Talk delivered by Chema Alonso in CyberCamp ES 2014 about Shuabang Botnet discoverd by Eleven Paths. http://www.slideshare.net/elevenpaths/shuabang-with-new-techniques-in-google-play

1. Ataque Presente,
Defensa Continua
Shuabang Botnet:
Botnet en Google Play
para hacer Black ASO
Chema Alonso
(@chemaalonso)
Eleven Paths
www.elevenpaths.com

2. Malware en smartphones
• Android
• Permisos {user interactions}
• Google Play
• Markets Third-party
• Rooted
• iPhone
• Code-Signing
• App Store
• Jailbreak
• Cydia
• 3p-markets

3. iOS: WireLurker & Masque

4. Shuaban Botnet en Google
Play
• Más de 300 apps creadas para infectar dispositivos
• 100 maliciosas {resto en actualizacones}
• Cada 10 mins conectan al C&C
• 12.500 cuentas creadas de Google Play
• No todas asociadas aún
• Cada cuenta asociada a entre 10 – 30 Android
• Cuenta original permanece a salvo
• Realiza acciones de:
• Click-Fraud
• BlackASO
• Creación de usuarios
• Comentarios
• Asociación de apps
• Descarga de apps simuladas

5. Black ASO {App Store
Optimization}
• Black App Store Optimization
• Posicionamiento de Apps en Markets
• Spam
• Descargas
• Valoraciones
• Objetivo:
• Construir infraestructura automatizada
• Venta de infraestructura a terceros
• Extender la botnet

6. ShuaBang en Google Play

7. Usuario parea un dispositivo:
OpenID Connect

8. Usuarios robados

9. Usuarios creados
automáticamente

10. Pareo de cuentas en
dispositivos
• Usuario Google se autentica con OpenID
Connect.
• Recibe Token de autenticación
• Se derivan tokens de acceso a servicios

11. Apps hacen tareas
• Crear la cuenta desde el mismo dispositivo.
• Utilizar una cuenta de Google ya existente y
presentarse en el mismo dispositivo con el
que se quiere asociar.

12. Pareo de cuentas a
dispositivos

13. Cuentas para Shuabang en
Google Play
• Asociar un identificador del dispositivo a la
cuenta.
• El dispositivo Android aparecerá como dispositivo
asociado a la cuenta en el panel de configuración
• Adcet uGaolmoegnlete P elas yp.osible conseguir, de
forma masiva, el registro y la asociación
con dispositivos programáticamente,
realizando las llamadas a los servidores
de Google y proporcionándole la
información necesaria.

14. Shuaban Botnet
• Fundamentalmente, lo que ha conseguido
es que sus víctimas realicen dos acciones:
• Asociar cuentas a dispositivos de forma
automática y así conseguir tokens.
• Utilizar esos tokens de forma distribuida para
simular descargas.
• Esto lo hace distribuyendo aplicaciones
malware a través del propio Google Play

15. Shuaban Botnet:
Dispositivos de una cuenta

16. Esquema
botnet
1- El atacante recupera un token de
seguridad que vincula una cuenta de
usuario (fake) con un dispositivo
concreto y lo envía al malware instalado
en el dispositivo.
2 -Desde el malware se realiza el check
in en Google Play usando este token
4 - Si el token es válido, el atacante
proporciona un nombre de usuario y
una password al malware.
5 - Desde el malware instalado en el
dispositivo se envían las credenciales y
se hace el upload de la configuración
del dispositivo.
6 - Si las credenciales son correctas,
Google Play devuelve un nuevo token
de seguridad como respuesta.
8 - Con este nuevo token, el malware
es capaz de ejecutar en background
diferentes tareas que le envíe el
atacante

17. Cuentas para Shuabang sobre
Google Play
• Esta botnet es un sofisticado
sistema por el que un atacante es
capaz de, a través del malware con
mínimos privilegios, asociar a
dispositivos reales cuentas creadas
por el propio atacante.
• Dispone así de un conjunto de
cuentas falsas asociadas a
teléfonos "reales" y por tanto,
válidas de cara a los servicios de
Google, lo que les permitirá cometer
diferentes tipos de fraude. En
concreto la descarga artificial o
valoración fraudulenta de apps.

18. No necesario muchos
privilegios

19. ShuaBang Botnet:
Tokens y víctimas
• Con este esquema de asociación de
cuenta y dispositivo real, el atacante
se ha podido hacer con una base de
datos de 60.000 tokens.
• El ataque se ha centrado en víctimas
de Brasil, India y Rusia, aunque está
preparado para añadir cualquier país.

20. ShuaBang Botnet:
Asociación de Apps

21. Shuaban Botnet: Control
Panel

22. Shuaban Botnet: Control
Panel

23. Shuaban Botnet: Facts
- Obtención de 12.567 cuentas de Google
- Entendimiento del sistema de registro de
dispositivos
- No documentación oficial
- Poca info en Internet
- Automatizar los procesos
- 100 apps maliciosas en Google Play
- Permisos aparentemente inocuos.
- Ha conseguido gestionar un sistema de tareas
- Gestionar fraude por clic de forma inteligente
- Aprovechar recursos sin tocar cuenta original
- Plataforma en desarrollo

24. Codename “Path 5”
• ElevenPaths ha podido determinar cómo,
desde cuándo y con qué métodos se ha
cometido el fraude, además de establecer
enlaces entre el atacante y otros grupos
de atacantes y recopilar evidencias
incriminatorias.
• Basadas en estas correlaciones,
ElevenPaths ha podido encontrar cuentas
de desarrolladores de Google Play que
posiblemente pertenecen al mismo grupo
de atacantes.
• Todo esto ha sido posible gracias
a Path5, un producto desarrollado por
ElevenPaths que permite realizar una
detección temprana, investigación y
correlación de cualquier tipo de
información relativa a aplicaciones de
Android, entre otras funcionalidades.

25. Codename “Path 5”
“Path 5” Big Data

26. Codename “Path 5”: Demo “yu
jinhui”

27. ShuaBang Botnet: Análisis
• Empezamos a ver cosas en común:
• El desarrollador siempre usa correos:
• @yeah.net
• @163.com
• Crea certificados diferentes
• Además parece chino
• La app juega con los permisos
• Todo se puede ver con Path5…. Y además
podemos hacer una búsqueda compleja….
• developerEmail:*yeah.net* OR
developerEmail:*163.com* AND gmtInfo:8
AND permissionName:*ACCOUNTS*

28. ShuaBang Botnet: Análisis
• Referencias a sitios de puntuación de apps en
Chin
• Mismo domino se puede encontrar un adware
muy agresivo -
http://f.apkshare.com/funphoto.apk

29. ShuaBang Botnet: Análisis
• Para ir más allá de la enumeración de
aplicaciones nos planteamos como objetivo
identificar al desarrollador.
• Suponemos:
• Único desarrollador
• Único grupo
• Analizando su código, encontramos…..

30. ShuaBang Botnet: Análisis

31. ShuaBang
Botnet:
Análisis
• A partir del
certificado es
posible hacerse una
idea de la posible
procedencia del
desarrollador.

32. ShuaBang Botnet: Análisis
• Si acudimos al campo de la web del
desarrollador podremos extraer el
dominio vinculado con el
desarrollador.
• A partir de este dominio con una
simple consulta a whois podríamos
hacernos una idea de datos de la
vida real del desarrollador de estas
aplicaciones.

33. Codename “Path 5”
• Big Data Apps
• Archivado
• Indexado
• Metadatos
• Entorno
• Markets
• Mobile Devices
• Smart TVs
• WebApps
• Plataforma de
análisis

34. ¿Preguntas?
• Chema Alonso
• @chemaalonso
• https://www.elevenpaths.com
• http://www.slideshare.net/elevenpaths/s
huabang-con-nuevas-tcnicas-en-google-
play