Программно-аппаратный комплекс для работы с Android-вирусами, используемый в операторе связи. Помогает выявлять мошеннические схемы и выстраивать защиту абонентов на основе получаемых данных Honeypot and sandbox for Android malware in CSP's network that helps to reveal and disclose fraud schemes, build subscriber protection based on its data and etc.

1. Есть ли вирусы для Android?
NOPE NOPE NOPE NOPE

2. Противодействие
платёжному фроду на
сети оператора связи
Денис Горчаков (Альфа-Банк), ex-МТС
Николай Гончаров, МТС

3. История вопроса
PHDays III:
Мошенничество
в SMS-банкинге
ZeroNights 2014:
Противодействие
ВПО для мобильных
устройств на сети
оператора.
Android Honeypot в
антифроде
РусКрипто 2015:
Расследование
инцидентов,
связанных с
мобильными бот-
сетями и
вредоносным ПО
AntiFraud Russia-2014:
Актуальные угрозы
фрода в отношении
абонентов сотовых
сетей связи. Выявление
мобильных бот-сетей

4. Обстановка
 Android занимает около 80% рынка.
 Крупнейшие антивирусные лаборатории
относят Россию к числу лидеров по
распространённости и направленности
Android-вирусов.
 Схожая статистика по банковским вирусам, в
том числе мобильным.
 Android Security Report 2015: уровень
распространения вредоносного ПО в России
в 3-4 раза выше среднего.

5. IOS и WinPhone
 Существует всего несколько примером вредоносов.
 Растущая популярность IOS и WinPhone заставляет
злоумышленников обращать на них внимание.
 До недавнего времени считалось, что на WinPhone можно
установить приложение только из легального приложения, но был
обнаружен способ установки приложений в обход магазина.
 Существует несколько прототипов зловредов, которые умеют
похищать данные из телефонной книги, фотографии, читать SMS
пользователя и красть прочую приватную информацию из
смартфона.
 Глобальных случаев распространения и заражения WinPhone
пока не было, но возможно всё ещё впереди.
Обстановка с WinPhone:

6. IOS и WinPhone
Троян AppBuyer (IOS с джейлбрейком)
 Крадет логин и пароль от Apple ID и передает их на сервер
злоумышленника, после чего тот может совершать покупки в App Store с
чужого аккаунта.
Приложение AdThief (IOS с джейлбрейком)
 Распространялось из альтернативного(пиратского) магазина
приложений.
 Работает практически незаметно — вред этой утилиты направлен на
разработчиков приложений, использующих рекламу для монетизации.
Wirelurker(IOS без джейлбрейка)
 Атакует iOS-устройства при подключении к компьютеру Mac по USB.
Masque Attack(IOS без джейлбрейка)
 Абонент получает сообщение со ссылкой на зараженное приложение и
игру (которой нет в App Store).
 Вирус заменяет собой какое-либо стороннее приложение, но
пользователь ничего не замечает — оно выглядит и функционирует
точно так же, как настоящее.
Обстановка с IOS:

7. Способы монетизации
 Со счёта абонента: контент-услуги и
сервисы мобильных платежей.
 С привязанных к номеру сервисов:
услуги ДБО (SMS, USSD), платёжные
системы.
 Блокировщики: crypto / PIN.
 Нецелевое использование устройств:
спам-рассылки, DDoS, прокси для
мошеннической деятельности, SEO.

8. Бот-сети
 Прежняя методика “hit`n`run” всё реже.
 Большинство вирусов – полноценные
клиенты ботнетов: статистика, наборы
команд, удалённое управление (head &
headless).
 Для противодействия мошенническим схемам
можно использовать адаптацию
отработанных технологий противодействия
компьютерным ботнетам к мобильным
угрозам.

9. Угрозы
 Похищение персональных и конфиденциальных данных.
 Фишинг.
 Рассылка спама.
 Анонимный доступ в Сеть.
 Кибершантаж и осуществление DDoS-атаки.
 Получение сведений о местоположении конкретного человека.
 Похищение денег, в том числе используя мобильную
коммерцию и контент-услуги
~50 тыс. новых жертв ежемесячно в одном регионе.
~ 3,5 млн. рублей – денежные потери в месяц от действия бот-сетей
направленных на абонентов по одному региону.

10. Каналы управления
 HTTP(S): C&C центры управления,
регулярное обращение. Dynamic / Fast
Flux.
 SMS: приём команд с заданных
номеров или по заданному шаблону.
 Google Cloud Messaging / push:
получение команд через сервисы
Google. Удобно в случае отказа каналов
HTTP и SMS.

11. Собираемые данные
 Домены и IP: С&C центры управления,
адреса распространения ВПО.
 Сведения о формате и составе
передаваемых данных на C&C.
 MSISDN (тел. номера) – центры управления,
коллекторы данных, аккумуляторы денежных
средств.
 Идентификаторы подписок и получателей
для контент-услуг и платёжных сервисов.

12. Антиотладочные приёмы
 Контроль IMEI, IMSI для исключения
вызывающей подозрение тарификации
и фильтрации/блокировки устройств.
 Геолокация (GPS, Wi-Fi, сотовая сеть).
Исключение по SSID, Cell ID, району.
 Вариация задержек и сумм для обхода
правил мониторинга. Суточная
задержка после заражения.
 Обфускация: ProGuard.

13. Антиотладочные приёмы
 Администратор устройства:
блокировка, стирание, использование
особенностей интерфейса.
 ROOT: проверка наличия и попытка
использования. root-exploit’ы для
недорогих устройств MediaTek.
 Подгрузка вредоносного APK после
установки «безобидного» загрузчика.

14. Антиотладочные приёмы
 Проверка наличия подключённых
сервисов и услуг не только по истории
SMS, но и через отправку тестовых
сообщений на короткие номера
оператора, банков, платёжных систем.
 Блокировка абонентских вызовов на
справочные номера: нельзя оперативно
пожаловаться в службу поддержки,
заблокировать свой счёт, карту.

15. Забавные факты
HTTP stat (IMEI, IMSI, баланс)
1. Plaintext: domain/gate.php?imei=<>&imsi=<>&bal=<>
2. BASE64: domain/gate.php?data=YW55IGNhcm5hbCB…
3. BASE64 с модифицированным алфавитом
Защита от антивируса
class kavfucker
{
… (“GetDeviceAdmi” + ”n”)
}

16. Виртуализация? Отладка?

17. Вдобавок…
 Экспертный анализ кода и разбор поведения в эмуляторе
не обеспечивают полноты собираемых данных.
 Существует немало утилит и библиотек для отладки
Android-приложений, однако большинство из них носит
любительский характер и забрасывается авторами.
Велика сложность доработки и стоимость разработки
силами ИБ-подразделения.
 Основная цель – сбор данных. Нас не интересует взлом и
реверс-инжиниринг вредоносного ПО.
 Используются доступные ресурсы оператора связи – SIM-
карты, смартфоны, сотовая сеть. Снижается стоимость
разработки комплекса и увеличивается акцент на
аналитическую работу.

18. Архитектура
Стенд мобильных устройств
Server WEB-интерфейс
анализатор
Аналитик
Internet
Дополнительные
источники информации
Отчет

19. Мобильный анализатор
Android Phone
Приложения
VK
Opera
Bot
WWW
Server
БД
Анализатор

20. Работа анализатора

21. Botnet monitoring

22. Botnet monitoring

23. Trojan-SMS.Podec
* - Подробное описание вредоноса: http://securelist.ru/analysis/obzor/25249/sms-troyanec-obxodit-captcha/

24. Trojan-SMS.Podec

25. Trojan-SMS.Podec

26. Trojan-SMS.Podec

27. Подключённые услуги

28. Схема интеграции

29. Защитные меры
Скачать
антивирусное
приложение

30. Типичная схема

31. CERT
Оператор А
Оператор B
Оператор C
Оператор D
Server
БД
ASMONIA: http://asmonia.de/deliverables/D4.3_Methods_for_Collaborative_Detection_and_Analysis.pdf

32. Спасибо за внимание!
Thank you for your attention!
Гончаров Николай
nogoncha@mts.ru
Горчаков Денис
dgorchakov@alfabank.ru