Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Противодействие платёжному фроду на сети оператора связи

631 views

Published on

Противодействие платёжному фроду на сети оператора связи

Published in: Technology
  • Be the first to comment

Противодействие платёжному фроду на сети оператора связи

  1. 1. Есть ли вирусы для Android? NOPE NOPE NOPE NOPE
  2. 2. Противодействие платёжному фроду на сети оператора связи Денис Горчаков (Альфа-Банк), ex-МТС Николай Гончаров, МТС
  3. 3. История вопроса PHDays III: Мошенничество в SMS-банкинге ZeroNights 2014: Противодействие ВПО для мобильных устройств на сети оператора. Android Honeypot в антифроде РусКрипто 2015: Расследование инцидентов, связанных с мобильными бот- сетями и вредоносным ПО AntiFraud Russia-2014: Актуальные угрозы фрода в отношении абонентов сотовых сетей связи. Выявление мобильных бот-сетей
  4. 4. Обстановка  Android занимает около 80% рынка.  Крупнейшие антивирусные лаборатории относят Россию к числу лидеров по распространённости и направленности Android-вирусов.  Схожая статистика по банковским вирусам, в том числе мобильным.  Android Security Report 2015: уровень распространения вредоносного ПО в России в 3-4 раза выше среднего.
  5. 5. IOS и WinPhone  Существует всего несколько примером вредоносов.  Растущая популярность IOS и WinPhone заставляет злоумышленников обращать на них внимание.  До недавнего времени считалось, что на WinPhone можно установить приложение только из легального приложения, но был обнаружен способ установки приложений в обход магазина.  Существует несколько прототипов зловредов, которые умеют похищать данные из телефонной книги, фотографии, читать SMS пользователя и красть прочую приватную информацию из смартфона.  Глобальных случаев распространения и заражения WinPhone пока не было, но возможно всё ещё впереди. Обстановка с WinPhone:
  6. 6. IOS и WinPhone Троян AppBuyer (IOS с джейлбрейком)  Крадет логин и пароль от Apple ID и передает их на сервер злоумышленника, после чего тот может совершать покупки в App Store с чужого аккаунта. Приложение AdThief (IOS с джейлбрейком)  Распространялось из альтернативного(пиратского) магазина приложений.  Работает практически незаметно — вред этой утилиты направлен на разработчиков приложений, использующих рекламу для монетизации. Wirelurker(IOS без джейлбрейка)  Атакует iOS-устройства при подключении к компьютеру Mac по USB. Masque Attack(IOS без джейлбрейка)  Абонент получает сообщение со ссылкой на зараженное приложение и игру (которой нет в App Store).  Вирус заменяет собой какое-либо стороннее приложение, но пользователь ничего не замечает — оно выглядит и функционирует точно так же, как настоящее. Обстановка с IOS:
  7. 7. Способы монетизации  Со счёта абонента: контент-услуги и сервисы мобильных платежей.  С привязанных к номеру сервисов: услуги ДБО (SMS, USSD), платёжные системы.  Блокировщики: crypto / PIN.  Нецелевое использование устройств: спам-рассылки, DDoS, прокси для мошеннической деятельности, SEO.
  8. 8. Бот-сети  Прежняя методика “hit`n`run” всё реже.  Большинство вирусов – полноценные клиенты ботнетов: статистика, наборы команд, удалённое управление (head & headless).  Для противодействия мошенническим схемам можно использовать адаптацию отработанных технологий противодействия компьютерным ботнетам к мобильным угрозам.
  9. 9. Угрозы  Похищение персональных и конфиденциальных данных.  Фишинг.  Рассылка спама.  Анонимный доступ в Сеть.  Кибершантаж и осуществление DDoS-атаки.  Получение сведений о местоположении конкретного человека.  Похищение денег, в том числе используя мобильную коммерцию и контент-услуги ~50 тыс. новых жертв ежемесячно в одном регионе. ~ 3,5 млн. рублей – денежные потери в месяц от действия бот-сетей направленных на абонентов по одному региону.
  10. 10. Каналы управления  HTTP(S): C&C центры управления, регулярное обращение. Dynamic / Fast Flux.  SMS: приём команд с заданных номеров или по заданному шаблону.  Google Cloud Messaging / push: получение команд через сервисы Google. Удобно в случае отказа каналов HTTP и SMS.
  11. 11. Собираемые данные  Домены и IP: С&C центры управления, адреса распространения ВПО.  Сведения о формате и составе передаваемых данных на C&C.  MSISDN (тел. номера) – центры управления, коллекторы данных, аккумуляторы денежных средств.  Идентификаторы подписок и получателей для контент-услуг и платёжных сервисов.
  12. 12. Антиотладочные приёмы  Контроль IMEI, IMSI для исключения вызывающей подозрение тарификации и фильтрации/блокировки устройств.  Геолокация (GPS, Wi-Fi, сотовая сеть). Исключение по SSID, Cell ID, району.  Вариация задержек и сумм для обхода правил мониторинга. Суточная задержка после заражения.  Обфускация: ProGuard.
  13. 13. Антиотладочные приёмы  Администратор устройства: блокировка, стирание, использование особенностей интерфейса.  ROOT: проверка наличия и попытка использования. root-exploit’ы для недорогих устройств MediaTek.  Подгрузка вредоносного APK после установки «безобидного» загрузчика.
  14. 14. Антиотладочные приёмы  Проверка наличия подключённых сервисов и услуг не только по истории SMS, но и через отправку тестовых сообщений на короткие номера оператора, банков, платёжных систем.  Блокировка абонентских вызовов на справочные номера: нельзя оперативно пожаловаться в службу поддержки, заблокировать свой счёт, карту.
  15. 15. Забавные факты HTTP stat (IMEI, IMSI, баланс) 1. Plaintext: domain/gate.php?imei=<>&imsi=<>&bal=<> 2. BASE64: domain/gate.php?data=YW55IGNhcm5hbCB… 3. BASE64 с модифицированным алфавитом Защита от антивируса class kavfucker { … (“GetDeviceAdmi” + ”n”) }
  16. 16. Виртуализация? Отладка?
  17. 17. Вдобавок…  Экспертный анализ кода и разбор поведения в эмуляторе не обеспечивают полноты собираемых данных.  Существует немало утилит и библиотек для отладки Android-приложений, однако большинство из них носит любительский характер и забрасывается авторами. Велика сложность доработки и стоимость разработки силами ИБ-подразделения.  Основная цель – сбор данных. Нас не интересует взлом и реверс-инжиниринг вредоносного ПО.  Используются доступные ресурсы оператора связи – SIM- карты, смартфоны, сотовая сеть. Снижается стоимость разработки комплекса и увеличивается акцент на аналитическую работу.
  18. 18. Архитектура Стенд мобильных устройств Server WEB-интерфейс анализатор Аналитик Internet Дополнительные источники информации Отчет
  19. 19. Мобильный анализатор Android Phone Приложения VK Opera Bot WWW Server БД Анализатор
  20. 20. Работа анализатора
  21. 21. Botnet monitoring
  22. 22. Botnet monitoring
  23. 23. Trojan-SMS.Podec * - Подробное описание вредоноса: http://securelist.ru/analysis/obzor/25249/sms-troyanec-obxodit-captcha/
  24. 24. Trojan-SMS.Podec
  25. 25. Trojan-SMS.Podec
  26. 26. Trojan-SMS.Podec
  27. 27. Подключённые услуги
  28. 28. Схема интеграции
  29. 29. Защитные меры Скачать антивирусное приложение
  30. 30. Типичная схема
  31. 31. CERT Оператор А Оператор B Оператор C Оператор D Server БД ASMONIA: http://asmonia.de/deliverables/D4.3_Methods_for_Collaborative_Detection_and_Analysis.pdf
  32. 32. Спасибо за внимание! Thank you for your attention! Гончаров Николай nogoncha@mts.ru Горчаков Денис dgorchakov@alfabank.ru

×