plantilla para presentaciones powerpoint - criptored · elevenpaths.com 8 mobile malware is coming!...
TRANSCRIPT
elevenpaths.com
elevenpaths.com
4 elevenpaths.com
Mobile malware is coming! … érase una vez, en abril de 2013…
01
5 elevenpaths.com
Mobile malware is coming!
01
6 elevenpaths.com
Mobile malware is coming! 01
7 elevenpaths.com
Mobile malware is coming! Pero Android es Linux, y no existe malware para Linux, ¿no es cierto?
01
• Adrian Ludwig, jefe de seguridad de Android en la Virus Bulletin de Berlin 2013:
Con datos sobre la mesa, desmontó el supuesto "mito" de que Android se infecta mucho con malware.
• Decía que los reportes sobre malware en Andorid no reflejan la realidad. Puede haber mucho ahí fuera, pero no llega a instalarse.
• Entre sus afirmaciones, destaca que solo el 0.001% de las instalaciones de apps en Android son capaces de evadir las defensas multicapa de Android.
8 elevenpaths.com
Mobile malware is coming! Pero Android es Linux, y no existe malware para Linux, ¿no es cierto?
• Ludwig quiere recalcar que las defensas de Android son eficaces. Y probablemente sea cierto. Lo importante es…
• ¿Limita eso las infecciones como para que dejen de considerarse un problema?
• ¿Le importa siquiera a la industria del malware en Android?
• ¿Hace que desciendan los niveles de infección o que se dediquen menos esfuerzos a crear malware nuevo para esta plataforma?
• Se pueden disponer de buenas defensas en seguridad y ser esclavo del malware. Que se lo pregunten a Windows…
• Ludwig no distingue entre la eficiencia en números de sus herramientas y los niveles de infección. Decir que solo un 0.12% de las aplicaciones que ellos detectan como malware llegan a ser instaladas, no ofrece ningún dato sobre el porcentaje real de infecciones en los sistemas Android. Y pueden llegar a ser cifras muy dispares. ¿Detectas todo? ¿Cuánto es ese 0.12 en números absolutos?
• Ej: Spam. ¿Es o no un problema?
01
9 elevenpaths.com
Mobile malware is coming! Pero Android es Linux, y no existe malware para Linux, ¿no es cierto?
• También parten, como siempre, de la supuesta fiabilidad de la detección de apps como maliciosas. No todo lo indetectado es benigno. ¿Cuántas no detectadas como malware eluden las capas de seguridad? No se sabe.
• Kindsight Security Labs afirman que más de un 1% de los Android están infectados. Y eso solo donde operan. En países como China o Rusia el ratio es muy superior al resto del mundo. Si preguntamos a las casas antivirus, las cifras sin duda se elevarán.
01
10 elevenpaths.com
Mobile malware is coming! ¿A quién creer?
• El jefe de seguridad de Android obvia que al malware/adware que envía SMS a números premium, roba información, hace fraude por click, o que muestra publicidad constantemente (los más populares), no les importa estar encerrados en una sandbox, y mucho menos tiene como objetivo dañar el teléfono (debe mantener vivo a su anfitrión para monetizar la infección). Estas medidas les resultan simplemente irrelevantes.
• Ni siquiera menciona otros aspectos, como la cantidad de adware/malware que se cuela en Google Play y elude sus propias defensas…. (por no hablar de lo que existe ahí fuera).
• Y esa cantidad de adware/malware que se cuela indica que los atacantes no renuncian a una producción masiva... y si no lo hacen es porque les es rentable.
• De ahí se deduce un panorama diferente al que pinta Ludwig. Los atacantes consiguen beneficios con esta producción creciente, mantienen un ratio de infección que compensa sus esfuerzos, obvian o eluden las medidas de seguridad impuestas.
01
11 elevenpaths.com
Mobile malware is coming! ¿Y si buscamos adware/malware en Google Play?
01
• Qué podremos encontrar: • Malware y aplicaciones "espía“
• Programas que "parecen" otros, pero no lo son realmente.
• Programas estafa
• Programas que, en Google Play son presentados como réplicas casi exactas de otros…
• RATs…
• En resumen: • Mucho adware.
• Bastante malware.
• Mucha… porquería.
• … y casi cualquier cosa, literalmente.
12 elevenpaths.com
Mobile malware is coming! Con esta premisa, comenzó la investigación…
01
13 elevenpaths.com
Mobile malware is coming! Estrategias
01
• Estaba claro que algo raro ocurría en Google Play.
• Las apps que se plagiaban iban y venían constantemente, y no me resultaba muy difícil encontrarlas…
• ¿Cómo conseguían que los demás lo encontraran? ¿Qué estrategias seguían?
14 elevenpaths.com
Mobile malware is coming! Rentabilidad
01
• Hay quienes subían decenas de apps de este tipo a diario… ¿Es rentable el negocio?
• Crean cuentas a diario (a veces hasta dos y tres diferentes) lo que supone una inversión de 20 euros cada una.
• Las apps (y las cuentas) son retiradas entre 48 horas y una semana después de ser subidas. Dependiendo de su sutileza, a veces permanecen más tiempo.
• Cada instalación o clic posterior suelen ganar unos céntimos. Cuando más agresiva la publicidad, más le pagan por cada instalación.
• Esta estrategia es seguida por decenas de desarrolladores a diario, desde hace mucho tiempo.
15 elevenpaths.com
Mobile malware is coming! Rentabilidad
01
16 elevenpaths.com
Mobile malware is coming! Cómo llegan a las víctimas
01
17 elevenpaths.com
Mobile malware is coming! Es fácil crear apps si sabes cómo
01
18 elevenpaths.com
Mobile malware is coming! Pero… ¿para qué están los permisos?
01
19 elevenpaths.com
Mobile malware is coming! ¿Qué hacen y por qué?
• .
01
20 elevenpaths.com
Mobile malware is coming! ¿Y qué más puedo encontrar?
01
21 elevenpaths.com
Mobile malware is coming! ¿Y qué más puedo encontrar?
• .
01
22 elevenpaths.com
Mobile malware is coming! Hasta mediados de 2014…
• Pero en 214, Google, tras años de investigación…
01
23 elevenpaths.com
Mobile malware is coming! Y a partir de ahí, el panorama cambia
• .
01
24 elevenpaths.com
Mobile malware is coming! Y a partir de ahí, el panorama cambia
01
25 elevenpaths.com
Siempre digo que definir malware no es trivial para empezar. La única manera de estar seguros es reversear la app. Y no se pueden reversear manualmente millones de apps. Además, el malware más importante es el que no se ha descubierto todavía.
Mobile malware is coming! ¿Y los estudios que dicen que hay tanto malware en GP… qué pasa con ellos?
01
26 elevenpaths.com
27 elevenpaths.com
Mobile malware is coming! True but… what is malware, anyway?
Estos estudios están muy bien pero creo que la vida real es diferente.
• Lo que hacen es tener una muy buena solución detectano malware muy específico….
• … porque son muy dependiente del conjunto de malware con el que entrenan la inteligencia. (Confían en VirusTotal or ContagioDump…), así que son buenos detectando ese tipo de malware….
• … y se olvidan del adware, por ejemplo…
• … siempre confían en los permisos…
• … y trabajan con un conjunto muy pequeño.
01
28 elevenpaths.com
Mobile malware is coming!
Y es que VirusTotal es excelente, pero debe entenderse cómo utilizarlo.
a) Comparar antivirus en general ya sabemos que es una mala idea. Tan solo lee por qué en su página.
b) Catalogar muestras de malware como malware porque son “muy detectadas”. ¿Qué significa eso exactamente?
• ¿Cuál es el umbral adecuado?? VT>5, VT>10, VT>15?
• Engines are growing in VT…
• If we use reputation of the engine as a factor… what is “reputation”? Vary famous?
• Do we really take into account that some Avs simply do not work with Android?
• Do we really penalize engines that detect “a lot”, so much that they may be false positives?
Setting as goodware samples with 0 detections: Depending of the freshness of the sample, samples are not detected by signatures.
Choosing the malware set
01
29 elevenpaths.com
Mobile malware is coming!
So far, for sure we just have “numbers” and subjective “quality” of engines… Did you know…?
Choosing the malware set
01
30 elevenpaths.com
Mobile malware is coming!
So far, for sure we just have “numbers” and subjective “quality” of engines… Did you know…?
• Virustotal sends the samples to all AV houses.
• From an AV standpoint, the first criteria for a quick detecting such a flood of malware is, precisely… VirusTotal.
• Later, when they can (time rules) they may create a rule or analyze the sample.
• So, for some antivirus, VT is their first source, and… if researchers apply this criteria… this criteria is, in some way, feeding back itself.
Choosing the malware set
01
31 elevenpaths.com
Mobile malware is coming What about adware?
• Android programmers use SDK to inject ads and have some revenues. They may configure this SDK so it is more or less aggressive.
• They usually mark this SDK as ADWARE. It does not matter how the programmer have configured this ads to work into the app.
• They want to detect a lot, and get rid of ads for the user
Antiviruses
• Google Play IS OK WITH ADS, much more than Avs or even users. What may be wrong for an AV, is still ok with Google Play.
• Google Play wants to make money from this ads. But Google Play does not want to be “so OK that it bothers the user”…
• So, AFTER some complains, investigations, or any other criteria, it removes them.
Google Play
Adware is a tricky matter. Adware for Android may be very aggressive. Such aggressive that it could steal data,
or flood you with popups since the telephone turns on.
So, basically, there is a gray zone, and a conflict of interests.
01
32 elevenpaths.com
Mobile malware is coming! True but… what is malware, anyway?
Antivirus is not exactly the technology we need for researching, discovering or analyzing new malware, frauds or threats.
01
33 elevenpaths.com
What do we have? Antivirus
• Industry shows us how bad the markets are…
34 elevenpaths.com
What do we have? Antivirus
• Industry shows us how bad the markets are…
35 elevenpaths.com
What do we have?
85313
45113
29584
22169 17711
13560 10398
8006 5924
0
10000
20000
30000
40000
50000
60000
70000
80000
90000
>=1 >=2 >=3 >=4 >=5 >=6 >=7 >=8 >=9
01
• What if we follow Antiviruses rules? 611.323 of our apps were found in VirusTotal, from a total of 742.344 that we got, extrictly from Google Play
Antivirus
36 elevenpaths.com
• Slow
• Easily avoidable for malware makers (just like virtualization for conventional malware)
• Slow (up to a 4 minutes to get an app running)
• They just do not work with some malware
• Lot of hardware to test it all
• Did I say they were slow?
Sandboxes
What do we have?
37 elevenpaths.com
Reputation
What do we have?
38 elevenpaths.com
• Google is an ad company. So it “relaxes” about apps that are very aggressive with adware… but forgets that people hates adware
• No strong bureaucracy checks before uploading to Google Play
• No strong enough technical checks before uploading to Google Play
• They use their own sandboxes (easily avoidable, and it has been shown)
• Google does not rely on cryptography. They allow self-signed certificates to sign apps (is the only market that does so)
• Users are not good evaluating threats
Reputation
What do we have?
elevenpaths.com
40 elevenpaths.com
Funtasy: SMS Fraud Palo Alto was the first warning about it…
02
41 elevenpaths.com
Funtasy: SMS Fraud 02
How it worked
42 elevenpaths.com
02 Funtasy: SMS Fraud How it worked
43 elevenpaths.com
02 Funtasy: SMS Fraud How it worked
44 elevenpaths.com
02
• “Fun app”:
• “Milapps101”: ……..
• “Bestapps2014”: ….
• “Gold apps”: ….
• “Milapps102”: ….
Funtasy: SMS Fraud Detecting new apps in town
45 elevenpaths.com
02
•
• “Lomaximoapps “:
• “appmax”:
• “Nurijsalm”:
• “Lucimlu”:
• “Nemi”:
• “Sivimoret “
Funt^H^H^H SMSSend: SMS Fraud We found another gang!
elevenpaths.com
47 elevenpaths.com
Shuabang: Fooling Google Play What is Shuabang?
03
• Shuabang is a technique, quite common in China. Is the BlackHat Store Optimization.
• There are companies that charge you to “rise up” your app in stores, voting them, or adding fake downloads.
• But, to get that in Google Play, they need registered users in Google Play, that means, basically, Gmail accounts (users and passwords) associated with a telephone (a real deviceID). How to get them?
• You can buy them.
• You can create them.
• You can steal them.
• Or you can create your own botnet.
48 elevenpaths.com
Shuabang: Fooling Google Play We found something that looked very souspicious…
•
03
49 elevenpaths.com
Shuabang: Fooling Google Play And this is what it was…
03
50 elevenpaths.com
Shuabang: Fooling Google Play Finally it got bapatized…
03
elevenpaths.com
52 elevenpaths.com
Pr0n Clickers How to find the first app?
04
• Since we knew TV remote controls were very successful for spreading malware/adware, this time we were searching for apps that, trying to be a TV remote universal app, lacks the permission of IR_TRANSMISSION
• title:“Remote control” –permissionName:*TRANSMISSION*
53 elevenpaths.com
Pr0n Clickers What did it do?
04
54 elevenpaths.com
• This attacker was very careless… (and easy)
Pr0n Clickers Who was behind?
04
elevenpaths.com
56 elevenpaths.com
JSDialers: Return of the fraudsters How did we find it?
05
• We kept an eye on seaching for apps using SMS permissions in Google Play… and got this:
57 elevenpaths.com
JSDialers: Return of the fraudsters Finally they named it “Felit”
05
elevenpaths.com
59 elevenpaths.com
And even more…
• Downloaders that drops their payload a day after… (March 2015)
06
elevenpaths.com
61 elevenpaths.com
Conclusions
07
• Fraud and malware in apps, is a huge market right now.
• Google Play is the one, so you get to a huge variety of people.
• With almost 1.5M apps, and 2-3k new every day, detecting new threats quickly is not that easy with traditional tools.
• We need filters to reduce the scope, and work in a static way, at least in the beggining.
• We need tools to collect all the information and let the LE do their job.
• All the cases presented were not detected by any AV at the moment when discovered, and many of them were still hosted in Google Play.
• Attackers may improve code, but they always make mistakes…
•
62 elevenpaths.com
¿Hay malware o no?
• Hay adware.
• Ocasionalmente malware.
• Es un modelo que ha elegido Google, a cambio de una comunidad muy activa.
• Cuando les apetezca, dejará de haber tanto adware o serán más restrictivos en Google Play.
• Aun así, el malware seguirá apuntando hacia Android, aunque no se encuentre en el repositorio oficial.
elevenpaths.com