Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Actualidad del malware en Android, detección y otros temas

4,981 views

Published on

Presentación realizada en el taller "Seguridad para vivir conectado: Entornos móviles, Nubes y nuevas formas de conexión" de 7ENISE (2013)

Published in: Business
  • Be the first to comment

Actualidad del malware en Android, detección y otros temas

  1. 1. Actualidad del malware en Android Detección y ExploitKits Luis Delgado (@ldelgadoj) 1
  2. 2. Índice 1. Estadísticas del malware en Android 2. Novedades de seguridad en Jelly Bean (4.2+) 3. Retomando el caso “Google Play” de 6ENISE 4. Resumen de las últimas vulnerabilidades 5. Ejemplos de “Troyanos” y FakeAVs 6. Concepto de “evasión por transformación” 7. MalwareKits & Custom ExploitKits 2
  3. 3. Malware en Android 3
  4. 4. Si lo dice el FBI… 4
  5. 5. Si lo dice el FBI… 5
  6. 6. Capas de seguridad en Android 6
  7. 7. Capas de seguridad en Android 7
  8. 8. Cifras… 8
  9. 9. Cifras… 9
  10. 10. Cifras… 10
  11. 11. Cifras… 11
  12. 12. Seguridad en Jelly Bean (4.1+) 12
  13. 13. Novedades en 4.3 • Implementación de SELinux (aunque configurado en modo ‘permisivo’ en vez de ‘estricto’). • Se elimina la funcionalidad de ‘setuid’ • Google Play Services (incorpora la verificación de aplicaciones). • Android Device Manager • Gestión granular de los permisos de las aplicaciones 13
  14. 14. Novedades en 4.3 14
  15. 15. WebApps ¿Nuevo vector de explotación? • ¿Novedad? No tanto… FirefoxOS! • Añadidas en Chrome 31 • Permiten interactuar con el sistema (p.e envío de notificaciones). 15
  16. 16. Google Play 16
  17. 17. Google Play 17
  18. 18. Declaraciones Eric Schmidt (1) Not secure? It's more secure than the iPhone 18
  19. 19. Declaraciones Eric Schmidt (2) 19
  20. 20. SecureRandom 20
  21. 21. SecureRandom 21
  22. 22. Android SSL … Downgraded! 22
  23. 23. Android SSL … Downgraded! 23
  24. 24. Android SSL … Downgraded! 24
  25. 25. Firmado de APKs vulnerable (1) 25
  26. 26. Firmado de APKs vulnerable (2) Fuente: Anatomy of a security hole - Google's "Android Master Key" debacle explained (Naked Security) 26
  27. 27. Firmado de APKs vulnerable (2) Fuente: Anatomy of a security hole - Google's "Android Master Key" debacle explained (Naked Security) 27
  28. 28. Firmado de APKs vulnerable (3) 28
  29. 29. Firmado de APKs vulnerable (3) 29
  30. 30. Firmado de APKs vulnerable (4) 30
  31. 31. Vulnerabilidad en WebLogin • Craig Young (Tripwire) - DEFCON 21 • Vulnerabilidad en la autenticación en un solo clic presente en Android. APP solicita permiso de Google Finanzas WebLogin Autorización válida para TODOS los servicios de Google • Alcance: correos de Gmail, archivos en Drive… GOOGLE PLAY! 31
  32. 32. Vulnerabilidad en Firefox (1) Vulnerabilidad que permite acceder a ficheros internos de Firefox y de la SDCard La extracción de información re realiza a través de FTP ¿Explotación REMOTA? Sebastián Guerrero (viaForensics) 32
  33. 33. Vulnerabilidad en Firefox (2) Requiere que el usuario tenga activada la instalación de aplicaciones desde fuentes desconocidas Se inicia el proceso de instalación… INGENIERÍA SOCIAL! 33
  34. 34. Ejemplo: Flash Update 34
  35. 35. Cerberus Anti-Theft Permite comprobar si un determinado IMEI está registrado Recuperar contraseña: Device ID (IMEI) NEW_PASSWORD Si lo está, devuelve: USERNAME SHA1(PASSWORD) Acceso al sistema sin tener que “crackear” la contraseña! 35
  36. 36. Do It Yourself! 36
  37. 37. Android WebView • Del 6ENISE… JSBridge! Function execute() { var obj_smsManager = jsinvoke.getClass() .forName(“android.telephony.SmsManager”) .getMethod(“getDefault”, null) .invoke(null,null); obj_smsManager.sendTextMessage( “609112233”, null, “texto”, null, null); } • Android >= 4.2 … Anotación @JavascriptInterface 37
  38. 38. Librerías externas • Existe una librería de anuncios [FireEye:Vulna] que puede ser utilizada para recopilar información del dispositivo o ejecutar código malicioso. • Utilizan esta librería el 2% de las aplicaciones con más de 1M de instalaciones (+200M de descargas…) • IME, IMSI + SMS, Contactos, Historial de llamadas… • Y… vulnerabilidades existentes! (activación oculta de la cámar, JS/WebView 38
  39. 39. Cambios en 4.2.2… • Se corrige vulnerabilidad que permitía a aplicaciones con permisos de internet actuar como “proxy” 39
  40. 40. AdBlock Fake-Apps 40
  41. 41. AdBlock Fake-Apps 41
  42. 42. Otras aplicaciones vulnerables 42
  43. 43. Otras aplicaciones vulnerables 43
  44. 44. Vulnerabilidades en dispositivos 44
  45. 45. Vulnerabilidades en dispositivos 45
  46. 46. Troyano Obad.a • Kaspersky: «troyano más sofisticado de todos los tiempos dirigido contra Android» • OpFake (Zombies) -> GCM -> (*)Obad.a mms(ka).apk • Obad.a -> Permisos de administración (4.3-) -> C&C • No se utilizó toda la red de OpFake (¿alquiler?) (*) SMS -> “Has recibido un mensaje MMS, descárgalo de www.otkroi.com” 46
  47. 47. Troyano Obad.a En cinco(5) horas se enviaron más de seiscientos(600) mensajes 47
  48. 48. Herperbot (1) 48
  49. 49. Herperbot (1) Componente móvil (como ZitMo o SpitMo) Se utiliza un “proceso de activación”: 1. Se genera un código aleatorio que se muestra en la página web al usuario. 2. Se le solicita que lo introduzca en la aplicación móvil´. 3. Se le entrega un código de confirmación que ha de introducir en la página web La aplicación queda en segundo plano a la espera de mensajes SMS (para reenviarlos o ejecutar las acciones indicadas) 49
  50. 50. Herperbot (2) Como es lógico, el malware distribuido a través de aplicaciones móviles también intenta infectar los equipos en los que se conecta el dispositivo autorun.inf, folder.ico, and svchosts.exe 50
  51. 51. FakeAV Malware 51
  52. 52. Evasión por transformación (1) Fuente: Evaluating Android Anti-malware against Transformation Attacks (Northwestern University) 52
  53. 53. Evasión por transformación (2) Fuente: Evaluating Android Anti-malware against Transformation Attacks (Northwestern University) 53
  54. 54. Evasión por transformación (2) Fuente: Evaluating Android Anti-malware against Transformation Attacks (Northwestern University) 54
  55. 55. Evasión por transformación (3) Fuente: Evaluating Android Anti-malware against Transformation Attacks (Northwestern University) 55
  56. 56. Evasión por transformación (4) Fuente: Evaluating Android Anti-malware against Transformation Attacks (Northwestern University) 56
  57. 57. Malware Kit - Perkele 57
  58. 58. Malware Kit - Perkele 58
  59. 59. Malware Kit - Perkele 59
  60. 60. AndroRAT APK Binder 60
  61. 61. AndroRAT APK Binder 61
  62. 62. AndroRAT APK Binder 62
  63. 63. Custom ExploitKit 63
  64. 64. Custom ExploitKit Creación de campañas de malware personalizadas Gestión de aplicaciones maliciosas en Google Play Explotación de vulnerabilidades en navegadores Ampliación de las funcionalidades de las aplicaciones instaladas 64
  65. 65. Asegurando tu dispositivo… 65
  66. 66. Referencias & Preguntas Contacto: luis@ldelgado.es @ldelgadoj Publicación: 66

×