El documento presenta información sobre malware móvil. Brevemente describe que no se pudo evidenciar comunicación del malware analizado con un atacante remoto, ni comportamiento malicioso. También señala que faltan herramientas forenses para dispositivos móviles y que las existentes son costosas. Finalmente, predice que el aumento de aplicaciones móviles conducirá a un mayor interés de los delincuentes en estos dispositivos.

1. Carlos A. Castillo L.
Ingeniero de Sistemas
Pontificia Universidad Javeriana
http://www.carlosacastillo.com

2.  Premio ESET 2009 – 2010
 Introducción
 Botnets
 Malware Móvil
 Análisis del Malware Móvil
 Actualidad y Visión futura
 Conclusiones

3. Virus Bulletin: Ginebra Suiza – Vancouver Canadá

4. Versión 2010

6. Teléfonos inteligentes, Banca Móvil, Malware Móvil, Botnets y Redes 3G

7. Fuente: Gartner (Mayo 2010)

8. Fuente: Mobile Marketing Association

9. Fuente: Virus List 2010 Fuente: Kaspersky Labs 2010

10. Fuente: Symantec 2009 Fuente: M86 Security 2010

11. Fuente: GSA2010

12. Generalidades, Características, Estructuras, Tipos.

14. Mecanismos para evitar Mecanismos de propagación
detección (FW, IPS, IDS, AV) • Exploits de vulnerabilidades
• Se comunican simulando tráfico • Infección a través de memoria USB
normal • Drive-by-download
• Actualización mediante C&C
Tecnologías de Comando y
Control
• IRC
• HTTP
• P2P
• DNS
• Fast-Flux

15. GT (Global Threat) DSNX (Dataspy
Agobot SDbot
bot Network X)
•Lenguaje: C++ •Familia de •mIRC •Lenguaje: C++
(Multiplataforma) malware más •Mecanismo (Multiplataforma)
bajo licencia GPL activa hace 1 año HideWindow bajo licencia GPL
•Más de 500 •Lenguaje: C bajo (inicia instancia de •Interfaz de plug-ins
versiones licencia GPL mIRC de modo para diseñar
•Lenguaje: C++ •Código fuente no invisible para el fácilmente
(Multiplataforma) estructurado usuario) escáneres y
•Detecta debuggers •Uso de scripts .mrc difusores
•No trae los plug-
ins por defecto

16. Robo de información
(Keylogging,
Ataques de DoS Envío de SPAM
Screenshots,
Sniffing)
Escaneo y
Establecer servicios Descarga e
aprovechamiento de
(HTTP, FTP, DNS) instalación de bots
vulnerabilidades
Fraude de juegos en
Clickfraud Gateway – Proxys
línea

17. Génesis, Edad Media, Edad Industrial y Tiempos Modernos.

19. Fuente: PDASTREET.com

21. Fuente: symbian-freak.com

23. Fuente: F-Secure.com

25. Fuente: generation-nt.com

27. Symbian OS, YXES – SEXY VIEW, Procedimiento de análisis,
Instalación de YXES, Análisis forense del dispositivo

28. Variantes
•S60: Soporta aplicaciones desarrolladas en Java MIDP, C++ y Python
•UIQ: Interfaz gráfica que provee componentes adicionales. Soporta Java y C++
Unidades lógicas de almacenamiento
•C: Flash RAM (Aplicaciones instaladas y datos del usuario)
•D: Temp RAM (Almacenamiento temporal de archivos de aplicaciones)
•E: MMC Card (Tarjeta de almacenamiento masivo)
•Z: OS ROM (Archivos de sistema operativo)
Arquitectura de Archivos
•System/Apps: Aplicaciones que son visibles para el usuario
•System/Recogs: Reconocimiento de componentes
•System/Install: Datos necesarios para desinstalar aplicaciones del usuario
•System/libs: Librerías del sistema y aplicaciones de terceros
Aplicaciones Clave
•System/Apps/Menu/Menu.app: Menú principal del teléfono celular
•System/Apps/AppInst/Appinst.app: Servicio de instalación
•System/Apps/AppMngr/AppMngr.app: Servicio de desintalación
•System/Apps/MMM/Mmm.app: Provee el servicio de envío y recepción de mensajes SMS, MMS, BT etc..
•System/Apps/Phonebook/Phonebook.app: Servicio que provee la lista de contactos

30. FASE DE
FASE RECOLECCIÓN FASE DE FASE DE
PREPARATORIA DE ANÁLISIS REPORTE
INFORMACIÓN

31. Efectuar un Hard
Obtener muestra Remover tarjeta
Reset (* 3 SEND
del malware extraíble
POWER)
Realizar
procedimiento de Probar conexión a Eliminación de la
desbloqueo de Internet lista de contactos
directorios
Verificación de la
instalación del
malware

37.  EconServerSemaphore_0x2001EB45
 “olpx” seguido de una D o una K
 “mr.log” – “Set Connection Failed” – “Set
Connection Succeded” – “TimeUptoRoot”
 “root.six”

39. Ikee, Banca Móvil, Iphone, Android

40. Fuente: carlosacastillo.com

41. Fuente: FORTINET

42. Fuente: INFOBAE

43. ¿Cuántas Vulnerabilidades
tendrá esta actualización?
Fuente: THE H SECURITY

44. Fuente: INFOSECRITY

45. Fuente: DARK READING

46. Fuente: DEFCON – Julio 30 de 2010

48.  No se evidenció comunicación entre el malware y
el atacante remoto
 El malware no presentó el comportamiento
especificado por la fuente que lo descubrió
 No existen herramientas para obtener evidencia
digital de incidentes de seguridad en dispositivos
móviles
 Existen otras técnicas como ingeniería reversa para
determinar el comportamiento del malware
 Las herramientas para ingeniería reversa son
costosas para fines académicos (USD 257)

49.  Los sistemas operativos móviles son inmunes
a vulnerabilidades clásicas de los PC
 Actualmente existe muy poca conciencia
respecto al riesgo que representan los
dispositivos móviles
 El aumento de aplicaciones en los teléfonos
celulares constituirá un factor importante en el
aumento del interés de los delincuentes
informáticos en los dispositivos móviles.

50. Luego de aproximadamente un año de escrito
el paper, se evidencia que la inseguridad
informática en dispositivos móviles está
evolucionando, sin embargo, todavía la mayor
parte de la atención de la industria en
seguridad se centra en los PC debido en gran
parte a la heterogeneidad de sistemas
operativos en los dispositivos móviles.

51. ¿PREGUNTAS?