando Aplicaciones móviles de ¿Seguridad?
Las aplicaciones móviles destinadas a la seguridad como applockers, control parental, anti-theft protegen los dispositivos móviles de cibercriminales. En esta charla, demuestro como este tipo de aplicaciones son vulnerables con 3 casos reales aplicando ingeniería inversa e instrumentación dinámica. Track TBD - Español

Image

 

Cómo armar tu laboratorio para análisis de APK
El contenido que se mostrará incluye desde una pequeña introducción con los diferentes tipos de apps android que existen, análisis de manera manual y automaticos. Así como las medidas de protecciones que se pueden encontrar cuando se está realizando un pentesting. Track TBD - Español




Juan Urbano Stordeur

Image

Juan es un consultor de seguridad informática, se ha especializado sus últimos 5 años de carrera en aplicaciones móviles. Actualmente trabaja como consultor independiente analizando aplicaciones en Android/iOS. Participa activamente en proyectos de mobile, es orador, dicta capacitaciones y tiene a cargo el módulo de mobile de la Diplomatura de Seguridad Informática de la UTN.

Jorge Mac Tier

Image

Jorge Mac Tier es un Sr. Specialist - Mobile Application Security en el equipo de Vulnerability Management dentro de Deloitte. Desde sus inicios dentro de la seguridad fue un entusiasta de las seguridad de apps en dispositivos móviles. En el último año se encontró focalizado en la revisión de aplicaciones y research de nuevas técnicas o metodologías tanto para Android como iOS.

Denise Giusto Billic

Image

Denise Giusto Bilic es Ingeniera en Sistemas de Información egresada de la Universidad Tecnológica Nacional de Argentina. Actualmente, trabaja como Security Researcher en ESET Latinoamérica, donde desarrolla actividades de investigación y concientización. Denise se especializa en seguridad móvil e IoT, realizando tanto análisis de malware como pentesting de aplicaciones. Ha participado como speaker en conferencias internacionales, eventos corporativos y cursos académicos.


Juan Martinez Blanco

Image

Juan Martínez Blanco es desarrollador de Android en la agencia gubernamental AFIP y entusiasta de la seguridad móvil.

César Rodriguez

Image

César trabaja como Security Researcher en Faraday. Se dedica principalmente a hacer assessment de seguridad en aplicaciones web y mobile. Tiene un background de desarrollo en Java, por lo que le resulta natural el entorno de aplicaciones Android. Le encanta hacer research sobre técnicas o formas de mejorar el proceso de penetration testing sobre Android, y entender cómo funciona el ecosistema Android. Hace tres años da el training de explotación de Aplicaciones Android en la Ekoparty.