SlideShare una empresa de Scribd logo
1 de 27
El club de los poetas muertos
PARTE 1 de 6
Chema Alonso (@ChemaAlonso)
(https://www.MyPublicInbox.com/ChemaAlonso)
Hace mucho tiempo…”La FOCA es una Botnet”
https://www.elladodelmal.com/2010/12/la-foca-es-una-botnet.html
FOCA BOTNET
Command & Control
IMG con Payload
(Esteganografía)
Payload (IP+Command)
GET IMG + ANSWER
ANSWER
Gremlim FOCA
Esteganografía (comandos)
Es muy difícil detectar alguna información que está escondida en una imagen pequeña sin
reversing.
Gremlin Apps: Cut Rope Christmas
Gremlin Apps: Cut Rope Christmas
Es una App que trabaja de manera cordial y fiable hasta que un evento la transforma. La condición de
transformación puede ser de diferente tipo: Un evento/dato externo leído, Una actualización del código, Robo de
app, Compra de app.
Gremlin Apps: Crecimiento inorgánico
(de Battery Saver a Rogue AV)
1.- Volumen
2.- Permisos
3.- Público objetivo
https://www.elladodelmal.com/2015/01/la-venta-de-
apps-al-cibercrimen.html
Idea de negocio: APT Provider con una botnet de apps
• Crear una botnet de Apps maliciosas que accedan a quién eres y te vendan cómo objetivo.
• Saber quién tiene instalada esa APP:
• Cuentas: Twitter, Facebook, etc…
• Número de teléfono: WhatsApp, Telegram, 2FA, Account Recovery.
• E-mail: Login.
• Saber todo sobre esa persona usando OSINT
• Dirty Business Card.
• Volver maliciosa tu Gremlin App en un APT Dirigido
• Se active solo una instancia de la botnet.
• Esteganografía para envío de commandos.
• Aprovechamiento de permisos para ejecución de commandos.
Tacyt: Apps en Android & permisos
Permisos para acceso a número de Teléfono
• Cuando una aplicación se instala en un teléfono Android, solicita una serie de
privilegios de acceso que el usuario debe aprobar
• Entre los datos que suelen recolectar este tipo de aplicaciones, deben encontrarse
algunos que permitan identificar a la víctima de manera unívoca, de tal manera, que
en cualquier momento se pueda realizar un ataque dirigido contra ella
• <uses-permission android:name="android.permission.READ_PHONE_STATE"/>
• <uses-permission android:name="android.permission.READ_PHONE_NUMBERS "/>
Permisos para acceso a número de Teléfono y cuentas
• TelephonyManager es una técnica para acceder al teléfono almacenado en la SIM
• AccountsManager puede coger información sensible de otras cuentas (twitter, telegram,
google…)
Version Codename API Distribution(%) Total Afectados
Gingerbread 10 0,3
61,30 % < 8.0
2.3.3 -2.3.7
Ice Cream Sandwich 15 0,3
4.0.3 -4.0.4
4.1.x Jelly Bean 16 1,2
4.2.x 17 1,5
4.3 18 0,5
4.4 KitKat 19 6,9
5.0 Lollipop 21 3
5.1 22 11,5
6.0 Marshmallow 23 16,9
7.0 Nougat 24 11,4
7.1 25 7,8
8.0 Oreo 26 12,9
8.1 27 15,4
9 Pie 28 10,4
Casi un 62% de dispositivos tienen una versión
anterior a Android 8, se puede acceder a datos
sensibles de otras cuentas (e-mail, twitter…)
Cuota de versiones de Android instalados con acceso a
Accounts
¿Y si no hay permisos? Login con e-mail o Oauth nos vale.
• Permite acceder a cuentas e-mail
• Oauth: Permie acceder a más datos pero necesitas
crear app en Google. NOTA: RootedCON 2016
SAPPO
Dirty Business Card
Gremlin apps: Seleccionando los permisos adecuados
permissionName:"android.permission.GET_ACCOUNTS"
permissionName:"android.permission.INTERNET"
permissionName:"android.permission.READ_EXTERNAL_STORAG
E" permissionName:"android.permission.READ_PHONE_STATE"
permissionName:"android.permission.ACCESS_NETWORK_STATE
Gremlin apps: Seleccionando los objetivos adecuados
mASAPP. Control de parque de apps en venta
Gremlim Apps: Uso de permisos de forma silenciosa
• Nadie sospecha de que una app tenga un permiso si puede asociarle
un uso que pueda explicar.
• Ej: Metro App pide acceso a cámara para reportar fotos.
• Uso coincidente de permisos
• Ej: Pokemon Go y toma de fotos.
• Infección de compiladores
• Ej: XCodeGhost
• https://github.com/XcodeGhostSource/XcodeGhost
• Modificación de Xcode para inyectar dinámicamente un payload en tiempo
de compilación
• Afectadas varias aplicaciones en China por no descargar el programa en la
web oficial (debido a la ralentización de la red china) y usar un mirror.
Quiz App: Creando nuestra Botnet de Gremlin Apps
• Quiz App es un ejemplo.
• Quiz App pretende ser un juego de ¿qué te
gusta más?
• Se comporta de forma racional hasta que algo
externo altera su comportamiento.
• Se usa esteganografía para “ocultar” los
comandos que alteran su comportamiento.
Quizz App: Creando nuestra Botnet de Gremlin Apps
Se vuelve maliciosa aquella App que lea un e-mail, Phone # o Twiiter que sea suyo.
Transferencia a través de exfiltración (banner)
Quizz App: Creando nuestra Botnet de Gremlin Apps
Quizz App: Creando nuestra Botnet de Gremlin Apps
Uso de permisos de forma silenciosa y oportunista en función de uso de persmisos.
“Robando” Apps
• ¿Qué ocurre con las cuentas
de desarrollador cuando uno
se muere?
• ¿Cuándo caducan?
• ¿Se pueden volver a
registrar?
• ¿Se puede robar una app?
PROVEEDOR EXPIRA
Gmail 9 meses*
AOL Mail 3 meses
FastMail Hasta fin de pago
GMX Mail 6 meses o fin de pago
Hushmail 3 semanas o hasta fin de pago
ICloud Nunca
Lycos 1 mes
Mail.com 6 meses o hasta fin de pago
Mail.ru 6 meses o hasta fin de pago
Mailfence 7 meses (gratis) o nunca(versión de pago)
Outlook.com (live
mail/Hotmail)
270 dias
ProtonMail 3 meses
Rackspace Hasta final de pago
Rediffmail 3 meses
Runbox Hasta fin de pago
Tutanota Nunca
Yahoo! 12 meses
Yandex Mail 24 meses
Zoho 4 meses o hasta fin de pago
Tacyt: Cuentas de desarrolladores “huérfanas”
• Estudio de la cantidad de cuentas de
desarrollador con direcciones de e-mail
caducadas.
• Se pueden volver a registrar y recuperar cuenta
de desarrollador Google.
• Cuantas instalaciones se ven afectadas.
• Para realizar esta prueba de concepto se ha
seleccionado un proveedor determinado
Outlook, y una muestra de 217 cuentas de
correo electrónico distintas.
0 50 100 150 200 250
Cuentas sin caducar
Cuentas caducadas
Cuentas sin caducar Cuentas caducadas
Total 209 8
Cuentas caducadas Outlook
El club de los poetas muertos
Cuenta de correo Apps# Nombre de las apps Donloads#
XXXXXcolla@outlook.com 12
1.Insta Mirror
1,256,150
2.Insta Face
3.Insta Eyes
4.Face Blender
5.Insta Effects
6.Insta Collage
7.Insta Color
8.Animal Face
9.Insta Frames
10.Photo Shape for
Instagram
11.Insta Camera
12.Insta Square
XXXXXXloperapps@outlook.
com
1
1.Download Video
Downloader Free
1,000,000
XXXXXenes@outlook.com 1
1.Imágenes para
Whatsapp
1,000,000
XXXXXXnloader@outlook.co
m
1
1.IDM+ Download
Manager free
500,000
XXXXXtudios@outlook.com 1 1.Super Artie World 500,000
XXXXXkit4u@outlook.com 12 346,200
2.Military Armor Mod Installer
3.Poke Cube Mod Installer
4.Elsa Mod Installer
5.RhanCandia Elevator
Installer
6.Instant Structure Mod
Instaler
7.Better Lucky Blocks Installer
8.AutomatedCraft Mod
Installer
9.Christmas Bosses Mod
Installer
10.MineKart Mod Installer
11.Security Camera Mod
Installer
12.Morph Victim Mod
Installer
XXXXXX.sp@outlook.com 1 1.Video player for android 100,000
XXXXXX.rocha@outlook.co
m
6
1.Quiz Millonario Español
Gratis
152,000
2.Millionaire
3.Millionaire Quiz English
4.Quiz Milionario Italiano
5.Millionnaire Quiz Français
8 cuentas = 4,854,350descargas
El club de los poetas muertos. Toma de control.
Conclusiones & Preguntas
• Cada app puede hacer en tu sistema todo lo que
los permisos permitan.
• La confianza en las compañías detrás es
relevante.
• Gestionar la seguridad de los
ejecutivos/empleados de una empresa implica
gestionar la seguridad del parque de apps que
se instalan en sus dispositivos.
• Toda app puede volverse maliciosa por:
• Un desarrollador malicioso
• La app es vulnerable
• La app se vende
• La app se roba
https://www.mypublicinbox.com/ChemaAlonso

Más contenido relacionado

Similar a Gremlin Botnets: El club de los poetas muertos

Presentacion Plataformas moviles
Presentacion Plataformas movilesPresentacion Plataformas moviles
Presentacion Plataformas movilesDr. Edwin Hernandez
 
Trabajo práctico nº 5
Trabajo práctico nº 5Trabajo práctico nº 5
Trabajo práctico nº 5evaristo
 
Taller de seguridad informatica
Taller de seguridad informaticaTaller de seguridad informatica
Taller de seguridad informaticaJuan Osorio
 
Presentacion Apps Moviles Atrapalo.com
Presentacion Apps Moviles Atrapalo.comPresentacion Apps Moviles Atrapalo.com
Presentacion Apps Moviles Atrapalo.comJose Diaz Moreno
 
Taller de seguridad informatica
Taller de seguridad informaticaTaller de seguridad informatica
Taller de seguridad informaticajfuy
 
Taller de seguridad informatica
Taller de seguridad informaticaTaller de seguridad informatica
Taller de seguridad informaticamanurioslopera
 
¡Que lo haga otro! Automatizaciones SEO para vivir mejor
¡Que lo haga otro! Automatizaciones SEO para vivir mejor¡Que lo haga otro! Automatizaciones SEO para vivir mejor
¡Que lo haga otro! Automatizaciones SEO para vivir mejorIñaki Huerta (ikhuerta)
 
Sesion8 Aplicaciones Moviles.pdf
Sesion8 Aplicaciones Moviles.pdfSesion8 Aplicaciones Moviles.pdf
Sesion8 Aplicaciones Moviles.pdffispari1
 
Desarrollo de Apps con la herramienta Phonegap
Desarrollo de Apps con la herramienta PhonegapDesarrollo de Apps con la herramienta Phonegap
Desarrollo de Apps con la herramienta PhonegapCongresoWeb
 
Windows phone Dev - STCSummit 2014
Windows phone Dev - STCSummit 2014Windows phone Dev - STCSummit 2014
Windows phone Dev - STCSummit 2014Jose R Jara
 
Proyecto 5 - Seguridad Activa: SO y Apps.
Proyecto 5 - Seguridad Activa: SO y Apps.Proyecto 5 - Seguridad Activa: SO y Apps.
Proyecto 5 - Seguridad Activa: SO y Apps.Ángel Sardinero López
 
Seguridad Dispositivos móviles Extened Edition
Seguridad Dispositivos móviles Extened EditionSeguridad Dispositivos móviles Extened Edition
Seguridad Dispositivos móviles Extened EditionJose Manuel Ortega Candel
 
Fun with .NET - Windows Phone, LEGO Mindstorms, and Azure by Dan Fernandez
Fun with .NET - Windows Phone, LEGO Mindstorms, and Azure by Dan FernandezFun with .NET - Windows Phone, LEGO Mindstorms, and Azure by Dan Fernandez
Fun with .NET - Windows Phone, LEGO Mindstorms, and Azure by Dan Fernandez.NET Conf UY
 
Tutorial de programación
Tutorial de programaciónTutorial de programación
Tutorial de programaciónvictdiazm
 
Comenzar con PhoneGap y subir a Googleplay y AppStore
Comenzar con PhoneGap y subir a Googleplay y AppStoreComenzar con PhoneGap y subir a Googleplay y AppStore
Comenzar con PhoneGap y subir a Googleplay y AppStoreRamiro Mendoza
 
¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android
¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android ¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android
¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android degarden
 
Taller de seguridad informatica
Taller de seguridad informaticaTaller de seguridad informatica
Taller de seguridad informaticaAlejandro Holguin
 

Similar a Gremlin Botnets: El club de los poetas muertos (20)

Presentacion Plataformas moviles
Presentacion Plataformas movilesPresentacion Plataformas moviles
Presentacion Plataformas moviles
 
tehnik mobile hacking
tehnik mobile hackingtehnik mobile hacking
tehnik mobile hacking
 
Trabajo práctico nº 5
Trabajo práctico nº 5Trabajo práctico nº 5
Trabajo práctico nº 5
 
Html5 vs Flash
Html5 vs FlashHtml5 vs Flash
Html5 vs Flash
 
Taller de seguridad informatica
Taller de seguridad informaticaTaller de seguridad informatica
Taller de seguridad informatica
 
Presentacion Apps Moviles Atrapalo.com
Presentacion Apps Moviles Atrapalo.comPresentacion Apps Moviles Atrapalo.com
Presentacion Apps Moviles Atrapalo.com
 
Taller de seguridad informatica
Taller de seguridad informaticaTaller de seguridad informatica
Taller de seguridad informatica
 
Taller de seguridad informatica
Taller de seguridad informaticaTaller de seguridad informatica
Taller de seguridad informatica
 
¡Que lo haga otro! Automatizaciones SEO para vivir mejor
¡Que lo haga otro! Automatizaciones SEO para vivir mejor¡Que lo haga otro! Automatizaciones SEO para vivir mejor
¡Que lo haga otro! Automatizaciones SEO para vivir mejor
 
Sesion8 Aplicaciones Moviles.pdf
Sesion8 Aplicaciones Moviles.pdfSesion8 Aplicaciones Moviles.pdf
Sesion8 Aplicaciones Moviles.pdf
 
Desarrollo de Apps con la herramienta Phonegap
Desarrollo de Apps con la herramienta PhonegapDesarrollo de Apps con la herramienta Phonegap
Desarrollo de Apps con la herramienta Phonegap
 
Windows phone Dev - STCSummit 2014
Windows phone Dev - STCSummit 2014Windows phone Dev - STCSummit 2014
Windows phone Dev - STCSummit 2014
 
Proyecto 5 - Seguridad Activa: SO y Apps.
Proyecto 5 - Seguridad Activa: SO y Apps.Proyecto 5 - Seguridad Activa: SO y Apps.
Proyecto 5 - Seguridad Activa: SO y Apps.
 
Seguridad Dispositivos móviles Extened Edition
Seguridad Dispositivos móviles Extened EditionSeguridad Dispositivos móviles Extened Edition
Seguridad Dispositivos móviles Extened Edition
 
Fun with .NET - Windows Phone, LEGO Mindstorms, and Azure by Dan Fernandez
Fun with .NET - Windows Phone, LEGO Mindstorms, and Azure by Dan FernandezFun with .NET - Windows Phone, LEGO Mindstorms, and Azure by Dan Fernandez
Fun with .NET - Windows Phone, LEGO Mindstorms, and Azure by Dan Fernandez
 
Tutorial de programación
Tutorial de programaciónTutorial de programación
Tutorial de programación
 
Native vs web
Native vs webNative vs web
Native vs web
 
Comenzar con PhoneGap y subir a Googleplay y AppStore
Comenzar con PhoneGap y subir a Googleplay y AppStoreComenzar con PhoneGap y subir a Googleplay y AppStore
Comenzar con PhoneGap y subir a Googleplay y AppStore
 
¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android
¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android ¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android
¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android
 
Taller de seguridad informatica
Taller de seguridad informaticaTaller de seguridad informatica
Taller de seguridad informatica
 

Más de Telefónica

Índice de libro "Historias Cortas sobre Fondo Azul" de Willy en 0xWord
Índice de libro "Historias Cortas sobre Fondo Azul" de Willy en 0xWordÍndice de libro "Historias Cortas sobre Fondo Azul" de Willy en 0xWord
Índice de libro "Historias Cortas sobre Fondo Azul" de Willy en 0xWordTelefónica
 
Índice del libro: Máxima Seguridad en Windows: Secretos Técnicos. 6ª Edición ...
Índice del libro: Máxima Seguridad en Windows: Secretos Técnicos. 6ª Edición ...Índice del libro: Máxima Seguridad en Windows: Secretos Técnicos. 6ª Edición ...
Índice del libro: Máxima Seguridad en Windows: Secretos Técnicos. 6ª Edición ...Telefónica
 
Índice del libro "Hacking Web3: Challenge Acepted!" de 0xWord
Índice del libro "Hacking Web3: Challenge Acepted!" de 0xWordÍndice del libro "Hacking Web3: Challenge Acepted!" de 0xWord
Índice del libro "Hacking Web3: Challenge Acepted!" de 0xWordTelefónica
 
Índice del libro "Amazon Web Services: Hardening de Infraestructuras Cloud Co...
Índice del libro "Amazon Web Services: Hardening de Infraestructuras Cloud Co...Índice del libro "Amazon Web Services: Hardening de Infraestructuras Cloud Co...
Índice del libro "Amazon Web Services: Hardening de Infraestructuras Cloud Co...Telefónica
 
Índice del Libro "Ciberestafas: La historia de nunca acabar" (2ª Edición) de ...
Índice del Libro "Ciberestafas: La historia de nunca acabar" (2ª Edición) de ...Índice del Libro "Ciberestafas: La historia de nunca acabar" (2ª Edición) de ...
Índice del Libro "Ciberestafas: La historia de nunca acabar" (2ª Edición) de ...Telefónica
 
Índice del Libro "Storytelling para Emprendedores"
Índice del Libro "Storytelling para Emprendedores"Índice del Libro "Storytelling para Emprendedores"
Índice del Libro "Storytelling para Emprendedores"Telefónica
 
Digital Latches for Hacker & Developer
Digital Latches for Hacker & DeveloperDigital Latches for Hacker & Developer
Digital Latches for Hacker & DeveloperTelefónica
 
Índice del libro "Hardening de servidores GNU / Linux 5ª Edición (Gold Edition)"
Índice del libro "Hardening de servidores GNU / Linux 5ª Edición (Gold Edition)"Índice del libro "Hardening de servidores GNU / Linux 5ª Edición (Gold Edition)"
Índice del libro "Hardening de servidores GNU / Linux 5ª Edición (Gold Edition)"Telefónica
 
WhatsApp INT: OSINT en WhatsApp
WhatsApp INT: OSINT en WhatsAppWhatsApp INT: OSINT en WhatsApp
WhatsApp INT: OSINT en WhatsAppTelefónica
 
Índice del libro "De la Caverna al Metaverso" de 0xWord.com
Índice del libro "De la Caverna al Metaverso" de 0xWord.comÍndice del libro "De la Caverna al Metaverso" de 0xWord.com
Índice del libro "De la Caverna al Metaverso" de 0xWord.comTelefónica
 
20º Máster Universitario de Ciberseguridad UNIR
20º Máster Universitario de Ciberseguridad UNIR20º Máster Universitario de Ciberseguridad UNIR
20º Máster Universitario de Ciberseguridad UNIRTelefónica
 
BootCamp Online en DevOps (and SecDevOps) de GeeksHubs Academy
BootCamp Online en DevOps (and SecDevOps) de GeeksHubs AcademyBootCamp Online en DevOps (and SecDevOps) de GeeksHubs Academy
BootCamp Online en DevOps (and SecDevOps) de GeeksHubs AcademyTelefónica
 
Índice del libro "Ciberseguridad de tú a tú" de 0xWord
Índice del libro "Ciberseguridad de tú a tú"  de 0xWordÍndice del libro "Ciberseguridad de tú a tú"  de 0xWord
Índice del libro "Ciberseguridad de tú a tú" de 0xWordTelefónica
 
Índice del libro "Open Source INTelligence (OSINT): Investigar personas e Ide...
Índice del libro "Open Source INTelligence (OSINT): Investigar personas e Ide...Índice del libro "Open Source INTelligence (OSINT): Investigar personas e Ide...
Índice del libro "Open Source INTelligence (OSINT): Investigar personas e Ide...Telefónica
 
Índice del libro "Social Hunters" de 0xWord
Índice del libro "Social Hunters" de 0xWordÍndice del libro "Social Hunters" de 0xWord
Índice del libro "Social Hunters" de 0xWordTelefónica
 
Índice del libro "Kubernetes para profesionales: Desde cero al despliegue de ...
Índice del libro "Kubernetes para profesionales: Desde cero al despliegue de ...Índice del libro "Kubernetes para profesionales: Desde cero al despliegue de ...
Índice del libro "Kubernetes para profesionales: Desde cero al despliegue de ...Telefónica
 
Los retos sociales y éticos del Metaverso
Los retos sociales y éticos del MetaversoLos retos sociales y éticos del Metaverso
Los retos sociales y éticos del MetaversoTelefónica
 
Índice del Libro "Ciberestafas: La historia de nunca acabar" de 0xWord
Índice del Libro "Ciberestafas: La historia de nunca acabar" de 0xWordÍndice del Libro "Ciberestafas: La historia de nunca acabar" de 0xWord
Índice del Libro "Ciberestafas: La historia de nunca acabar" de 0xWordTelefónica
 
Índice del libro "Docker: SecDevOps" 2ª Edición de 0xWord
Índice del libro "Docker: SecDevOps" 2ª Edición de 0xWordÍndice del libro "Docker: SecDevOps" 2ª Edición de 0xWord
Índice del libro "Docker: SecDevOps" 2ª Edición de 0xWordTelefónica
 
Índice del libro "Malware moderno: Técnicas avanzadas y su influencia en la i...
Índice del libro "Malware moderno: Técnicas avanzadas y su influencia en la i...Índice del libro "Malware moderno: Técnicas avanzadas y su influencia en la i...
Índice del libro "Malware moderno: Técnicas avanzadas y su influencia en la i...Telefónica
 

Más de Telefónica (20)

Índice de libro "Historias Cortas sobre Fondo Azul" de Willy en 0xWord
Índice de libro "Historias Cortas sobre Fondo Azul" de Willy en 0xWordÍndice de libro "Historias Cortas sobre Fondo Azul" de Willy en 0xWord
Índice de libro "Historias Cortas sobre Fondo Azul" de Willy en 0xWord
 
Índice del libro: Máxima Seguridad en Windows: Secretos Técnicos. 6ª Edición ...
Índice del libro: Máxima Seguridad en Windows: Secretos Técnicos. 6ª Edición ...Índice del libro: Máxima Seguridad en Windows: Secretos Técnicos. 6ª Edición ...
Índice del libro: Máxima Seguridad en Windows: Secretos Técnicos. 6ª Edición ...
 
Índice del libro "Hacking Web3: Challenge Acepted!" de 0xWord
Índice del libro "Hacking Web3: Challenge Acepted!" de 0xWordÍndice del libro "Hacking Web3: Challenge Acepted!" de 0xWord
Índice del libro "Hacking Web3: Challenge Acepted!" de 0xWord
 
Índice del libro "Amazon Web Services: Hardening de Infraestructuras Cloud Co...
Índice del libro "Amazon Web Services: Hardening de Infraestructuras Cloud Co...Índice del libro "Amazon Web Services: Hardening de Infraestructuras Cloud Co...
Índice del libro "Amazon Web Services: Hardening de Infraestructuras Cloud Co...
 
Índice del Libro "Ciberestafas: La historia de nunca acabar" (2ª Edición) de ...
Índice del Libro "Ciberestafas: La historia de nunca acabar" (2ª Edición) de ...Índice del Libro "Ciberestafas: La historia de nunca acabar" (2ª Edición) de ...
Índice del Libro "Ciberestafas: La historia de nunca acabar" (2ª Edición) de ...
 
Índice del Libro "Storytelling para Emprendedores"
Índice del Libro "Storytelling para Emprendedores"Índice del Libro "Storytelling para Emprendedores"
Índice del Libro "Storytelling para Emprendedores"
 
Digital Latches for Hacker & Developer
Digital Latches for Hacker & DeveloperDigital Latches for Hacker & Developer
Digital Latches for Hacker & Developer
 
Índice del libro "Hardening de servidores GNU / Linux 5ª Edición (Gold Edition)"
Índice del libro "Hardening de servidores GNU / Linux 5ª Edición (Gold Edition)"Índice del libro "Hardening de servidores GNU / Linux 5ª Edición (Gold Edition)"
Índice del libro "Hardening de servidores GNU / Linux 5ª Edición (Gold Edition)"
 
WhatsApp INT: OSINT en WhatsApp
WhatsApp INT: OSINT en WhatsAppWhatsApp INT: OSINT en WhatsApp
WhatsApp INT: OSINT en WhatsApp
 
Índice del libro "De la Caverna al Metaverso" de 0xWord.com
Índice del libro "De la Caverna al Metaverso" de 0xWord.comÍndice del libro "De la Caverna al Metaverso" de 0xWord.com
Índice del libro "De la Caverna al Metaverso" de 0xWord.com
 
20º Máster Universitario de Ciberseguridad UNIR
20º Máster Universitario de Ciberseguridad UNIR20º Máster Universitario de Ciberseguridad UNIR
20º Máster Universitario de Ciberseguridad UNIR
 
BootCamp Online en DevOps (and SecDevOps) de GeeksHubs Academy
BootCamp Online en DevOps (and SecDevOps) de GeeksHubs AcademyBootCamp Online en DevOps (and SecDevOps) de GeeksHubs Academy
BootCamp Online en DevOps (and SecDevOps) de GeeksHubs Academy
 
Índice del libro "Ciberseguridad de tú a tú" de 0xWord
Índice del libro "Ciberseguridad de tú a tú"  de 0xWordÍndice del libro "Ciberseguridad de tú a tú"  de 0xWord
Índice del libro "Ciberseguridad de tú a tú" de 0xWord
 
Índice del libro "Open Source INTelligence (OSINT): Investigar personas e Ide...
Índice del libro "Open Source INTelligence (OSINT): Investigar personas e Ide...Índice del libro "Open Source INTelligence (OSINT): Investigar personas e Ide...
Índice del libro "Open Source INTelligence (OSINT): Investigar personas e Ide...
 
Índice del libro "Social Hunters" de 0xWord
Índice del libro "Social Hunters" de 0xWordÍndice del libro "Social Hunters" de 0xWord
Índice del libro "Social Hunters" de 0xWord
 
Índice del libro "Kubernetes para profesionales: Desde cero al despliegue de ...
Índice del libro "Kubernetes para profesionales: Desde cero al despliegue de ...Índice del libro "Kubernetes para profesionales: Desde cero al despliegue de ...
Índice del libro "Kubernetes para profesionales: Desde cero al despliegue de ...
 
Los retos sociales y éticos del Metaverso
Los retos sociales y éticos del MetaversoLos retos sociales y éticos del Metaverso
Los retos sociales y éticos del Metaverso
 
Índice del Libro "Ciberestafas: La historia de nunca acabar" de 0xWord
Índice del Libro "Ciberestafas: La historia de nunca acabar" de 0xWordÍndice del Libro "Ciberestafas: La historia de nunca acabar" de 0xWord
Índice del Libro "Ciberestafas: La historia de nunca acabar" de 0xWord
 
Índice del libro "Docker: SecDevOps" 2ª Edición de 0xWord
Índice del libro "Docker: SecDevOps" 2ª Edición de 0xWordÍndice del libro "Docker: SecDevOps" 2ª Edición de 0xWord
Índice del libro "Docker: SecDevOps" 2ª Edición de 0xWord
 
Índice del libro "Malware moderno: Técnicas avanzadas y su influencia en la i...
Índice del libro "Malware moderno: Técnicas avanzadas y su influencia en la i...Índice del libro "Malware moderno: Técnicas avanzadas y su influencia en la i...
Índice del libro "Malware moderno: Técnicas avanzadas y su influencia en la i...
 

Último

FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptchaverriemily794
 
CommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 TestcontainersCommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 TestcontainersIván López Martín
 
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION  PART 2 (1)-1.docxTALLER DE ANALISIS SOLUCION  PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxobandopaula444
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúCEFERINO DELGADO FLORES
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfjeondanny1997
 
Documentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosDocumentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosAlbanyMartinez7
 
Herramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdfHerramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdfKarinaCambero3
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOnarvaezisabella21
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxAlexander López
 
Slideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan GerenciaSlideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan Gerenciacubillannoly
 
Presentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia ArtificialPresentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia Artificialcynserafini89
 
certificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfcertificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfFernandoOblitasVivan
 
Análisis de Artefactos Tecnologicos (3) (1).pdf
Análisis de Artefactos Tecnologicos  (3) (1).pdfAnálisis de Artefactos Tecnologicos  (3) (1).pdf
Análisis de Artefactos Tecnologicos (3) (1).pdfsharitcalderon04
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfedepmariaperez
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxtjcesar1
 
Los Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesLos Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesEdomar AR
 
Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1ivanapaterninar
 

Último (20)

FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
 
CommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 TestcontainersCommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 Testcontainers
 
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION  PART 2 (1)-1.docxTALLER DE ANALISIS SOLUCION  PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
 
Documentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosDocumentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos Juridicos
 
Herramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdfHerramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdf
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
 
El camino a convertirse en Microsoft MVP
El camino a convertirse en Microsoft MVPEl camino a convertirse en Microsoft MVP
El camino a convertirse en Microsoft MVP
 
Slideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan GerenciaSlideshare y Scribd - Noli Cubillan Gerencia
Slideshare y Scribd - Noli Cubillan Gerencia
 
Presentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia ArtificialPresentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia Artificial
 
certificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfcertificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdf
 
Análisis de Artefactos Tecnologicos (3) (1).pdf
Análisis de Artefactos Tecnologicos  (3) (1).pdfAnálisis de Artefactos Tecnologicos  (3) (1).pdf
Análisis de Artefactos Tecnologicos (3) (1).pdf
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdf
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
 
Los Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesLos Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, Aplicaciones
 
Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1
 

Gremlin Botnets: El club de los poetas muertos

  • 1. El club de los poetas muertos PARTE 1 de 6 Chema Alonso (@ChemaAlonso) (https://www.MyPublicInbox.com/ChemaAlonso)
  • 2. Hace mucho tiempo…”La FOCA es una Botnet” https://www.elladodelmal.com/2010/12/la-foca-es-una-botnet.html
  • 3. FOCA BOTNET Command & Control IMG con Payload (Esteganografía) Payload (IP+Command) GET IMG + ANSWER ANSWER Gremlim FOCA
  • 4. Esteganografía (comandos) Es muy difícil detectar alguna información que está escondida en una imagen pequeña sin reversing.
  • 5. Gremlin Apps: Cut Rope Christmas
  • 6. Gremlin Apps: Cut Rope Christmas Es una App que trabaja de manera cordial y fiable hasta que un evento la transforma. La condición de transformación puede ser de diferente tipo: Un evento/dato externo leído, Una actualización del código, Robo de app, Compra de app.
  • 7. Gremlin Apps: Crecimiento inorgánico (de Battery Saver a Rogue AV) 1.- Volumen 2.- Permisos 3.- Público objetivo https://www.elladodelmal.com/2015/01/la-venta-de- apps-al-cibercrimen.html
  • 8. Idea de negocio: APT Provider con una botnet de apps • Crear una botnet de Apps maliciosas que accedan a quién eres y te vendan cómo objetivo. • Saber quién tiene instalada esa APP: • Cuentas: Twitter, Facebook, etc… • Número de teléfono: WhatsApp, Telegram, 2FA, Account Recovery. • E-mail: Login. • Saber todo sobre esa persona usando OSINT • Dirty Business Card. • Volver maliciosa tu Gremlin App en un APT Dirigido • Se active solo una instancia de la botnet. • Esteganografía para envío de commandos. • Aprovechamiento de permisos para ejecución de commandos.
  • 9. Tacyt: Apps en Android & permisos
  • 10. Permisos para acceso a número de Teléfono • Cuando una aplicación se instala en un teléfono Android, solicita una serie de privilegios de acceso que el usuario debe aprobar • Entre los datos que suelen recolectar este tipo de aplicaciones, deben encontrarse algunos que permitan identificar a la víctima de manera unívoca, de tal manera, que en cualquier momento se pueda realizar un ataque dirigido contra ella • <uses-permission android:name="android.permission.READ_PHONE_STATE"/> • <uses-permission android:name="android.permission.READ_PHONE_NUMBERS "/>
  • 11. Permisos para acceso a número de Teléfono y cuentas • TelephonyManager es una técnica para acceder al teléfono almacenado en la SIM • AccountsManager puede coger información sensible de otras cuentas (twitter, telegram, google…)
  • 12. Version Codename API Distribution(%) Total Afectados Gingerbread 10 0,3 61,30 % < 8.0 2.3.3 -2.3.7 Ice Cream Sandwich 15 0,3 4.0.3 -4.0.4 4.1.x Jelly Bean 16 1,2 4.2.x 17 1,5 4.3 18 0,5 4.4 KitKat 19 6,9 5.0 Lollipop 21 3 5.1 22 11,5 6.0 Marshmallow 23 16,9 7.0 Nougat 24 11,4 7.1 25 7,8 8.0 Oreo 26 12,9 8.1 27 15,4 9 Pie 28 10,4 Casi un 62% de dispositivos tienen una versión anterior a Android 8, se puede acceder a datos sensibles de otras cuentas (e-mail, twitter…) Cuota de versiones de Android instalados con acceso a Accounts
  • 13. ¿Y si no hay permisos? Login con e-mail o Oauth nos vale. • Permite acceder a cuentas e-mail • Oauth: Permie acceder a más datos pero necesitas crear app en Google. NOTA: RootedCON 2016 SAPPO
  • 15. Gremlin apps: Seleccionando los permisos adecuados permissionName:"android.permission.GET_ACCOUNTS" permissionName:"android.permission.INTERNET" permissionName:"android.permission.READ_EXTERNAL_STORAG E" permissionName:"android.permission.READ_PHONE_STATE" permissionName:"android.permission.ACCESS_NETWORK_STATE
  • 16. Gremlin apps: Seleccionando los objetivos adecuados
  • 17. mASAPP. Control de parque de apps en venta
  • 18. Gremlim Apps: Uso de permisos de forma silenciosa • Nadie sospecha de que una app tenga un permiso si puede asociarle un uso que pueda explicar. • Ej: Metro App pide acceso a cámara para reportar fotos. • Uso coincidente de permisos • Ej: Pokemon Go y toma de fotos. • Infección de compiladores • Ej: XCodeGhost • https://github.com/XcodeGhostSource/XcodeGhost • Modificación de Xcode para inyectar dinámicamente un payload en tiempo de compilación • Afectadas varias aplicaciones en China por no descargar el programa en la web oficial (debido a la ralentización de la red china) y usar un mirror.
  • 19. Quiz App: Creando nuestra Botnet de Gremlin Apps • Quiz App es un ejemplo. • Quiz App pretende ser un juego de ¿qué te gusta más? • Se comporta de forma racional hasta que algo externo altera su comportamiento. • Se usa esteganografía para “ocultar” los comandos que alteran su comportamiento.
  • 20. Quizz App: Creando nuestra Botnet de Gremlin Apps Se vuelve maliciosa aquella App que lea un e-mail, Phone # o Twiiter que sea suyo.
  • 21. Transferencia a través de exfiltración (banner) Quizz App: Creando nuestra Botnet de Gremlin Apps
  • 22. Quizz App: Creando nuestra Botnet de Gremlin Apps Uso de permisos de forma silenciosa y oportunista en función de uso de persmisos.
  • 23. “Robando” Apps • ¿Qué ocurre con las cuentas de desarrollador cuando uno se muere? • ¿Cuándo caducan? • ¿Se pueden volver a registrar? • ¿Se puede robar una app? PROVEEDOR EXPIRA Gmail 9 meses* AOL Mail 3 meses FastMail Hasta fin de pago GMX Mail 6 meses o fin de pago Hushmail 3 semanas o hasta fin de pago ICloud Nunca Lycos 1 mes Mail.com 6 meses o hasta fin de pago Mail.ru 6 meses o hasta fin de pago Mailfence 7 meses (gratis) o nunca(versión de pago) Outlook.com (live mail/Hotmail) 270 dias ProtonMail 3 meses Rackspace Hasta final de pago Rediffmail 3 meses Runbox Hasta fin de pago Tutanota Nunca Yahoo! 12 meses Yandex Mail 24 meses Zoho 4 meses o hasta fin de pago
  • 24. Tacyt: Cuentas de desarrolladores “huérfanas” • Estudio de la cantidad de cuentas de desarrollador con direcciones de e-mail caducadas. • Se pueden volver a registrar y recuperar cuenta de desarrollador Google. • Cuantas instalaciones se ven afectadas. • Para realizar esta prueba de concepto se ha seleccionado un proveedor determinado Outlook, y una muestra de 217 cuentas de correo electrónico distintas. 0 50 100 150 200 250 Cuentas sin caducar Cuentas caducadas Cuentas sin caducar Cuentas caducadas Total 209 8 Cuentas caducadas Outlook
  • 25. El club de los poetas muertos Cuenta de correo Apps# Nombre de las apps Donloads# XXXXXcolla@outlook.com 12 1.Insta Mirror 1,256,150 2.Insta Face 3.Insta Eyes 4.Face Blender 5.Insta Effects 6.Insta Collage 7.Insta Color 8.Animal Face 9.Insta Frames 10.Photo Shape for Instagram 11.Insta Camera 12.Insta Square XXXXXXloperapps@outlook. com 1 1.Download Video Downloader Free 1,000,000 XXXXXenes@outlook.com 1 1.Imágenes para Whatsapp 1,000,000 XXXXXXnloader@outlook.co m 1 1.IDM+ Download Manager free 500,000 XXXXXtudios@outlook.com 1 1.Super Artie World 500,000 XXXXXkit4u@outlook.com 12 346,200 2.Military Armor Mod Installer 3.Poke Cube Mod Installer 4.Elsa Mod Installer 5.RhanCandia Elevator Installer 6.Instant Structure Mod Instaler 7.Better Lucky Blocks Installer 8.AutomatedCraft Mod Installer 9.Christmas Bosses Mod Installer 10.MineKart Mod Installer 11.Security Camera Mod Installer 12.Morph Victim Mod Installer XXXXXX.sp@outlook.com 1 1.Video player for android 100,000 XXXXXX.rocha@outlook.co m 6 1.Quiz Millonario Español Gratis 152,000 2.Millionaire 3.Millionaire Quiz English 4.Quiz Milionario Italiano 5.Millionnaire Quiz Français 8 cuentas = 4,854,350descargas
  • 26. El club de los poetas muertos. Toma de control.
  • 27. Conclusiones & Preguntas • Cada app puede hacer en tu sistema todo lo que los permisos permitan. • La confianza en las compañías detrás es relevante. • Gestionar la seguridad de los ejecutivos/empleados de una empresa implica gestionar la seguridad del parque de apps que se instalan en sus dispositivos. • Toda app puede volverse maliciosa por: • Un desarrollador malicioso • La app es vulnerable • La app se vende • La app se roba https://www.mypublicinbox.com/ChemaAlonso