Presentación realizada en el taller "Seguridad para vivir conectado: Entornos móviles, Nubes y nuevas formas de conexión" de 7ENISE (2013)

1. Actualidad del malware en Android
Detección y ExploitKits
Luis Delgado (@ldelgadoj)
1

2. Índice
1. Estadísticas del malware en Android
2. Novedades de seguridad en Jelly Bean (4.2+)
3. Retomando el caso “Google Play” de 6ENISE
4. Resumen de las últimas vulnerabilidades
5. Ejemplos de “Troyanos” y FakeAVs
6. Concepto de “evasión por transformación”
7. MalwareKits & Custom ExploitKits
2

3. Malware en Android
3

4. Si lo dice el FBI…
4

5. Si lo dice el FBI…
5

6. Capas de seguridad en Android
6

7. Capas de seguridad en Android
7

8. Cifras…
8

9. Cifras…
9

10. Cifras…
10

11. Cifras…
11

12. Seguridad en Jelly Bean (4.1+)
12

13. Novedades en 4.3
• Implementación de SELinux (aunque configurado en
modo ‘permisivo’ en vez de ‘estricto’).
• Se elimina la funcionalidad de ‘setuid’
• Google Play Services (incorpora la verificación de
aplicaciones).
• Android Device Manager
• Gestión granular de los permisos de las aplicaciones
13

14. Novedades en 4.3
14

15. WebApps
¿Nuevo vector de
explotación?
• ¿Novedad? No tanto…
FirefoxOS!
• Añadidas en Chrome 31
• Permiten interactuar con el
sistema (p.e envío de
notificaciones).
15

16. Google Play
16

17. Google Play
17

18. Declaraciones Eric Schmidt (1)
Not secure? It's more secure
than the iPhone
18

19. Declaraciones Eric Schmidt (2)
19

20. SecureRandom
20

21. SecureRandom
21

22. Android SSL … Downgraded!
22

23. Android SSL … Downgraded!
23

24. Android SSL … Downgraded!
24

25. Firmado de APKs vulnerable (1)
25

26. Firmado de APKs vulnerable (2)
Fuente: Anatomy of a security hole - Google's "Android Master Key" debacle explained (Naked Security) 26

27. Firmado de APKs vulnerable (2)
Fuente: Anatomy of a security hole - Google's "Android Master Key" debacle explained (Naked Security) 27

28. Firmado de APKs vulnerable (3)
28

29. Firmado de APKs vulnerable (3)
29

30. Firmado de APKs vulnerable (4)
30

31. Vulnerabilidad en WebLogin
• Craig Young (Tripwire) - DEFCON 21
• Vulnerabilidad en la autenticación en un solo clic
presente en Android.
APP solicita
permiso de Google
Finanzas
WebLogin
Autorización válida
para TODOS los
servicios de Google
• Alcance: correos de Gmail, archivos en Drive…
GOOGLE PLAY!
31

32. Vulnerabilidad en Firefox (1)
Vulnerabilidad que permite
acceder a ficheros internos
de Firefox y de la SDCard
La extracción de información
re realiza a través de FTP
¿Explotación REMOTA?
Sebastián Guerrero
(viaForensics)
32

33. Vulnerabilidad en Firefox (2)
Requiere que el usuario
tenga activada la instalación
de aplicaciones desde
fuentes desconocidas
Se inicia el proceso de
instalación…
INGENIERÍA SOCIAL!
33

34. Ejemplo: Flash Update
34

35. Cerberus Anti-Theft
Permite comprobar si un
determinado IMEI está
registrado
Recuperar contraseña:
Device ID (IMEI)
NEW_PASSWORD
Si lo está, devuelve:
USERNAME
SHA1(PASSWORD)
Acceso al sistema sin
tener que “crackear” la
contraseña!
35

36. Do It Yourself!
36

37. Android WebView
• Del 6ENISE… JSBridge!
Function execute() {
var obj_smsManager = jsinvoke.getClass()
.forName(“android.telephony.SmsManager”)
.getMethod(“getDefault”, null)
.invoke(null,null);
obj_smsManager.sendTextMessage(
“609112233”, null, “texto”, null, null);
}
• Android >= 4.2 … Anotación @JavascriptInterface
37

38. Librerías externas
• Existe una librería de anuncios [FireEye:Vulna] que
puede ser utilizada para recopilar información del
dispositivo o ejecutar código malicioso.
• Utilizan esta librería el 2% de las aplicaciones con
más de 1M de instalaciones (+200M de descargas…)
• IME, IMSI + SMS, Contactos, Historial de llamadas…
• Y… vulnerabilidades existentes! (activación oculta de
la cámar, JS/WebView
38

39. Cambios en 4.2.2…
• Se corrige vulnerabilidad que permitía a aplicaciones
con permisos de internet actuar como “proxy”
39

40. AdBlock Fake-Apps
40

41. AdBlock Fake-Apps
41

42. Otras aplicaciones vulnerables
42

43. Otras aplicaciones vulnerables
43

44. Vulnerabilidades en dispositivos
44

45. Vulnerabilidades en dispositivos
45

46. Troyano Obad.a
• Kaspersky: «troyano más sofisticado de todos los
tiempos dirigido contra Android»
• OpFake (Zombies) -> GCM -> (*)Obad.a mms(ka).apk
• Obad.a -> Permisos de administración (4.3-) -> C&C
• No se utilizó toda la red de OpFake (¿alquiler?)
(*) SMS -> “Has recibido un mensaje MMS, descárgalo de www.otkroi.com”
46

47. Troyano Obad.a
En cinco(5) horas se enviaron
más de seiscientos(600) mensajes
47

48. Herperbot (1)
48

49. Herperbot (1)
Componente móvil (como ZitMo o SpitMo)
Se utiliza un “proceso de activación”:
1. Se genera un código aleatorio que se
muestra en la página web al usuario.
2. Se le solicita que lo introduzca en la
aplicación móvil´.
3. Se le entrega un código de confirmación
que ha de introducir en la página web
La aplicación queda en
segundo plano a la espera
de mensajes SMS
(para reenviarlos o ejecutar
las acciones indicadas)
49

50. Herperbot (2)
Como es lógico, el malware distribuido a través de aplicaciones móviles
también intenta infectar los equipos en los que se conecta el dispositivo
autorun.inf, folder.ico, and svchosts.exe
50

51. FakeAV Malware
51

52. Evasión por transformación (1)
Fuente: Evaluating Android Anti-malware against Transformation Attacks (Northwestern University)
52

53. Evasión por transformación (2)
Fuente: Evaluating Android Anti-malware against Transformation Attacks (Northwestern University)
53

54. Evasión por transformación (2)
Fuente: Evaluating Android Anti-malware against Transformation Attacks (Northwestern University)
54

55. Evasión por transformación (3)
Fuente: Evaluating Android Anti-malware against Transformation Attacks (Northwestern University)
55

56. Evasión por transformación (4)
Fuente: Evaluating Android Anti-malware against Transformation Attacks (Northwestern University)
56

57. Malware Kit - Perkele
57

58. Malware Kit - Perkele
58

59. Malware Kit - Perkele
59

60. AndroRAT APK Binder
60

61. AndroRAT APK Binder
61

62. AndroRAT APK Binder
62

63. Custom ExploitKit
63

64. Custom ExploitKit
Creación de campañas de
malware personalizadas
Gestión de aplicaciones
maliciosas en Google Play
Explotación de
vulnerabilidades en
navegadores
Ampliación de las
funcionalidades de las
aplicaciones instaladas
64

65. Asegurando tu dispositivo…
65

66. Referencias & Preguntas
Contacto:
luis@ldelgado.es
@ldelgadoj
Publicación:
66