Talk delivered by Chema Alonso in CyberCamp ES 2014 about Shuabang Botnet discoverd by Eleven Paths. http://www.slideshare.net/elevenpaths/shuabang-with-new-techniques-in-google-play
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
Shuabang Botnet
1. Ataque Presente,
Defensa Continua
Shuabang Botnet:
Botnet en Google Play
para hacer Black ASO
Chema Alonso
(@chemaalonso)
Eleven Paths
www.elevenpaths.com
2. Malware en smartphones
• Android
• Permisos {user interactions}
• Google Play
• Markets Third-party
• Rooted
• iPhone
• Code-Signing
• App Store
• Jailbreak
• Cydia
• 3p-markets
4. Shuaban Botnet en Google
Play
• Más de 300 apps creadas para infectar dispositivos
• 100 maliciosas {resto en actualizacones}
• Cada 10 mins conectan al C&C
• 12.500 cuentas creadas de Google Play
• No todas asociadas aún
• Cada cuenta asociada a entre 10 – 30 Android
• Cuenta original permanece a salvo
• Realiza acciones de:
• Click-Fraud
• BlackASO
• Creación de usuarios
• Comentarios
• Asociación de apps
• Descarga de apps simuladas
5. Black ASO {App Store
Optimization}
• Black App Store Optimization
• Posicionamiento de Apps en Markets
• Spam
• Descargas
• Valoraciones
• Objetivo:
• Construir infraestructura automatizada
• Venta de infraestructura a terceros
• Extender la botnet
10. Pareo de cuentas en
dispositivos
• Usuario Google se autentica con OpenID
Connect.
• Recibe Token de autenticación
• Se derivan tokens de acceso a servicios
11. Apps hacen tareas
• Crear la cuenta desde el mismo dispositivo.
• Utilizar una cuenta de Google ya existente y
presentarse en el mismo dispositivo con el
que se quiere asociar.
13. Cuentas para Shuabang en
Google Play
• Asociar un identificador del dispositivo a la
cuenta.
• El dispositivo Android aparecerá como dispositivo
asociado a la cuenta en el panel de configuración
• Adcet uGaolmoegnlete P elas yp.osible conseguir, de
forma masiva, el registro y la asociación
con dispositivos programáticamente,
realizando las llamadas a los servidores
de Google y proporcionándole la
información necesaria.
14. Shuaban Botnet
• Fundamentalmente, lo que ha conseguido
es que sus víctimas realicen dos acciones:
• Asociar cuentas a dispositivos de forma
automática y así conseguir tokens.
• Utilizar esos tokens de forma distribuida para
simular descargas.
• Esto lo hace distribuyendo aplicaciones
malware a través del propio Google Play
16. Esquema
botnet
1- El atacante recupera un token de
seguridad que vincula una cuenta de
usuario (fake) con un dispositivo
concreto y lo envía al malware instalado
en el dispositivo.
2 -Desde el malware se realiza el check
in en Google Play usando este token
4 - Si el token es válido, el atacante
proporciona un nombre de usuario y
una password al malware.
5 - Desde el malware instalado en el
dispositivo se envían las credenciales y
se hace el upload de la configuración
del dispositivo.
6 - Si las credenciales son correctas,
Google Play devuelve un nuevo token
de seguridad como respuesta.
8 - Con este nuevo token, el malware
es capaz de ejecutar en background
diferentes tareas que le envíe el
atacante
17. Cuentas para Shuabang sobre
Google Play
• Esta botnet es un sofisticado
sistema por el que un atacante es
capaz de, a través del malware con
mínimos privilegios, asociar a
dispositivos reales cuentas creadas
por el propio atacante.
• Dispone así de un conjunto de
cuentas falsas asociadas a
teléfonos "reales" y por tanto,
válidas de cara a los servicios de
Google, lo que les permitirá cometer
diferentes tipos de fraude. En
concreto la descarga artificial o
valoración fraudulenta de apps.
19. ShuaBang Botnet:
Tokens y víctimas
• Con este esquema de asociación de
cuenta y dispositivo real, el atacante
se ha podido hacer con una base de
datos de 60.000 tokens.
• El ataque se ha centrado en víctimas
de Brasil, India y Rusia, aunque está
preparado para añadir cualquier país.
23. Shuaban Botnet: Facts
- Obtención de 12.567 cuentas de Google
- Entendimiento del sistema de registro de
dispositivos
- No documentación oficial
- Poca info en Internet
- Automatizar los procesos
- 100 apps maliciosas en Google Play
- Permisos aparentemente inocuos.
- Ha conseguido gestionar un sistema de tareas
- Gestionar fraude por clic de forma inteligente
- Aprovechar recursos sin tocar cuenta original
- Plataforma en desarrollo
24. Codename “Path 5”
• ElevenPaths ha podido determinar cómo,
desde cuándo y con qué métodos se ha
cometido el fraude, además de establecer
enlaces entre el atacante y otros grupos
de atacantes y recopilar evidencias
incriminatorias.
• Basadas en estas correlaciones,
ElevenPaths ha podido encontrar cuentas
de desarrolladores de Google Play que
posiblemente pertenecen al mismo grupo
de atacantes.
• Todo esto ha sido posible gracias
a Path5, un producto desarrollado por
ElevenPaths que permite realizar una
detección temprana, investigación y
correlación de cualquier tipo de
información relativa a aplicaciones de
Android, entre otras funcionalidades.
27. ShuaBang Botnet: Análisis
• Empezamos a ver cosas en común:
• El desarrollador siempre usa correos:
• @yeah.net
• @163.com
• Crea certificados diferentes
• Además parece chino
• La app juega con los permisos
• Todo se puede ver con Path5…. Y además
podemos hacer una búsqueda compleja….
• developerEmail:*yeah.net* OR
developerEmail:*163.com* AND gmtInfo:8
AND permissionName:*ACCOUNTS*
28. ShuaBang Botnet: Análisis
• Referencias a sitios de puntuación de apps en
Chin
• Mismo domino se puede encontrar un adware
muy agresivo -
http://f.apkshare.com/funphoto.apk
29. ShuaBang Botnet: Análisis
• Para ir más allá de la enumeración de
aplicaciones nos planteamos como objetivo
identificar al desarrollador.
• Suponemos:
• Único desarrollador
• Único grupo
• Analizando su código, encontramos…..
31. ShuaBang
Botnet:
Análisis
• A partir del
certificado es
posible hacerse una
idea de la posible
procedencia del
desarrollador.
32. ShuaBang Botnet: Análisis
• Si acudimos al campo de la web del
desarrollador podremos extraer el
dominio vinculado con el
desarrollador.
• A partir de este dominio con una
simple consulta a whois podríamos
hacernos una idea de datos de la
vida real del desarrollador de estas
aplicaciones.
33. Codename “Path 5”
• Big Data Apps
• Archivado
• Indexado
• Metadatos
• Entorno
• Markets
• Mobile Devices
• Smart TVs
• WebApps
• Plataforma de
análisis
34. ¿Preguntas?
• Chema Alonso
• @chemaalonso
• https://www.elevenpaths.com
• http://www.slideshare.net/elevenpaths/s
huabang-con-nuevas-tcnicas-en-google-
play
Notas del editor
La infraestructura que permite el ShuaBang precisa de un gran número de cuentas de usuario con las que falsear las acciones y los mecanismos de control con los que gestionar todas estas credenciales.
Se necesita que las cuentas a las que corresponden estas credenciales estén activas, y asociadas a dispositivos reales.
Estas credenciales pueden haber sido generadas de forma sintética o haber sido comprometidas por la acción de algún tipo de malware.
Además es necesario que no resulten sospechosas para los administradores de los markets.
Estas credenciales pueden haber sido generadas de forma sintética o haber sido comprometidas por la acción de algún tipo de malware.
Además es necesario que no resulten sospechosas para los administradores de los markets.
La aplicaciones convierten al dispositivo en un zombi, que cada 10 minutos recoge tareas que realizar, entre ellas, recoger esas cuentas falsas del servidor central y asociarlas a los datos del teléfono de la víctima.
IMPORTANTE: La cuenta de Google "original" en el dispositivo de la víctima permanece a salvo y el atacante no tiene acceso a ella en ningún momento.
Cada cuenta es asociada a entre 10 y 30 dispositivos físicos de las víctimas. Las combinaciones entre cuentas de Google y asociación de dispositivos son innumerables. En la imagen se muestra un ejemplo de cuenta del atacante, asociada a 18 dispositivos reales en la India de las víctimas.
1.- yu jinhui
2.- Xray Body Scan {Detalles de Path 5, Big Data, Búsquedas}
3.- Búsqueda por imagen
4.- Nuevo desarrollador: shi qingte
5.- Buscado por imagen de “Toque Electríco” Shui hongli
developerEmail:*yeah.net* OR developerEmail:*163.com* AND gmtInfo:8 AND permissionName:*ACCOUNTS*
Este desarrollador tenía dos aplicaciones publicadas en Google Play. Ahora estas aplicaciones están retiradas, pero la última se retiró el 30 de octubre.
Si hacemos clic en la aplicación Xray Body Scan……….
Entre las características que te ofrece la herramienta Path 5 se encuentra la enumeración de las imágenes que se muestran en la página web del market a través de la cual se distribuye la aplicación……. Vamos a buscar otras aplicaciones que ya hubieran utilizado estas mismas imágenes. … ya se sabe que la reutilización de recursos es el pecado del desarrollador de malware muy ocupado. Hacemos clic en la primera imagen y Path 5 nos configura la búsqueda por el hash de la imagen. Al dar a lupa se ejecuta la query sobre todas las imágenes de todas las aplicaciones que hay en el sistema. Esto incluye no solo Google Play sino también otros markets de aplicaciones. Atención al tiempo de ejecución…..esto es Big Data.
Al completar la búsqueda por el hash de la imagen descubrimos otro perfil de desarrollador, haciendo clic sobre el nombre de este nuevo desarrollador podemos listar, de nuevo, todas sus aplicaciones publicadas
De nuevo estas aplicaciones han sido retiradas por GP pero hay que prestar atención a las fechas
El que sea chino nos permite ajustar la zona horaria.
developerEmail:*yeah.net* OR developerEmail:*163.com* AND gmtInfo:8 AND permissionName:*ACCOUNTS*
Vemos que aunque hay algunas aplicaciones que también han sido retiradas hay algunas que siguen vivas en el market.
Pasar este apk por VirusTotal para ver detecciones para ilustrar que esta gente son todos chusma.