Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Tendencias de Malware en Android

Presentación para el Primer Simposio de Seguridad en Android
by

Francisco M. Sepúlveda

on 9 May 2013

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Tendencias de Malware en Android

Tendencias de Malware en Android Android como
Objetivo Fuente: Android Developers Motivaciones Nuevos Modelos de Negocio Objetivo Principal: Ganar Dinero ¿Cuánto cuesta desarrollar el malware? La situación ha cambiado Mercado de Dispositivos Móviles Activaciones de Android Números de Tarificación Adicional Controlando un buen número de terminales, los atacantes podrían conseguir unos $10.000 al día Spyware El desarrollador puede llegar a venderla por $400 Search Engine Poisoning Si el usuario compra, el atacante gana dinero Otros métodos Pay per Click. El atacante puede ganar unos céntimos por cada referido.
Pay per Install. El atacante puede ganar dinero instalando software pay-per-install en dispositivos comprometidos.
Adware. Una aplicación maliciosa puede mostrar un anuncio lanzando el navegador.
Robo de mTAN (Transaction Authentication Number) Desde hace unos años se ha desarrollado un verdadero mercado de compra-venta de vulnerabilidades Evolución del Malware Primer Malware para Android
Se hace pasar por un reproductor multimedia
Envía mensajes SMS a números premium Primer Malware espía GPS.
Se camufla como un juego.
Almacena las coordenadas GPS. Primer Malware con características de Botnet.
Se distribuye empaquetado con aplicaciones legítimas.
Puede recibir órdenes desde un servidor. Malware distribuido desde el Android Market Oficial.
Usa dos exploits diferentes para conseguir privilegios de root en el dispositivo.
Infectó entre 50.000 y 200.000 dispositivos. Usa el mismo exploit que DroidDream para obtener privilegios de root.
Tras la infección inicial instala componentes adicionales.
Puede ejecutar comandos para: borrar archivos, visitar páginas, descargar e instalar apk, ejecutar aplicaciones.
Recopila información del dispositivo y la envía a un servidor. Roba información y funciona como backdoor.
Tras la infección inicial descarga componentes adicionales.
Distribuido desde Android Market Oficial empaquetado en varias aplicaciones legítimas. Primer Malware que obtiene acceso root para la versión 2.3 de Android, Gingerbread.
Después se conecta a un servidor a la espera de intrucciones y puede descargar e instalar aplicaciones. Troyano SMS con la capacidad de bloquear mensajes de confirmación de servicios premium. Primer Malware capaz de espiar conversaciones (graba llamadas en la tarjeta SD).
Depende del usuario final para su instalación, pero viene empaquetado con aplicaciones legítimas. Un fallo de Google Play instala un cliente de correo electrónico ruso en algunos dispositivos Samsung con Android. Primer Malware tipo Bootkit para Android.
Se distribuye empaquetado con aplicaciones que necesitan privilegios de root.
Aprovechando estos privilegios se instala como parte de la secuencia de arranque de Android. Sustituye aplicaciones como ifconfig o mount.
El malware se inicia incluso antes de que lo haga el Android framework.
Se ha detectado en más de 50 aplicaciones. Tendencias del
Malware La motivación principal seguirá
siendo económica, sólo cambiarán las técnicas Near Field Communication Robo de información
Credenciales de login
Datos financieros
Captura de identificadores
Venta de IMEIs para dispositivos previamente bloqueados
Falsificar dispositivos
Venta de software de seguridad falso
Secuestro de dispositivos y petición de rescate ¿Qué es NFC? Permite el intercambio de datos entre dispositivos separados menos de 10 cm.
Usa frecuencias sin licencia y velocidades de hasta 400 kbps. ¿Para qué se usa? Transferencia de archivos entre dispositivos.
Intercambio de información: tarjetas de visita, mapas, calendarios...
Pago de productos y servicios. Seguridad en NFC Esta tecnología no proporciona comunicaciones seguras por sí sola.
Las aplicaciones deben utilizar protocolos de cifrado y autenticación de capa de aplicación, como SSL. Ataques a NFC Eavesdropping: Con antenas adecuadas puede capturarse la señal a pocos metros de distancia. (Proxmark) Relay Attack: El atacante puede capturar la señal de la víctima para luego reutilizarla. Pérdida: Si se "pierde" el dispositivo, un atacante podría hacerse pasar por la víctima. Previsiones de crecimiento Se espera que el volumen de pagos mediante dispositivos móviles alcance los 630.000 millones de dólares en 2014 SmartPoster: Los dispositivos NFC actuales interactúan de forma automática con los datos que reciben de un tag. De esta forma, se podría enviar comandos a la víctima, como enviar un SMS, cargar una web, iniciar una llamada, activar Bluetooth. Códigos QR ¿Qué son? Similares a los códigos de barra permiten almacenar información en matrices de puntos bidimensionales. Hasta algo más de 7000 caracteres. ¿Por qué tanto malware en Android? ¿Se debe a que es código abierto? ¿Para qué se usan? Uno de sus primeros usos fue la administración de inventarios.
Actualmente es una forma sencilla de introducir información en un dispositivo móvil sin tener que usar el teclado, por ejemplo, URLs o tarjetas de presentación. ¿Por qué pueden ser peligrosos? La mayoría de las aplicaciones para leer QR redirigen al usuario sin mostrarle previamente la URL.
No hacen una validación y no preguntan al usuario.
Attack + Tagging = Attaging Ataques con códigos QR Códigos QR + Metasploit 1. Crear un código QR con una URL que apunta a un servidor con metasploit a la escucha.
2. Engañar a posibles víctimas con algún reclamo para que escaneen el código.
3. Esperar conexiones y explotar vulnerabilidades. Códigos QR + Malware 1. Crear un código QR con una URL que apunta a un servidor web con aplicaciones infectadas. Cuanto más se parezca a Google Play, mejor.
2. Engañar a posibles víctimas con algún reclamo para que escaneen el código.
3. Esperar a que los usuarios se descarguen las aplicaciones. Modificar códigos QR Como se están usando los códigos QR de forma intensiva en publicidad y en carteles, es perfectamente posible modificar uno de estos carteles con una pegatina de un código QR. ¿Qué podemos hacer? Entorno Empresarial Robo de Credenciales Bancarias Han aparecido aplicaciones que simulan ser generadores de token legítimos de conocidos bancos. Esperan que el usuario introduzca su clave de firma y al pulsar "Generar" sólo devuelve un número aleatorio, pero envía la credencial a un teléfono móvil y a un servidor, junto con información adicional.
Después, el troyano examina el terminal de la víctima para localizar el número mTAN que habrá remitido la entidad bancaria vía SMS. Arquitectura de Android Cada aplicación se ejecuta en su propia máquina virtual aislada del resto.
Esto asegura (por defecto) que una aplicación no puede acceder a los recursos de otra, a menos que el terminal esté "rooteado".
Al contrario que en Java VM, la seguridad no se basa en las máquinas virtuales, sino en el propio sistema operativo:
Control de acceso.
Aislamiento.
Seguridad basada en permisos. Control de Acceso La versión 2.x de Android proporciona opciones rudimentarias de configuración de contraseñas:
Fortaleza de la contraseña.
Tiempo tras el que bloquear el dispositivo.
La versión 3.0 de Android introduce el concepto de caducidad de contraseña y la posibilidad de cifrar los datos en la tarjeta y borrarlos tras un determinado número de intentos fallidos de acceso.
La versión 4.0 añade varias características:
Permite el cifrado completo del dispositivo.
Reconocimiento facial para desbloquear el terminal.
Más control sobre la transmisión de datos en aplicaciones en segundo plano. Procedencia de las Aplicaciones Aislamiento Este método aisla las aplicaciones entre sí y también evita que puedan modificar el kernel.
La política por defecto prohíbe el acceso a prácticamente cualquier subsistema del dispositivo, aunque las aplicaciones pueden:
Leer la lista de aplicaciones.
Leer datos de la memoria flash.
Ejecutar otras aplicaciones.
Las aplicaciones pueden solicitar permisos adicionales. Seguridad Basada en Permisos Usar el Sentido Común Instalar aplicaciones desde lugares reconocidos.
Revisar los permisos que solicita la aplicación durante su instalación. También durante la actualización.
Mantener actualizado el sistema operativo y las aplicaciones (WhatsApp).
Revisar los comentarios de los usuarios que han instalado la aplicación.
Como siempre, el usuario es el eslabón más débil de la cadena. https://play.google.com/store/apps/details?id=goldenshorestechnologies.brightestflashlight.free&feature=search_result Por defecto, la mayoría de aplicaciones Android tienen muy pocos permisos.
Cada aplicación incluye una lista de los permisos que necesita y que se presentan al usuario en "lenguaje no técnico" en el momento de instalación. Si el usuario no acepta, no se instala la aplicación, no hay opción de elegir los permisos.
En último término es el usuario el que decide. En Android todas las aplicaciones tienen que estar firmadas digitalmente.
Los desarrolladores pueden generar sus propios certificados.
Para distribuirlas en Google Play el desarrollador debe pagar $25 con su tarjeta de crédito.
El atacante puede descargar una aplicación legítima, empaquetarla de nuevo con un troyano y volverla a firmar para distribuirla. Google Bouncer En febrero de 2012, Google incluyó en Google Play su herramienta de eliminación de malware automatizada: Google Bouncer. Android puede ser muy atractivo para entornos empresariales Gran cantidad de aplicaciones.
Facilidad de personalización.
Integración con otros servicios de Google. Pero las implicaciones en seguridad son mayores La información almacenada ya no es personal, sino corporativa. BYOD.
Puede usarse para acceso remoto a recursos en la empresa (VPN).
Un dispositivo comprometido puede poner en peligro toda la red de la empresa.
Funciones esenciales para el negocio podrían depender de estos dispositivos. Políticas de Seguridad
Móvil Empresarial Autenticar el acceso a los datos para usuarios y dispositivos.
Cifrar los datos.
Proporcionar seguridad en las conexiones.
Concienciar y formar a los usuarios.
Instalar herramientas de detección de malware.
Centralizar la seguridad de los dispositivos móviles. Ataques Ya se han registrado ataques DoS sobre dispositivos Android, incluso en ICS. Mobile Device Management Se instala un agente en cada terminal y permite la gestión centralizada.
Permite configurar:
Complejidad de contraseñas.
Tiempo para bloqueo de pantalla.
VPNs.
Deshabilitar funciones específicas, como instalar aplicaciones.
Localizar dispositivos con GPS.
Borrar dispositivos de forma remota. Ponente: Paco Sepúlveda
http://www.linkedin.com/in/pacosepulveda
formacion@franciscosepulveda.eu Se espera que en breve se desarrollen gusanos para ataques DoS masivos.
El hacktivismo por diferentes motivos se está convirtiendo en una amenaza real. Gracias por la atención prestada
Full transcript