Charla impartida por Chema Alonso en la RootedCON 2020 sobre las Gremlin Botnets. Tienes el artículo completo en la URL: https://www.elladodelmal.com/2020/03/el-club-de-los-poetas-muertos-parte-1.html Puedes contactar con Chema Alonso en https://www.mypublicinbox.com/ChemaAlonso

1. El club de los poetas muertos
PARTE 1 de 6
Chema Alonso (@ChemaAlonso)
(https://www.MyPublicInbox.com/ChemaAlonso)

2. Hace mucho tiempo…”La FOCA es una Botnet”
https://www.elladodelmal.com/2010/12/la-foca-es-una-botnet.html

3. FOCA BOTNET
Command & Control
IMG con Payload
(Esteganografía)
Payload (IP+Command)
GET IMG + ANSWER
ANSWER
Gremlim FOCA

4. Esteganografía (comandos)
Es muy difícil detectar alguna información que está escondida en una imagen pequeña sin
reversing.

5. Gremlin Apps: Cut Rope Christmas

6. Gremlin Apps: Cut Rope Christmas
Es una App que trabaja de manera cordial y fiable hasta que un evento la transforma. La condición de
transformación puede ser de diferente tipo: Un evento/dato externo leído, Una actualización del código, Robo de
app, Compra de app.

7. Gremlin Apps: Crecimiento inorgánico
(de Battery Saver a Rogue AV)
1.- Volumen
2.- Permisos
3.- Público objetivo
https://www.elladodelmal.com/2015/01/la-venta-de-
apps-al-cibercrimen.html

8. Idea de negocio: APT Provider con una botnet de apps
• Crear una botnet de Apps maliciosas que accedan a quién eres y te vendan cómo objetivo.
• Saber quién tiene instalada esa APP:
• Cuentas: Twitter, Facebook, etc…
• Número de teléfono: WhatsApp, Telegram, 2FA, Account Recovery.
• E-mail: Login.
• Saber todo sobre esa persona usando OSINT
• Dirty Business Card.
• Volver maliciosa tu Gremlin App en un APT Dirigido
• Se active solo una instancia de la botnet.
• Esteganografía para envío de commandos.
• Aprovechamiento de permisos para ejecución de commandos.

9. Tacyt: Apps en Android & permisos

10. Permisos para acceso a número de Teléfono
• Cuando una aplicación se instala en un teléfono Android, solicita una serie de
privilegios de acceso que el usuario debe aprobar
• Entre los datos que suelen recolectar este tipo de aplicaciones, deben encontrarse
algunos que permitan identificar a la víctima de manera unívoca, de tal manera, que
en cualquier momento se pueda realizar un ataque dirigido contra ella
• <uses-permission android:name="android.permission.READ_PHONE_STATE"/>
• <uses-permission android:name="android.permission.READ_PHONE_NUMBERS "/>

11. Permisos para acceso a número de Teléfono y cuentas
• TelephonyManager es una técnica para acceder al teléfono almacenado en la SIM
• AccountsManager puede coger información sensible de otras cuentas (twitter, telegram,
google…)

12. Version Codename API Distribution(%) Total Afectados
Gingerbread 10 0,3
61,30 % < 8.0
2.3.3 -2.3.7
Ice Cream Sandwich 15 0,3
4.0.3 -4.0.4
4.1.x Jelly Bean 16 1,2
4.2.x 17 1,5
4.3 18 0,5
4.4 KitKat 19 6,9
5.0 Lollipop 21 3
5.1 22 11,5
6.0 Marshmallow 23 16,9
7.0 Nougat 24 11,4
7.1 25 7,8
8.0 Oreo 26 12,9
8.1 27 15,4
9 Pie 28 10,4
Casi un 62% de dispositivos tienen una versión
anterior a Android 8, se puede acceder a datos
sensibles de otras cuentas (e-mail, twitter…)
Cuota de versiones de Android instalados con acceso a
Accounts

13. ¿Y si no hay permisos? Login con e-mail o Oauth nos vale.
• Permite acceder a cuentas e-mail
• Oauth: Permie acceder a más datos pero necesitas
crear app en Google. NOTA: RootedCON 2016
SAPPO

14. Dirty Business Card

15. Gremlin apps: Seleccionando los permisos adecuados
permissionName:"android.permission.GET_ACCOUNTS"
permissionName:"android.permission.INTERNET"
permissionName:"android.permission.READ_EXTERNAL_STORAG
E" permissionName:"android.permission.READ_PHONE_STATE"
permissionName:"android.permission.ACCESS_NETWORK_STATE

16. Gremlin apps: Seleccionando los objetivos adecuados

17. mASAPP. Control de parque de apps en venta

18. Gremlim Apps: Uso de permisos de forma silenciosa
• Nadie sospecha de que una app tenga un permiso si puede asociarle
un uso que pueda explicar.
• Ej: Metro App pide acceso a cámara para reportar fotos.
• Uso coincidente de permisos
• Ej: Pokemon Go y toma de fotos.
• Infección de compiladores
• Ej: XCodeGhost
• https://github.com/XcodeGhostSource/XcodeGhost
• Modificación de Xcode para inyectar dinámicamente un payload en tiempo
de compilación
• Afectadas varias aplicaciones en China por no descargar el programa en la
web oficial (debido a la ralentización de la red china) y usar un mirror.

19. Quiz App: Creando nuestra Botnet de Gremlin Apps
• Quiz App es un ejemplo.
• Quiz App pretende ser un juego de ¿qué te
gusta más?
• Se comporta de forma racional hasta que algo
externo altera su comportamiento.
• Se usa esteganografía para “ocultar” los
comandos que alteran su comportamiento.

20. Quizz App: Creando nuestra Botnet de Gremlin Apps
Se vuelve maliciosa aquella App que lea un e-mail, Phone # o Twiiter que sea suyo.

21. Transferencia a través de exfiltración (banner)
Quizz App: Creando nuestra Botnet de Gremlin Apps

22. Quizz App: Creando nuestra Botnet de Gremlin Apps
Uso de permisos de forma silenciosa y oportunista en función de uso de persmisos.

23. “Robando” Apps
• ¿Qué ocurre con las cuentas
de desarrollador cuando uno
se muere?
• ¿Cuándo caducan?
• ¿Se pueden volver a
registrar?
• ¿Se puede robar una app?
PROVEEDOR EXPIRA
Gmail 9 meses*
AOL Mail 3 meses
FastMail Hasta fin de pago
GMX Mail 6 meses o fin de pago
Hushmail 3 semanas o hasta fin de pago
ICloud Nunca
Lycos 1 mes
Mail.com 6 meses o hasta fin de pago
Mail.ru 6 meses o hasta fin de pago
Mailfence 7 meses (gratis) o nunca(versión de pago)
Outlook.com (live
mail/Hotmail)
270 dias
ProtonMail 3 meses
Rackspace Hasta final de pago
Rediffmail 3 meses
Runbox Hasta fin de pago
Tutanota Nunca
Yahoo! 12 meses
Yandex Mail 24 meses
Zoho 4 meses o hasta fin de pago

24. Tacyt: Cuentas de desarrolladores “huérfanas”
• Estudio de la cantidad de cuentas de
desarrollador con direcciones de e-mail
caducadas.
• Se pueden volver a registrar y recuperar cuenta
de desarrollador Google.
• Cuantas instalaciones se ven afectadas.
• Para realizar esta prueba de concepto se ha
seleccionado un proveedor determinado
Outlook, y una muestra de 217 cuentas de
correo electrónico distintas.
0 50 100 150 200 250
Cuentas sin caducar
Cuentas caducadas
Cuentas sin caducar Cuentas caducadas
Total 209 8
Cuentas caducadas Outlook

25. El club de los poetas muertos
Cuenta de correo Apps# Nombre de las apps Donloads#
XXXXXcolla@outlook.com 12
1.Insta Mirror
1,256,150
2.Insta Face
3.Insta Eyes
4.Face Blender
5.Insta Effects
6.Insta Collage
7.Insta Color
8.Animal Face
9.Insta Frames
10.Photo Shape for
Instagram
11.Insta Camera
12.Insta Square
XXXXXXloperapps@outlook.
com
1
1.Download Video
Downloader Free
1,000,000
XXXXXenes@outlook.com 1
1.Imágenes para
Whatsapp
1,000,000
XXXXXXnloader@outlook.co
m
1
1.IDM+ Download
Manager free
500,000
XXXXXtudios@outlook.com 1 1.Super Artie World 500,000
XXXXXkit4u@outlook.com 12 346,200
2.Military Armor Mod Installer
3.Poke Cube Mod Installer
4.Elsa Mod Installer
5.RhanCandia Elevator
Installer
6.Instant Structure Mod
Instaler
7.Better Lucky Blocks Installer
8.AutomatedCraft Mod
Installer
9.Christmas Bosses Mod
Installer
10.MineKart Mod Installer
11.Security Camera Mod
Installer
12.Morph Victim Mod
Installer
XXXXXX.sp@outlook.com 1 1.Video player for android 100,000
XXXXXX.rocha@outlook.co
m
6
1.Quiz Millonario Español
Gratis
152,000
2.Millionaire
3.Millionaire Quiz English
4.Quiz Milionario Italiano
5.Millionnaire Quiz Français
8 cuentas = 4,854,350descargas

26. El club de los poetas muertos. Toma de control.

27. Conclusiones & Preguntas
• Cada app puede hacer en tu sistema todo lo que
los permisos permitan.
• La confianza en las compañías detrás es
relevante.
• Gestionar la seguridad de los
ejecutivos/empleados de una empresa implica
gestionar la seguridad del parque de apps que
se instalan en sus dispositivos.
• Toda app puede volverse maliciosa por:
• Un desarrollador malicioso
• La app es vulnerable
• La app se vende
• La app se roba
https://www.mypublicinbox.com/ChemaAlonso