2. Índice
1. Estadísticas del malware en Android
2. Novedades de seguridad en Jelly Bean (4.2+)
3. Retomando el caso “Google Play” de 6ENISE
4. Resumen de las últimas vulnerabilidades
5. Ejemplos de “Troyanos” y FakeAVs
6. Concepto de “evasión por transformación”
7. MalwareKits & Custom ExploitKits
2
13. Novedades en 4.3
• Implementación de SELinux (aunque configurado en
modo ‘permisivo’ en vez de ‘estricto’).
• Se elimina la funcionalidad de ‘setuid’
• Google Play Services (incorpora la verificación de
aplicaciones).
• Android Device Manager
• Gestión granular de los permisos de las aplicaciones
13
15. WebApps
¿Nuevo vector de
explotación?
• ¿Novedad? No tanto…
FirefoxOS!
• Añadidas en Chrome 31
• Permiten interactuar con el
sistema (p.e envío de
notificaciones).
15
31. Vulnerabilidad en WebLogin
• Craig Young (Tripwire) - DEFCON 21
• Vulnerabilidad en la autenticación en un solo clic
presente en Android.
APP solicita
permiso de Google
Finanzas
WebLogin
Autorización válida
para TODOS los
servicios de Google
• Alcance: correos de Gmail, archivos en Drive…
GOOGLE PLAY!
31
32. Vulnerabilidad en Firefox (1)
Vulnerabilidad que permite
acceder a ficheros internos
de Firefox y de la SDCard
La extracción de información
re realiza a través de FTP
¿Explotación REMOTA?
Sebastián Guerrero
(viaForensics)
32
33. Vulnerabilidad en Firefox (2)
Requiere que el usuario
tenga activada la instalación
de aplicaciones desde
fuentes desconocidas
Se inicia el proceso de
instalación…
INGENIERÍA SOCIAL!
33
35. Cerberus Anti-Theft
Permite comprobar si un
determinado IMEI está
registrado
Recuperar contraseña:
Device ID (IMEI)
NEW_PASSWORD
Si lo está, devuelve:
USERNAME
SHA1(PASSWORD)
Acceso al sistema sin
tener que “crackear” la
contraseña!
35
38. Librerías externas
• Existe una librería de anuncios [FireEye:Vulna] que
puede ser utilizada para recopilar información del
dispositivo o ejecutar código malicioso.
• Utilizan esta librería el 2% de las aplicaciones con
más de 1M de instalaciones (+200M de descargas…)
• IME, IMSI + SMS, Contactos, Historial de llamadas…
• Y… vulnerabilidades existentes! (activación oculta de
la cámar, JS/WebView
38
39. Cambios en 4.2.2…
• Se corrige vulnerabilidad que permitía a aplicaciones
con permisos de internet actuar como “proxy”
39
46. Troyano Obad.a
• Kaspersky: «troyano más sofisticado de todos los
tiempos dirigido contra Android»
• OpFake (Zombies) -> GCM -> (*)Obad.a mms(ka).apk
• Obad.a -> Permisos de administración (4.3-) -> C&C
• No se utilizó toda la red de OpFake (¿alquiler?)
(*) SMS -> “Has recibido un mensaje MMS, descárgalo de www.otkroi.com”
46
49. Herperbot (1)
Componente móvil (como ZitMo o SpitMo)
Se utiliza un “proceso de activación”:
1. Se genera un código aleatorio que se
muestra en la página web al usuario.
2. Se le solicita que lo introduzca en la
aplicación móvil´.
3. Se le entrega un código de confirmación
que ha de introducir en la página web
La aplicación queda en
segundo plano a la espera
de mensajes SMS
(para reenviarlos o ejecutar
las acciones indicadas)
49
50. Herperbot (2)
Como es lógico, el malware distribuido a través de aplicaciones móviles
también intenta infectar los equipos en los que se conecta el dispositivo
autorun.inf, folder.ico, and svchosts.exe
50
64. Custom ExploitKit
Creación de campañas de
malware personalizadas
Gestión de aplicaciones
maliciosas en Google Play
Explotación de
vulnerabilidades en
navegadores
Ampliación de las
funcionalidades de las
aplicaciones instaladas
64