Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Ataque Presente, 
Defensa Continua 
Shuabang Botnet: 
Botnet en Google Play 
para hacer Black ASO 
Chema Alonso 
(@chemaal...
Malware en smartphones 
• Android 
• Permisos {user interactions} 
• Google Play 
• Markets Third-party 
• Rooted 
• iPhon...
iOS: WireLurker & Masque
Shuaban Botnet en Google 
Play 
• Más de 300 apps creadas para infectar dispositivos 
• 100 maliciosas {resto en actualiza...
Black ASO {App Store 
Optimization} 
• Black App Store Optimization 
• Posicionamiento de Apps en Markets 
• Spam 
• Desca...
ShuaBang en Google Play
Usuario parea un dispositivo: 
OpenID Connect
Usuarios robados
Usuarios creados 
automáticamente
Pareo de cuentas en 
dispositivos 
• Usuario Google se autentica con OpenID 
Connect. 
• Recibe Token de autenticación 
• ...
Apps hacen tareas 
• Crear la cuenta desde el mismo dispositivo. 
• Utilizar una cuenta de Google ya existente y 
presenta...
Pareo de cuentas a 
dispositivos
Cuentas para Shuabang en 
Google Play 
• Asociar un identificador del dispositivo a la 
cuenta. 
• El dispositivo Android ...
Shuaban Botnet 
• Fundamentalmente, lo que ha conseguido 
es que sus víctimas realicen dos acciones: 
• Asociar cuentas a ...
Shuaban Botnet: 
Dispositivos de una cuenta
Esquema 
botnet 
1- El atacante recupera un token de 
seguridad que vincula una cuenta de 
usuario (fake) con un dispositi...
Cuentas para Shuabang sobre 
Google Play 
• Esta botnet es un sofisticado 
sistema por el que un atacante es 
capaz de, a ...
No necesario muchos 
privilegios
ShuaBang Botnet: 
Tokens y víctimas 
• Con este esquema de asociación de 
cuenta y dispositivo real, el atacante 
se ha po...
ShuaBang Botnet: 
Asociación de Apps
Shuaban Botnet: Control 
Panel
Shuaban Botnet: Control 
Panel
Shuaban Botnet: Facts 
- Obtención de 12.567 cuentas de Google 
- Entendimiento del sistema de registro de 
dispositivos 
...
Codename “Path 5” 
• ElevenPaths ha podido determinar cómo, 
desde cuándo y con qué métodos se ha 
cometido el fraude, ade...
Codename “Path 5” 
“Path 5” Big Data
Codename “Path 5”: Demo “yu 
jinhui”
ShuaBang Botnet: Análisis 
• Empezamos a ver cosas en común: 
• El desarrollador siempre usa correos: 
• @yeah.net 
• @163...
ShuaBang Botnet: Análisis 
• Referencias a sitios de puntuación de apps en 
Chin 
• Mismo domino se puede encontrar un adw...
ShuaBang Botnet: Análisis 
• Para ir más allá de la enumeración de 
aplicaciones nos planteamos como objetivo 
identificar...
ShuaBang Botnet: Análisis
ShuaBang 
Botnet: 
Análisis 
• A partir del 
certificado es 
posible hacerse una 
idea de la posible 
procedencia del 
des...
ShuaBang Botnet: Análisis 
• Si acudimos al campo de la web del 
desarrollador podremos extraer el 
dominio vinculado con ...
Codename “Path 5” 
• Big Data Apps 
• Archivado 
• Indexado 
• Metadatos 
• Entorno 
• Markets 
• Mobile Devices 
• Smart ...
¿Preguntas? 
• Chema Alonso 
• @chemaalonso 
• https://www.elevenpaths.com 
• http://www.slideshare.net/elevenpaths/s 
hua...
Upcoming SlideShare
Loading in …5
×

Shuabang Botnet

33,947 views

Published on

Talk delivered by Chema Alonso in CyberCamp ES 2014 about Shuabang Botnet discoverd by Eleven Paths. http://www.slideshare.net/elevenpaths/shuabang-with-new-techniques-in-google-play

Published in: Technology
  • Be the first to comment

Shuabang Botnet

  1. 1. Ataque Presente, Defensa Continua Shuabang Botnet: Botnet en Google Play para hacer Black ASO Chema Alonso (@chemaalonso) Eleven Paths www.elevenpaths.com
  2. 2. Malware en smartphones • Android • Permisos {user interactions} • Google Play • Markets Third-party • Rooted • iPhone • Code-Signing • App Store • Jailbreak • Cydia • 3p-markets
  3. 3. iOS: WireLurker & Masque
  4. 4. Shuaban Botnet en Google Play • Más de 300 apps creadas para infectar dispositivos • 100 maliciosas {resto en actualizacones} • Cada 10 mins conectan al C&C • 12.500 cuentas creadas de Google Play • No todas asociadas aún • Cada cuenta asociada a entre 10 – 30 Android • Cuenta original permanece a salvo • Realiza acciones de: • Click-Fraud • BlackASO • Creación de usuarios • Comentarios • Asociación de apps • Descarga de apps simuladas
  5. 5. Black ASO {App Store Optimization} • Black App Store Optimization • Posicionamiento de Apps en Markets • Spam • Descargas • Valoraciones • Objetivo: • Construir infraestructura automatizada • Venta de infraestructura a terceros • Extender la botnet
  6. 6. ShuaBang en Google Play
  7. 7. Usuario parea un dispositivo: OpenID Connect
  8. 8. Usuarios robados
  9. 9. Usuarios creados automáticamente
  10. 10. Pareo de cuentas en dispositivos • Usuario Google se autentica con OpenID Connect. • Recibe Token de autenticación • Se derivan tokens de acceso a servicios
  11. 11. Apps hacen tareas • Crear la cuenta desde el mismo dispositivo. • Utilizar una cuenta de Google ya existente y presentarse en el mismo dispositivo con el que se quiere asociar.
  12. 12. Pareo de cuentas a dispositivos
  13. 13. Cuentas para Shuabang en Google Play • Asociar un identificador del dispositivo a la cuenta. • El dispositivo Android aparecerá como dispositivo asociado a la cuenta en el panel de configuración • Adcet uGaolmoegnlete P elas yp.osible conseguir, de forma masiva, el registro y la asociación con dispositivos programáticamente, realizando las llamadas a los servidores de Google y proporcionándole la información necesaria.
  14. 14. Shuaban Botnet • Fundamentalmente, lo que ha conseguido es que sus víctimas realicen dos acciones: • Asociar cuentas a dispositivos de forma automática y así conseguir tokens. • Utilizar esos tokens de forma distribuida para simular descargas. • Esto lo hace distribuyendo aplicaciones malware a través del propio Google Play
  15. 15. Shuaban Botnet: Dispositivos de una cuenta
  16. 16. Esquema botnet 1- El atacante recupera un token de seguridad que vincula una cuenta de usuario (fake) con un dispositivo concreto y lo envía al malware instalado en el dispositivo. 2 -Desde el malware se realiza el check in en Google Play usando este token 4 - Si el token es válido, el atacante proporciona un nombre de usuario y una password al malware. 5 - Desde el malware instalado en el dispositivo se envían las credenciales y se hace el upload de la configuración del dispositivo. 6 - Si las credenciales son correctas, Google Play devuelve un nuevo token de seguridad como respuesta. 8 - Con este nuevo token, el malware es capaz de ejecutar en background diferentes tareas que le envíe el atacante
  17. 17. Cuentas para Shuabang sobre Google Play • Esta botnet es un sofisticado sistema por el que un atacante es capaz de, a través del malware con mínimos privilegios, asociar a dispositivos reales cuentas creadas por el propio atacante. • Dispone así de un conjunto de cuentas falsas asociadas a teléfonos "reales" y por tanto, válidas de cara a los servicios de Google, lo que les permitirá cometer diferentes tipos de fraude. En concreto la descarga artificial o valoración fraudulenta de apps.
  18. 18. No necesario muchos privilegios
  19. 19. ShuaBang Botnet: Tokens y víctimas • Con este esquema de asociación de cuenta y dispositivo real, el atacante se ha podido hacer con una base de datos de 60.000 tokens. • El ataque se ha centrado en víctimas de Brasil, India y Rusia, aunque está preparado para añadir cualquier país.
  20. 20. ShuaBang Botnet: Asociación de Apps
  21. 21. Shuaban Botnet: Control Panel
  22. 22. Shuaban Botnet: Control Panel
  23. 23. Shuaban Botnet: Facts - Obtención de 12.567 cuentas de Google - Entendimiento del sistema de registro de dispositivos - No documentación oficial - Poca info en Internet - Automatizar los procesos - 100 apps maliciosas en Google Play - Permisos aparentemente inocuos. - Ha conseguido gestionar un sistema de tareas - Gestionar fraude por clic de forma inteligente - Aprovechar recursos sin tocar cuenta original - Plataforma en desarrollo
  24. 24. Codename “Path 5” • ElevenPaths ha podido determinar cómo, desde cuándo y con qué métodos se ha cometido el fraude, además de establecer enlaces entre el atacante y otros grupos de atacantes y recopilar evidencias incriminatorias. • Basadas en estas correlaciones, ElevenPaths ha podido encontrar cuentas de desarrolladores de Google Play que posiblemente pertenecen al mismo grupo de atacantes. • Todo esto ha sido posible gracias a Path5, un producto desarrollado por ElevenPaths que permite realizar una detección temprana, investigación y correlación de cualquier tipo de información relativa a aplicaciones de Android, entre otras funcionalidades.
  25. 25. Codename “Path 5” “Path 5” Big Data
  26. 26. Codename “Path 5”: Demo “yu jinhui”
  27. 27. ShuaBang Botnet: Análisis • Empezamos a ver cosas en común: • El desarrollador siempre usa correos: • @yeah.net • @163.com • Crea certificados diferentes • Además parece chino • La app juega con los permisos • Todo se puede ver con Path5…. Y además podemos hacer una búsqueda compleja…. • developerEmail:*yeah.net* OR developerEmail:*163.com* AND gmtInfo:8 AND permissionName:*ACCOUNTS*
  28. 28. ShuaBang Botnet: Análisis • Referencias a sitios de puntuación de apps en Chin • Mismo domino se puede encontrar un adware muy agresivo - http://f.apkshare.com/funphoto.apk
  29. 29. ShuaBang Botnet: Análisis • Para ir más allá de la enumeración de aplicaciones nos planteamos como objetivo identificar al desarrollador. • Suponemos: • Único desarrollador • Único grupo • Analizando su código, encontramos…..
  30. 30. ShuaBang Botnet: Análisis
  31. 31. ShuaBang Botnet: Análisis • A partir del certificado es posible hacerse una idea de la posible procedencia del desarrollador.
  32. 32. ShuaBang Botnet: Análisis • Si acudimos al campo de la web del desarrollador podremos extraer el dominio vinculado con el desarrollador. • A partir de este dominio con una simple consulta a whois podríamos hacernos una idea de datos de la vida real del desarrollador de estas aplicaciones.
  33. 33. Codename “Path 5” • Big Data Apps • Archivado • Indexado • Metadatos • Entorno • Markets • Mobile Devices • Smart TVs • WebApps • Plataforma de análisis
  34. 34. ¿Preguntas? • Chema Alonso • @chemaalonso • https://www.elevenpaths.com • http://www.slideshare.net/elevenpaths/s huabang-con-nuevas-tcnicas-en-google- play

×