Charla: Análisis Forense de Dispositivos Android, impartida por Antonio Díaz de Informática 64 para el curso de Especialización en Dispositivos Móviles que tuvo lugar en la Facultad de Informática de la Universidad de A Coruña del 20 al 22 de Junio de 2012. Diapositivas 1/3.
2. Glosario de seguridad
• Botnet: Hace referencia a un conjunto de robots informáticos o
bots, que se ejecutan de manera autónoma y automática
• Exploit: Es un software o una serie de instrucciones que provocan
un fallo en una aplicación.
• DDoS: Es un ataque a una red que la satura e impide el acceso a un
recurso o servicio.
• Malware: es un tipo de software que tiene como objetivo infiltrarse
o dañar una computadora sin el consentimiento de su propietario.
El término malware incluye virus, gusanos, troyanos, la mayor parte
de los rootkits, scareware, spyware, adware intrusivo, crimeware y
otros softwares maliciosos e indeseables.
6. Amenazas en Android
• El malware en Android se ha disparado. Un
1200% respecto al último trimestre de 2011
• Android Malware Project es una iniciativa
pensada para recolectar toda la información
posible sobre el malware de Android
• Es recomendable tener un antivirus en el
dispositivo
7. Antivirus en Android
• ESET Mobile Security para
Android.
– Motor de análisis de NOD32
Antivirus
– Sistema antispam “avanzado”
– Funcionalidades antirrobo.
• Permite averiguar dónde se
encuentra el teléfono
• Permite bloquear el teléfono
• Permite desactivarlo
– Precio 12,67€
8. Antivirus en Android
• Mobile Security Personal Edition,
de TrendMicro.
– Explorador de aplicaciones gratuito
– Protección frente a pérdida del
smartphone
– Bloqueo de amenazas mientras el
usuario navega por la web, llama o
escribe mensajes de texto.
– Según TrendMicro se bloquean más
de 5.000 millones de amenazas a
diario.
– Precio 19,95€
9. Antivirus en Android
• Kaspersky Mobile Security 9.
– Detección y desactivación de
programas maliciosos
– Detección de spam
– Bloqueo de llamadas no deseadas
– Bloqueo de datos relativos a
determinados contactos
– Localización del dispositivo en
caso de pérdida
– Precio 29,95€
10. Antivirus en Android
• AVG Antivirus.
– Permite analizar aplicaciones,
configuraciones, archivos y
multimedia en tiempo real
– Es posible encontrar en Google
Maps el terminal perdido
– Se pueden hacer copias de
seguridad
– Permite el bloqueo en caso de robo
– Permite detener las aplicaciones que
ralentizan el funcionamiento del
dispositivo.
– Precio Gratis
11. Antivirus en Android
• Avast! Mobile Security.
– Filtra llamadas y mensajes
– Analiza amenazas, reportes de
privacidad, establece cortafuegos
y gestiona aplicaciones.
– Cuenta con un “disfraz de
aplicaciones”
• Un posible ladrón tarda más en
encontrar cierta aplicación
• Convierte en invisibles a las
aplicaciones.
– Precio Gratis.
12. Malware - Fake player
• Fue el primero que se
desarrolló para Android
• Con el icono simulaba ser
un reproductor
multimedia
• La idea era enviar
mensajes a números de
tarificación especiales
• Se distribuyó por el
Market oficial de Google
13. Malware - Droid dream
• Fue un malware con
funcionalidades de botnet
• Estaba empaquetado en
aplicaciones legales. El
usuario inocentemente se
descargaba dichas
aplicaciones
• Como botnet que era podía
recibir ordenes desde un
servidor externo para
ejecutar exploits.
14. Malware - Droid kung fu
• Pasaba inadvertido al antivirus de Android
• Es básicamente un troyano
• Toma el control de las funciones del
dispositivo, con lo que puede ejecutar
comandos, aplicaciones así como descargar
estas
15. Malware - Plankton
• Al igual que Droid Dream estaba empaquetado
en otras aplicaciones.
• Recopilaba información del historial de
navegación y otros datos.
• Podía descargar otros componentes
16. Malware - Ginger Master
• Especialmente diseñado para GingerBread
• Camuflado en una aplicación “normal”
• Genera el archivo gbsm.sh con un exploit que
proporciona privilegios
17. Malware - DKFBooTKit
• Fue el primer Malware de tipo
bootkit para Android
• Se incluye en varias aplicaciones que
requieren privilegios de root,
normalmente en las de gestión de
aplicaciones
• Se agrega como parte de la secuencia
de arranque, sustituyendo comandos
habituales de Android
• Con los privilegios adquiridos puede
instalar y eliminar aplicaciones
• Se ejecuta incluso antes de que lo
haga el sistema
18. TENDENCIAS DEL MALWARE
• Venta de software falso
• Petición de un rescate por el dispositivo
• Robo de información personal
– Usuarios y contraseñas de diversos sitios
– Cualquier tipo de credencial bancaria
• Robo de elementos de identificación
– Venta de números IMEIs
– Dispositivos móviles falsos
19. CODIGOS QR (códigos de respuesta
rápida)
• Similares a los códigos de barras.
• Almacenan información en matrices de puntos
• Permiten introducir información en el móvil
sin teclear
• Las aplicaciones que leen QR normalmente no
hacen una validación y no preguntan al
usuario.
20. CODIGOS QR (códigos de respuesta
rápida)
• Se puede crear un código QR con una RUL que
apunte a un servidor con un metasploit
• Se puede crear un código QR con una URL que
apunte a un servidor con aplicaciones
infectadas
• Modificación de un código QR en un cartel con
una pegatina
• Se pone un aliciente para el usuario
• Cuando el usuario lee el QR ya está infectado.
21. Posibles soluciones
• A partir de la versión 2 de
Android se proporcionan
opciones de configuración de
contraseñas
• La versión 3 introduce la
caducidad de contraseñas y el
cifrado de datos, además de
controlar los accesos fallidos
• La versión 4 permite el cifrado del
dispositivo y el reconocimiento
facial entre otras mejoras de
seguridad
22. Posibles soluciones
• Las aplicaciones están aisladas entre sí
• El aislamiento evita que se puede modificar el
Kernel
• La política inicial de aislamiento impide el
acceso a parte del dispositivo
• Las aplicaciones pueden pedir otros permisos
y disponen de muy pocos.
23. Posibles soluciones
• Google Bouncer
– Herramienta de eliminación de malware
– Incluida en Google Play en febrero de 2012
– Algunos malware se le saltan
• Buenas prácticas y sentido común
– Mirar bien los permisos de la aplicación al instalarla
– Leer en la medida de lo posible los comentarios de
otros usuarios que ya disponen de la aplicación
– Descargar aplicaciones sólo de sitios oficiales.
– Estar al día con las actualizaciones de las aplicaciones
y del propio sistema operativo
24. Posibles soluciones en las empresas
• Una buena centralización ayuda a localizar y resolver
cualquier problema que se pueda dar.
• Las conexiones son parte de la empresa y también
deben tener medidas de seguridad
• Los usuarios deben ser conscientes de la peligrosidad
de según que acciones cometan.
• Los datos de los dispositivos y de los usuarios deben
estar autenticados.
• Los datos sensibles deben estar cifrados
• Instalar programas que detecten cualquier software
malintencionado