SlideShare ist ein Scribd-Unternehmen logo

Malware intelligence ppt-slides

Sebastián Guerrero Selma
Sebastián Guerrero Selma

Slides de la conferencia sobre android dada en la NCN 2011

Technologie
1 von 32
Downloaden Sie, um offline zu lesen
Show me your Kung-Fu Sebastián Guerrero Jorge Mieres @0xroot sguerrero@malwareint.com http://blog.seguesec.com @jorgemieres jamieres@malwareint.com
Contenido • Introducción • Análisis Estático • Análisis Dinámico • Análisis Forense • Nickispy • Protecciones • Vulnerabilidades • Conclusión
Estructura del sistema
• Usado para empacar las aplicaciones • Todo APK incluye: • classes.dex • resources.asc • /res • /META-INF • AndroidManifest.xml Ficheros APK
Formato de ficheros DEX
Android Manifest
• java/Fuente (Compiler) – dex/dexdump • dex/dex2jar (jdgui) – java/jd-gui • dex/dexdump (basksmali) - smali/basksmali Ejemplo de código
Análisis Estático
1. Creamos una máquina virtual usando el SDK. 2. Lanzamos el emulador y almacenamos las conexiones en un pcap: • emulator –port n @device-name –tcpdump foo.pcap 3. Instalamos la aplicación • adb install appname.apk 4. Lanzamos pruebas sobre el dispositivo y la aplicación • adb shell monkey –v –p package.app n 5. Leemos los logs • adb shell logcat –d 6. Podemos apoyarnos en Wireshark para leer los logs de conexiones. Análisis Dinámico
• Llamadas de teléfono • gsm call p-n • gsm accept p-n • gsm cancel p-n • SMS • sms send prefix-number text • Emular velocidad de red • netspeed gsm n • netspeed umts n • Cambiar coordenadas GPS • geo fix -13… 21… Simular Eventos
1. AXMLPrinter2 – Extraemos la información del AndroidManifest.xml 2. Dex2jar – Convertimos el fichero .dex en un fichero de clases .jar. JAD – Transformamos los ficheros .class en ficheros .jad 3. JDgui – Leemos el código almacenado en el fichero .jar. 4. Understand – Análisis estático del código. 5. Wireshark – Análisis dinámico del código. Modus Operandi
• Noob • Nombrar ficheros de clases con el mismo nombre en minúscula/mayúscula. Esto ocultará los ficheros en sistemas que no distingan entre minúsculas/mayúsculas: N.class ~ n.class • Cifrar las conexiones que realiza el malware (DES) dificultando su análisis. • Rookie • Introducir técnicas para comprobar si se está ejecutando en un emulador. • Mejorar la eficiencia del código y ofuscarlo con alguna aplicación como ProGuard. • Master of Universe • Modificar el propio bytecode para inutilizar las herramientas de reversing. Técnicas antianálisis
• Android está basado en el núcleo de Linux. • Se usa MTD para interactuar con la memoria flash. • Sigue la nomenclatura /dev/mtd* • Puntos de montura para /system, /data, /cache están asociados a diferentes mtdblocks. • Cada dispositiva está asociado a un dispositivo ro (Read Only). • Es necesario ser usuario root para poder realizar un análisis forense. • Exploits. • Aplicaciones específicas • A la hora de traernos los ficheros al disco podemos usar: • Comando PULL del SDK para descargar/subir ficheros. • Instalar un servidor SSH en el teléfono como DropBear. • Instalar un servidor FTP. • Hacer correlaciones de los diferentes puntos de montaje. • Tener acceso a los datos y bases de datos. Forensics
Encrip… What da fuck?
Si pierdes tu teléfono prepárate para…
• Alerta de seguridad - 19 julio • Detectado por Symantec ~ 20apps • Procedencia – Fujian (China) • Nombre – com.nicky.lyyws.xmall • Desarrollado por – 56mo http://www.56mo.com • Descargar desde – http://user.c5005.com/DownList.aspx NickiSpy
• No se distribuyó nunca por el Market. MD5 Ratio Fecha ad4dbe34853f1d58543b0b8db133eb5b 10/44 2011.08.31 • Se puede descargar desde la página de la compañía: • Elegir marca de Smartphone. a21ae2802a0ee460ca2d17a9102ff7b1 14/44 2011.09.04 • Elegir modelo concreto. 15afe9bfa1b3139b5727112aa12b8f70 19/44 2011.08.31 • Acto seguido fue distribuido por varios Markets chinos 426cedcf268bdf556aa405e0c8e03c16 20/44 2011.08.31 • CamangiMarket - camangimarket.com 0d2d9504649a97e7afee2caca61e277e 15/44 2011.09.02 • GoAPK - goapk.com 0d2d9504649a97e7afee2caca61e277e 15/44 2011.09.02 83a98eabf044826622db7c211764cdf4 13/44 2011.08.23 298446914e6c845fb331bfbfd2176d9d 26 /44 2011.08.23 f6cea3c1c0e9d2cf0ec373f142852399 12/44 2011.08.23 • f4514598c47658e513888ae6cb3fd8b1 23 /44 2011.08.14 1cbb2e45356bad1f3ecb103ed76dffdd 9 /44 2011.08.11 a72adce41ea55c239ef04fbda446ceb1 2/44 2011.09.02 edf5d97f1d47bdb3ca9c414f33337a87 7/44 2011.08.12 0e7989aac352df525e5ebb077c786072 9/44 2011.08.11 5664e00084e949b07227459d8bdaf9f3 13/44 2011.08.10 • a21ae2802a0ee460ca2d17a9102ff7b1 14/44 2011.09.04 18 muestras ~ 1ª muestra (19.07) ~ Detectadas (11.08-04.09) Estadísticas
Autor
•android.permission.CALL_PHONE •android.permission.PROCESS_OUTGOING_CALLS •android.permission.INTERNET •android.permission.ACCESS_GPS •android.permission.ACCESS_COARSE_LOCATION •android.permission.ACCESS_COARSE_UPDATES •android.permission.ACCESS_FINE_LOCATION •android.permission.READ_PHONE_STATE •android.permission.READ_CONTACTS •android.permission.WRITE_CONTACTS •android.permission.ACCESS_WIFI_STATE •android.permission.SEND_SMS •android.permission.READ_SMS •android.permission.WRITE_SMS •android.permission.WAKE_LOCK •android.permission.RECORD_AUDIO •android.permission.WRITE_EXTERNAL_STORAGE Lista de permisos
• Inicializamos el emulador (podemos especificar el puerto, seleccionar la VM, almacenar las conexiones, entre otras opciones). • Instalamos la aplicación. • Árbol inicial (Antes de la infección). • Simulamos actividad • Árbol final (Después de la infección) Proceso de infección
• Obtiene el IMEI del dispositivo. • Crea un fichero de configuración • Ruta: com.nicky.lyyws.xamll/lib/shared_prefs • Nombre fichero: XM_All_Setting Fichero de configuración
• Servidor C&C: jin.56mo.com • Puerto: 2018 Servidor C&C
Análisis I
• /sdcard/shangzhou/callrecord/ • setAudioSource(1) • public static final int MIC • Microphone audio source • Constant Value: 1 (0x00000001) • setOutputFormat(1) • public static final int THREE_GPP • 3GPP media file format • Constant Value: 1 (0x00000001) • setAudioEncoder(1) • public static final int AMR_NB • AMR (Narrowband) audio codec • Constant Value: 1 (0x00000001) Servicio de grabación
• Número SMS Premium: 15859268161. • Envía un SMS con el IMEI. • El número premium pertenece a Fujiance. • Comprueba que la aplicación no corra en un emulador. Servicio SMS
• Formato AMR • AMR (Adaptative Multi-Rate) es un formato de compresión de audio optimizado para la codificación de voz. • El malware almacena el audio grabado en: • /sdcard/shangzhou/callrecord •El fichero creado tiene como nombre la fecha y hora en que fue creado: • 20110907184158001 – año//mes/día– hora/minutos Formato “AMR”
• Se basa en una simple condición de estado • Usa dos simples métodos de autentificación • checkAccess para comprobar que tenemos los suficientes permisos para ejecutar la aplicación. • handleServiceConnectionError para manejar los errores. ¿Protección en las aplicaciones?
Proceso manual 1. Desempacar el APK usando la herramienta Baksmali. 2. Realizar el cambio de código en los métodos checkAccess y handleServiceConnectionError . 3. Generar la clave privada con la que firmar el paquete. 4. Empacar el APK usando APKTool 5. Firmar la aplicación con jargsigner 6. Usar zipalign 7. Instalar y disfrutar. Proceso automatizado • Sólo es necesario revertir la librería encargada de veriticar las licencias (License Verification Library) • Usar la herramienta anti-lvl: Rompiendo la protección
• Vulnerabilidad “Touch-Event Hijacking” • Podemos mostrar al usuario una interfaz tapadera. • Hacer compras, click en banners de publicidad, instalar aplicaciones, saltarnos los permisos, o incluso robar cualquier tipo de información del teléfono • ¿Cómo funciona? • A través de Toasts , que permiten pasar los eventos a las capas inferiores • ¿Qué versiones se ven afectadas? • Según Google ninguna, esta vulnerabilidad está corregida. • Remitiéndonos a las pruebas, a día de hoy <= 2.3.4 • ¿Qué piensa Google de todo esto? TapJacking
• Se han diseñado un total de 4 payloads • CallPayload.java – Realiza llamadas al número de indicado. • MarketPayload.java – Descarga e instala aplicaciones del market. • ResetPayload.java – Devuelve al estado de fábrica el teléfono. • SMSPayload.java – Envía un mensaje de texto al número indicado. • Está diseñado para que se puedan añadir payloads por el usuario de forma sencilla. • La estructura interna es la siguiente: • Main.java – Ejecuta el servicio y carga los payloads. • MalwarePayload.java – Abstracción para implementar más fácilmente los payloads. • MalwareService.java – Crea el toast e inicia el proceso de tap-jack. • main.xml – Tiene el layout de la aplicación, lanzando con un evento onClick cada payload. • strings.xml – Contiene las cadenas que son utilizadas en la aplicación. • El código puede descargarse desde: • http://code.google.com/p/tap-android/ ¿Cómo está organizado?
Conclusiones
¡MUCHAS GRACIAS! Sebastián Guerrero Jorge Mieres @0xroot sguerrero@malwareint.com http://blog.seguesec.com @jorgemieres jamieres@malwareint.com

Empfohlen

David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]
David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]
David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]RootedCON
 
5ºb
5ºb5ºb
5ºbFernan Carretero Racero
 
Funding Your Green Home Retrofit Handout
Funding Your Green Home Retrofit HandoutFunding Your Green Home Retrofit Handout
Funding Your Green Home Retrofit HandoutSustainable Performance Institute
 
Portofolio-Gligor Maria
Portofolio-Gligor MariaPortofolio-Gligor Maria
Portofolio-Gligor Mariamariaaag
 
Las Ventajas del telefono Behold 2
Las Ventajas del telefono Behold 2Las Ventajas del telefono Behold 2
Las Ventajas del telefono Behold 2adriana91235
 
20120207 prs ib_js_libraries_v02
20120207 prs ib_js_libraries_v0220120207 prs ib_js_libraries_v02
20120207 prs ib_js_libraries_v02Chris Palatinus
 
Kunturwasi
KunturwasiKunturwasi
KunturwasiJOSE ANTONIO IPANAQUE CARMEN
 
Ici unidad4-tema2-hmi
Ici unidad4-tema2-hmiIci unidad4-tema2-hmi
Ici unidad4-tema2-hmiJuan Gonzalez
 

Empfohlen

David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]
David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]
David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]RootedCON
 
5ºb
5ºb5ºb
5ºbFernan Carretero Racero
 
Funding Your Green Home Retrofit Handout
Funding Your Green Home Retrofit HandoutFunding Your Green Home Retrofit Handout
Funding Your Green Home Retrofit HandoutSustainable Performance Institute
 
Portofolio-Gligor Maria
Portofolio-Gligor MariaPortofolio-Gligor Maria
Portofolio-Gligor Mariamariaaag
 
Las Ventajas del telefono Behold 2
Las Ventajas del telefono Behold 2Las Ventajas del telefono Behold 2
Las Ventajas del telefono Behold 2adriana91235
 
20120207 prs ib_js_libraries_v02
20120207 prs ib_js_libraries_v0220120207 prs ib_js_libraries_v02
20120207 prs ib_js_libraries_v02Chris Palatinus
 
Kunturwasi
KunturwasiKunturwasi
KunturwasiJOSE ANTONIO IPANAQUE CARMEN
 
Ici unidad4-tema2-hmi
Ici unidad4-tema2-hmiIci unidad4-tema2-hmi
Ici unidad4-tema2-hmiJuan Gonzalez
 
Smalltalk In the Cloud
Smalltalk In the CloudSmalltalk In the Cloud
Smalltalk In the CloudESUG
 
News Release: Lakeland Resources Acquires Newnham Lake Property
News Release: Lakeland Resources Acquires Newnham Lake PropertyNews Release: Lakeland Resources Acquires Newnham Lake Property
News Release: Lakeland Resources Acquires Newnham Lake PropertyLakeland Resources Inc. (TSXv: LK)
 
[Kladd] Faktorisering ved kvadratsetningene
[Kladd] Faktorisering ved kvadratsetningene[Kladd] Faktorisering ved kvadratsetningene
[Kladd] Faktorisering ved kvadratsetningeneElisabeth Engum
 
Leitlinien für Kathbern
Leitlinien für KathbernLeitlinien für Kathbern
Leitlinien für KathbernAlbrecht Mattner
 
Herencia
HerenciaHerencia
HerenciaMauricio Rios
 
Platforum D2C Conference 24 June 2015: Digital Marketing Guru Panel
Platforum D2C Conference 24 June 2015: Digital Marketing Guru PanelPlatforum D2C Conference 24 June 2015: Digital Marketing Guru Panel
Platforum D2C Conference 24 June 2015: Digital Marketing Guru PanelAcanthus Consulting
 
Revista de Marketing Dental y Gesti
Revista de Marketing Dental y GestiRevista de Marketing Dental y Gesti
Revista de Marketing Dental y GestiOdontomarketing Marketing Dental Gerencia en Odontología
 
2009.10 Wykorzystanie Poczty Elektronicznej - raport SARE
2009.10 Wykorzystanie Poczty Elektronicznej - raport SARE2009.10 Wykorzystanie Poczty Elektronicznej - raport SARE
2009.10 Wykorzystanie Poczty Elektronicznej - raport SAREARBOinteractive Polska
 
OBP Medical IMC Plan_No Video
OBP Medical IMC Plan_No VideoOBP Medical IMC Plan_No Video
OBP Medical IMC Plan_No VideoLujia Chen
 
Heartlands1 clan donald - Bannockburn 2014 (Scotland)
Heartlands1 clan donald - Bannockburn 2014 (Scotland)Heartlands1 clan donald - Bannockburn 2014 (Scotland)
Heartlands1 clan donald - Bannockburn 2014 (Scotland)Connie Sanders
 
2008-03-10 Power Service strategy
2008-03-10 Power Service strategy2008-03-10 Power Service strategy
2008-03-10 Power Service strategyAlexander Schlaepfer
 
7 pasos para emprender
7 pasos para emprender7 pasos para emprender
7 pasos para emprenderVictor Miguel Melgarejo Zurutuza
 
"La reforma tributaria", una ponencia de Francisco Franconetti
"La reforma tributaria", una ponencia de Francisco Franconetti"La reforma tributaria", una ponencia de Francisco Franconetti
"La reforma tributaria", una ponencia de Francisco FranconettiRocío Gutiérrez Micó
 
Benchmarking para una sala de prensa
Benchmarking para una sala de prensaBenchmarking para una sala de prensa
Benchmarking para una sala de prensaakena
 
CDINFORMA NÚMERO 2635, 30 DE ADAR I DE 5774, 2 DE MARZO DE 2014
CDINFORMA NÚMERO 2635, 30 DE ADAR I DE 5774, 2 DE MARZO DE 2014CDINFORMA NÚMERO 2635, 30 DE ADAR I DE 5774, 2 DE MARZO DE 2014
CDINFORMA NÚMERO 2635, 30 DE ADAR I DE 5774, 2 DE MARZO DE 2014Centro Deportivo Israelita
 
Bemposta or Benposta .The first modern spanish complementary currency?
Bemposta or Benposta .The first modern spanish complementary currency?Bemposta or Benposta .The first modern spanish complementary currency?
Bemposta or Benposta .The first modern spanish complementary currency?UNED
 
02 filter
02 filter02 filter
02 filterGenvy DarkNezz
 
Mejorar el liderazgo escolar, Volumen 1: política y práctica
Mejorar el liderazgo escolar, Volumen 1: política y prácticaMejorar el liderazgo escolar, Volumen 1: política y práctica
Mejorar el liderazgo escolar, Volumen 1: política y prácticaIsmael Rodríguez Arias
 
Michelob ppt 1
Michelob ppt 1Michelob ppt 1
Michelob ppt 1Jerome Martin
 
¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android
¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android
¿Qué esconde tu teléfono? Adquisición forense de dispositivos AndroidSEINHE
 
¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android
¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android ¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android
¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android degarden
 
Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.Internet Security Auditors
 

Weitere ähnliche Inhalte

Andere mochten auch

Smalltalk In the Cloud
Smalltalk In the CloudSmalltalk In the Cloud
Smalltalk In the CloudESUG
 
News Release: Lakeland Resources Acquires Newnham Lake Property
News Release: Lakeland Resources Acquires Newnham Lake PropertyNews Release: Lakeland Resources Acquires Newnham Lake Property
News Release: Lakeland Resources Acquires Newnham Lake PropertyLakeland Resources Inc. (TSXv: LK)
 
[Kladd] Faktorisering ved kvadratsetningene
[Kladd] Faktorisering ved kvadratsetningene[Kladd] Faktorisering ved kvadratsetningene
[Kladd] Faktorisering ved kvadratsetningeneElisabeth Engum
 
Platforum D2C Conference 24 June 2015: Digital Marketing Guru Panel
Platforum D2C Conference 24 June 2015: Digital Marketing Guru PanelPlatforum D2C Conference 24 June 2015: Digital Marketing Guru Panel
Platforum D2C Conference 24 June 2015: Digital Marketing Guru PanelAcanthus Consulting
 
2009.10 Wykorzystanie Poczty Elektronicznej - raport SARE
2009.10 Wykorzystanie Poczty Elektronicznej - raport SARE2009.10 Wykorzystanie Poczty Elektronicznej - raport SARE
2009.10 Wykorzystanie Poczty Elektronicznej - raport SAREARBOinteractive Polska
 
OBP Medical IMC Plan_No Video
OBP Medical IMC Plan_No VideoOBP Medical IMC Plan_No Video
OBP Medical IMC Plan_No VideoLujia Chen
 
Heartlands1 clan donald - Bannockburn 2014 (Scotland)
Heartlands1 clan donald - Bannockburn 2014 (Scotland)Heartlands1 clan donald - Bannockburn 2014 (Scotland)
Heartlands1 clan donald - Bannockburn 2014 (Scotland)Connie Sanders
 
"La reforma tributaria", una ponencia de Francisco Franconetti
"La reforma tributaria", una ponencia de Francisco Franconetti"La reforma tributaria", una ponencia de Francisco Franconetti
"La reforma tributaria", una ponencia de Francisco FranconettiRocío Gutiérrez Micó
 
Benchmarking para una sala de prensa
Benchmarking para una sala de prensaBenchmarking para una sala de prensa
Benchmarking para una sala de prensaakena
 
CDINFORMA NÚMERO 2635, 30 DE ADAR I DE 5774, 2 DE MARZO DE 2014
CDINFORMA NÚMERO 2635, 30 DE ADAR I DE 5774, 2 DE MARZO DE 2014CDINFORMA NÚMERO 2635, 30 DE ADAR I DE 5774, 2 DE MARZO DE 2014
CDINFORMA NÚMERO 2635, 30 DE ADAR I DE 5774, 2 DE MARZO DE 2014Centro Deportivo Israelita
 
Bemposta or Benposta .The first modern spanish complementary currency?
Bemposta or Benposta .The first modern spanish complementary currency?Bemposta or Benposta .The first modern spanish complementary currency?
Bemposta or Benposta .The first modern spanish complementary currency?UNED
 
Mejorar el liderazgo escolar, Volumen 1: política y práctica
Mejorar el liderazgo escolar, Volumen 1: política y prácticaMejorar el liderazgo escolar, Volumen 1: política y práctica
Mejorar el liderazgo escolar, Volumen 1: política y prácticaIsmael Rodríguez Arias
 

Andere mochten auch (19)

Smalltalk In the Cloud
Smalltalk In the CloudSmalltalk In the Cloud
Smalltalk In the Cloud
 
News Release: Lakeland Resources Acquires Newnham Lake Property
News Release: Lakeland Resources Acquires Newnham Lake PropertyNews Release: Lakeland Resources Acquires Newnham Lake Property
News Release: Lakeland Resources Acquires Newnham Lake Property
 
[Kladd] Faktorisering ved kvadratsetningene
[Kladd] Faktorisering ved kvadratsetningene[Kladd] Faktorisering ved kvadratsetningene
[Kladd] Faktorisering ved kvadratsetningene
 
Leitlinien für Kathbern
Leitlinien für KathbernLeitlinien für Kathbern
Leitlinien für Kathbern
 
Herencia
HerenciaHerencia
Herencia
 
Platforum D2C Conference 24 June 2015: Digital Marketing Guru Panel
Platforum D2C Conference 24 June 2015: Digital Marketing Guru PanelPlatforum D2C Conference 24 June 2015: Digital Marketing Guru Panel
Platforum D2C Conference 24 June 2015: Digital Marketing Guru Panel
 
Revista de Marketing Dental y Gesti
Revista de Marketing Dental y GestiRevista de Marketing Dental y Gesti
Revista de Marketing Dental y Gesti
 
2009.10 Wykorzystanie Poczty Elektronicznej - raport SARE
2009.10 Wykorzystanie Poczty Elektronicznej - raport SARE2009.10 Wykorzystanie Poczty Elektronicznej - raport SARE
2009.10 Wykorzystanie Poczty Elektronicznej - raport SARE
 
OBP Medical IMC Plan_No Video
OBP Medical IMC Plan_No VideoOBP Medical IMC Plan_No Video
OBP Medical IMC Plan_No Video
 
Heartlands1 clan donald - Bannockburn 2014 (Scotland)
Heartlands1 clan donald - Bannockburn 2014 (Scotland)Heartlands1 clan donald - Bannockburn 2014 (Scotland)
Heartlands1 clan donald - Bannockburn 2014 (Scotland)
 
2008-03-10 Power Service strategy
2008-03-10 Power Service strategy2008-03-10 Power Service strategy
2008-03-10 Power Service strategy
 
7 pasos para emprender
7 pasos para emprender7 pasos para emprender
7 pasos para emprender
 
"La reforma tributaria", una ponencia de Francisco Franconetti
"La reforma tributaria", una ponencia de Francisco Franconetti"La reforma tributaria", una ponencia de Francisco Franconetti
"La reforma tributaria", una ponencia de Francisco Franconetti
 
Benchmarking para una sala de prensa
Benchmarking para una sala de prensaBenchmarking para una sala de prensa
Benchmarking para una sala de prensa
 
CDINFORMA NÚMERO 2635, 30 DE ADAR I DE 5774, 2 DE MARZO DE 2014
CDINFORMA NÚMERO 2635, 30 DE ADAR I DE 5774, 2 DE MARZO DE 2014CDINFORMA NÚMERO 2635, 30 DE ADAR I DE 5774, 2 DE MARZO DE 2014
CDINFORMA NÚMERO 2635, 30 DE ADAR I DE 5774, 2 DE MARZO DE 2014
 
Bemposta or Benposta .The first modern spanish complementary currency?
Bemposta or Benposta .The first modern spanish complementary currency?Bemposta or Benposta .The first modern spanish complementary currency?
Bemposta or Benposta .The first modern spanish complementary currency?
 
02 filter
02 filter02 filter
02 filter
 
Mejorar el liderazgo escolar, Volumen 1: política y práctica
Mejorar el liderazgo escolar, Volumen 1: política y prácticaMejorar el liderazgo escolar, Volumen 1: política y práctica
Mejorar el liderazgo escolar, Volumen 1: política y práctica
 
Michelob ppt 1
Michelob ppt 1Michelob ppt 1
Michelob ppt 1
 

Ähnlich wie Malware intelligence ppt-slides

¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android
¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android
¿Qué esconde tu teléfono? Adquisición forense de dispositivos AndroidSEINHE
 
¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android
¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android ¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android
¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android degarden
 
Análisis de malware en Android -.Bsides Chile 2014
Análisis de malware en Android -.Bsides Chile 2014Análisis de malware en Android -.Bsides Chile 2014
Análisis de malware en Android -.Bsides Chile 2014Julian Maximiliano Zarate
 
Forense android
Forense androidForense android
Forense androidRafael Seg
 
Seguridad Integral con Código Abierto
Seguridad Integral con Código AbiertoSeguridad Integral con Código Abierto
Seguridad Integral con Código AbiertoFutura Networks
 
Guia 3 -reconocimiento_de_hardware
Guia 3 -reconocimiento_de_hardwareGuia 3 -reconocimiento_de_hardware
Guia 3 -reconocimiento_de_hardwarekarito199317
 
Guia 3 -reconocimiento_de_hardware
Guia 3 -reconocimiento_de_hardwareGuia 3 -reconocimiento_de_hardware
Guia 3 -reconocimiento_de_hardwarekarito199317
 
Ingeniería Inversa en Android. Rooted Labs. Rooted CON 2012.
Ingeniería Inversa en Android. Rooted Labs. Rooted CON 2012.Ingeniería Inversa en Android. Rooted Labs. Rooted CON 2012.
Ingeniería Inversa en Android. Rooted Labs. Rooted CON 2012.Internet Security Auditors
 
Cristian Barrientos - Auditando Aplicaciones Android [rooted2018]
Cristian Barrientos - Auditando Aplicaciones Android [rooted2018]Cristian Barrientos - Auditando Aplicaciones Android [rooted2018]
Cristian Barrientos - Auditando Aplicaciones Android [rooted2018]RootedCON
 
Trabajando con acelerómetros en Android
Trabajando con acelerómetros en AndroidTrabajando con acelerómetros en Android
Trabajando con acelerómetros en Androidykro
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...RootedCON
 
Tema 4.2 Desarrollo Android e instalacion
Tema 4.2 Desarrollo Android e instalacionTema 4.2 Desarrollo Android e instalacion
Tema 4.2 Desarrollo Android e instalacionCarlos A. Iglesias
 
Intelligent water resources management with OGC SOS. Gestión Inteligente de R...
Intelligent water resources management with OGC SOS. Gestión Inteligente de R...Intelligent water resources management with OGC SOS. Gestión Inteligente de R...
Intelligent water resources management with OGC SOS. Gestión Inteligente de R...Juan Luis Cardoso
 

Ähnlich wie Malware intelligence ppt-slides (20)

¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android
¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android
¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android
 
¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android
¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android ¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android
¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android
 
Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.
 
Análisis de malware en Android -.Bsides Chile 2014
Análisis de malware en Android -.Bsides Chile 2014Análisis de malware en Android -.Bsides Chile 2014
Análisis de malware en Android -.Bsides Chile 2014
 
Forense android
Forense androidForense android
Forense android
 
PhoneGap Basics v1.0
PhoneGap Basics v1.0PhoneGap Basics v1.0
PhoneGap Basics v1.0
 
Leccion0 sisop
Leccion0 sisopLeccion0 sisop
Leccion0 sisop
 
Capacitación para Auxiliares1
Capacitación para Auxiliares1Capacitación para Auxiliares1
Capacitación para Auxiliares1
 
Seguridad Integral con Código Abierto
Seguridad Integral con Código AbiertoSeguridad Integral con Código Abierto
Seguridad Integral con Código Abierto
 
DDS
DDSDDS
DDS
 
Guia 3 -reconocimiento_de_hardware
Guia 3 -reconocimiento_de_hardwareGuia 3 -reconocimiento_de_hardware
Guia 3 -reconocimiento_de_hardware
 
Guia 3 -reconocimiento_de_hardware
Guia 3 -reconocimiento_de_hardwareGuia 3 -reconocimiento_de_hardware
Guia 3 -reconocimiento_de_hardware
 
Actividad 4
Actividad 4Actividad 4
Actividad 4
 
Ingeniería Inversa en Android. Rooted Labs. Rooted CON 2012.
Ingeniería Inversa en Android. Rooted Labs. Rooted CON 2012.Ingeniería Inversa en Android. Rooted Labs. Rooted CON 2012.
Ingeniería Inversa en Android. Rooted Labs. Rooted CON 2012.
 
Cristian Barrientos - Auditando Aplicaciones Android [rooted2018]
Cristian Barrientos - Auditando Aplicaciones Android [rooted2018]Cristian Barrientos - Auditando Aplicaciones Android [rooted2018]
Cristian Barrientos - Auditando Aplicaciones Android [rooted2018]
 
Trabajando con acelerómetros en Android
Trabajando con acelerómetros en AndroidTrabajando con acelerómetros en Android
Trabajando con acelerómetros en Android
 
Tipos de hardware y software
Tipos de hardware y softwareTipos de hardware y software
Tipos de hardware y software
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
 
Tema 4.2 Desarrollo Android e instalacion
Tema 4.2 Desarrollo Android e instalacionTema 4.2 Desarrollo Android e instalacion
Tema 4.2 Desarrollo Android e instalacion
 
Intelligent water resources management with OGC SOS. Gestión Inteligente de R...
Intelligent water resources management with OGC SOS. Gestión Inteligente de R...Intelligent water resources management with OGC SOS. Gestión Inteligente de R...
Intelligent water resources management with OGC SOS. Gestión Inteligente de R...
 

Kürzlich hochgeladen

Explorando la historia y funcionamiento de la memoria ram
Explorando la historia y funcionamiento de la memoria ramExplorando la historia y funcionamiento de la memoria ram
Explorando la historia y funcionamiento de la memoria ramDIDIERFERNANDOGUERRE
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerExcel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerValentinaTabares11
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptMiguelAtencio10
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxAlexander López
 
Segunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxSegunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxMariaBurgos55
 
Hernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxHernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxJOSEMANUELHERNANDEZH11
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son241514984
 
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxGoogle-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxAlexander López
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMidwarHenryLOZAFLORE
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptJavierHerrera662252
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativaAdrianaMartnez618894
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxAlexander López
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfjeondanny1997
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptchaverriemily794
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOnarvaezisabella21
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 

Kürzlich hochgeladen (20)

Explorando la historia y funcionamiento de la memoria ram
Explorando la historia y funcionamiento de la memoria ramExplorando la historia y funcionamiento de la memoria ram
Explorando la historia y funcionamiento de la memoria ram
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerExcel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel taller
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.ppt
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
 
Segunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxSegunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptx
 
Hernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxHernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptx
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son
 
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxGoogle-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptx
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativa
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 

Malware intelligence ppt-slides

  • 1. Show me your Kung-Fu Sebastián Guerrero Jorge Mieres @0xroot sguerrero@malwareint.com http://blog.seguesec.com @jorgemieres jamieres@malwareint.com
  • 2. Contenido • Introducción • Análisis Estático • Análisis Dinámico • Análisis Forense • Nickispy • Protecciones • Vulnerabilidades • Conclusión
  • 4. • Usado para empacar las aplicaciones • Todo APK incluye: • classes.dex • resources.asc • /res • /META-INF • AndroidManifest.xml Ficheros APK
  • 7. • java/Fuente (Compiler) – dex/dexdump • dex/dex2jar (jdgui) – java/jd-gui • dex/dexdump (basksmali) - smali/basksmali Ejemplo de código
  • 9. 1. Creamos una máquina virtual usando el SDK. 2. Lanzamos el emulador y almacenamos las conexiones en un pcap: • emulator –port n @device-name –tcpdump foo.pcap 3. Instalamos la aplicación • adb install appname.apk 4. Lanzamos pruebas sobre el dispositivo y la aplicación • adb shell monkey –v –p package.app n 5. Leemos los logs • adb shell logcat –d 6. Podemos apoyarnos en Wireshark para leer los logs de conexiones. Análisis Dinámico
  • 10. • Llamadas de teléfono • gsm call p-n • gsm accept p-n • gsm cancel p-n • SMS • sms send prefix-number text • Emular velocidad de red • netspeed gsm n • netspeed umts n • Cambiar coordenadas GPS • geo fix -13… 21… Simular Eventos
  • 11. 1. AXMLPrinter2 – Extraemos la información del AndroidManifest.xml 2. Dex2jar – Convertimos el fichero .dex en un fichero de clases .jar. JAD – Transformamos los ficheros .class en ficheros .jad 3. JDgui – Leemos el código almacenado en el fichero .jar. 4. Understand – Análisis estático del código. 5. Wireshark – Análisis dinámico del código. Modus Operandi
  • 12. • Noob • Nombrar ficheros de clases con el mismo nombre en minúscula/mayúscula. Esto ocultará los ficheros en sistemas que no distingan entre minúsculas/mayúsculas: N.class ~ n.class • Cifrar las conexiones que realiza el malware (DES) dificultando su análisis. • Rookie • Introducir técnicas para comprobar si se está ejecutando en un emulador. • Mejorar la eficiencia del código y ofuscarlo con alguna aplicación como ProGuard. • Master of Universe • Modificar el propio bytecode para inutilizar las herramientas de reversing. Técnicas antianálisis
  • 13. • Android está basado en el núcleo de Linux. • Se usa MTD para interactuar con la memoria flash. • Sigue la nomenclatura /dev/mtd* • Puntos de montura para /system, /data, /cache están asociados a diferentes mtdblocks. • Cada dispositiva está asociado a un dispositivo ro (Read Only). • Es necesario ser usuario root para poder realizar un análisis forense. • Exploits. • Aplicaciones específicas • A la hora de traernos los ficheros al disco podemos usar: • Comando PULL del SDK para descargar/subir ficheros. • Instalar un servidor SSH en el teléfono como DropBear. • Instalar un servidor FTP. • Hacer correlaciones de los diferentes puntos de montaje. • Tener acceso a los datos y bases de datos. Forensics
  • 15. Si pierdes tu teléfono prepárate para…
  • 16. • Alerta de seguridad - 19 julio • Detectado por Symantec ~ 20apps • Procedencia – Fujian (China) • Nombre – com.nicky.lyyws.xmall • Desarrollado por – 56mo http://www.56mo.com • Descargar desde – http://user.c5005.com/DownList.aspx NickiSpy
  • 17. • No se distribuyó nunca por el Market. MD5 Ratio Fecha ad4dbe34853f1d58543b0b8db133eb5b 10/44 2011.08.31 • Se puede descargar desde la página de la compañía: • Elegir marca de Smartphone. a21ae2802a0ee460ca2d17a9102ff7b1 14/44 2011.09.04 • Elegir modelo concreto. 15afe9bfa1b3139b5727112aa12b8f70 19/44 2011.08.31 • Acto seguido fue distribuido por varios Markets chinos 426cedcf268bdf556aa405e0c8e03c16 20/44 2011.08.31 • CamangiMarket - camangimarket.com 0d2d9504649a97e7afee2caca61e277e 15/44 2011.09.02 • GoAPK - goapk.com 0d2d9504649a97e7afee2caca61e277e 15/44 2011.09.02 83a98eabf044826622db7c211764cdf4 13/44 2011.08.23 298446914e6c845fb331bfbfd2176d9d 26 /44 2011.08.23 f6cea3c1c0e9d2cf0ec373f142852399 12/44 2011.08.23 • f4514598c47658e513888ae6cb3fd8b1 23 /44 2011.08.14 1cbb2e45356bad1f3ecb103ed76dffdd 9 /44 2011.08.11 a72adce41ea55c239ef04fbda446ceb1 2/44 2011.09.02 edf5d97f1d47bdb3ca9c414f33337a87 7/44 2011.08.12 0e7989aac352df525e5ebb077c786072 9/44 2011.08.11 5664e00084e949b07227459d8bdaf9f3 13/44 2011.08.10 • a21ae2802a0ee460ca2d17a9102ff7b1 14/44 2011.09.04 18 muestras ~ 1ª muestra (19.07) ~ Detectadas (11.08-04.09) Estadísticas
  • 18. Autor
  • 20. • Inicializamos el emulador (podemos especificar el puerto, seleccionar la VM, almacenar las conexiones, entre otras opciones). • Instalamos la aplicación. • Árbol inicial (Antes de la infección). • Simulamos actividad • Árbol final (Después de la infección) Proceso de infección
  • 21. • Obtiene el IMEI del dispositivo. • Crea un fichero de configuración • Ruta: com.nicky.lyyws.xamll/lib/shared_prefs • Nombre fichero: XM_All_Setting Fichero de configuración
  • 22. • Servidor C&C: jin.56mo.com • Puerto: 2018 Servidor C&C
  • 24. • /sdcard/shangzhou/callrecord/ • setAudioSource(1) • public static final int MIC • Microphone audio source • Constant Value: 1 (0x00000001) • setOutputFormat(1) • public static final int THREE_GPP • 3GPP media file format • Constant Value: 1 (0x00000001) • setAudioEncoder(1) • public static final int AMR_NB • AMR (Narrowband) audio codec • Constant Value: 1 (0x00000001) Servicio de grabación
  • 25. • Número SMS Premium: 15859268161. • Envía un SMS con el IMEI. • El número premium pertenece a Fujiance. • Comprueba que la aplicación no corra en un emulador. Servicio SMS
  • 26. • Formato AMR • AMR (Adaptative Multi-Rate) es un formato de compresión de audio optimizado para la codificación de voz. • El malware almacena el audio grabado en: • /sdcard/shangzhou/callrecord •El fichero creado tiene como nombre la fecha y hora en que fue creado: • 20110907184158001 – año//mes/día– hora/minutos Formato “AMR”
  • 27. • Se basa en una simple condición de estado • Usa dos simples métodos de autentificación • checkAccess para comprobar que tenemos los suficientes permisos para ejecutar la aplicación. • handleServiceConnectionError para manejar los errores. ¿Protección en las aplicaciones?
  • 28. Proceso manual 1. Desempacar el APK usando la herramienta Baksmali. 2. Realizar el cambio de código en los métodos checkAccess y handleServiceConnectionError . 3. Generar la clave privada con la que firmar el paquete. 4. Empacar el APK usando APKTool 5. Firmar la aplicación con jargsigner 6. Usar zipalign 7. Instalar y disfrutar. Proceso automatizado • Sólo es necesario revertir la librería encargada de veriticar las licencias (License Verification Library) • Usar la herramienta anti-lvl: Rompiendo la protección
  • 29. Vulnerabilidad “Touch-Event Hijacking” • Podemos mostrar al usuario una interfaz tapadera. • Hacer compras, click en banners de publicidad, instalar aplicaciones, saltarnos los permisos, o incluso robar cualquier tipo de información del teléfono • ¿Cómo funciona? • A través de Toasts , que permiten pasar los eventos a las capas inferiores • ¿Qué versiones se ven afectadas? • Según Google ninguna, esta vulnerabilidad está corregida. • Remitiéndonos a las pruebas, a día de hoy <= 2.3.4 • ¿Qué piensa Google de todo esto? TapJacking
  • 30. • Se han diseñado un total de 4 payloads • CallPayload.java – Realiza llamadas al número de indicado. • MarketPayload.java – Descarga e instala aplicaciones del market. • ResetPayload.java – Devuelve al estado de fábrica el teléfono. • SMSPayload.java – Envía un mensaje de texto al número indicado. • Está diseñado para que se puedan añadir payloads por el usuario de forma sencilla. • La estructura interna es la siguiente: • Main.java – Ejecuta el servicio y carga los payloads. • MalwarePayload.java – Abstracción para implementar más fácilmente los payloads. • MalwareService.java – Crea el toast e inicia el proceso de tap-jack. • main.xml – Tiene el layout de la aplicación, lanzando con un evento onClick cada payload. • strings.xml – Contiene las cadenas que son utilizadas en la aplicación. • El código puede descargarse desde: • http://code.google.com/p/tap-android/ ¿Cómo está organizado?
  • 32. ¡MUCHAS GRACIAS! Sebastián Guerrero Jorge Mieres @0xroot sguerrero@malwareint.com http://blog.seguesec.com @jorgemieres jamieres@malwareint.com