DIAGNÓSTICO DE ATAQUES DE SEGURIDAD MEDIANTE REDES BAYESIANAS

Tamaño: px
Comenzar la demostración a partir de la página:

Download "DIAGNÓSTICO DE ATAQUES DE SEGURIDAD MEDIANTE REDES BAYESIANAS"

Transcripción

1 INGENIERO EN INFORMÁTICA DIAGNÓSTICO DE ATAQUES DE SEGURIDAD MEDIANTE REDES BAYESIANAS Autor: Javier Cercas Sánchez Director: Rafael Vida Delgado Madrid 2014

2

3 AUTORIZACIÓN PARA LA DIGITALIZACIÓN, DEPÓSITO Y DIVULGACIÓN EN ACCESO ABIERTO ( RESTRINGIDO) DE DOCUMENTACIÓN 1º. Declaración de la autoría y acreditación de la misma. El autor D. Javier Cercas Sánchez, como estudiante de la UNIVERSIDAD PONTIFICIA COMILLAS (COMILLAS), DECLARA que es el titular de los derechos de propiedad intelectual, objeto de la presente cesión, en relación con la obra Proyecto fin de carrera DIAGNÓSTICO DE ATAQUES DE SEGURIDAD MEDIANTE REDES BAYESIANAS 1, que ésta es una obra original, y que ostenta la condición de autor en el sentido que otorga la Ley de Propiedad Intelectual como titular único o cotitular de la obra. En caso de ser cotitular, el autor (firmante) declara asimismo que cuenta con el consentimiento de los restantes titulares para hacer la presente cesión. En caso de previa cesión a terceros de derechos de explotación de la obra, el autor declara que tiene la oportuna autorización de dichos titulares de derechos a los fines de esta cesión o bien que retiene la facultad de ceder estos derechos en la forma prevista en la presente cesión y así lo acredita. 2º. Objeto y fines de la cesión. Con el fin de dar la máxima difusión a la obra citada a través del Repositorio institucional de la Universidad y hacer posible su utilización de forma libre y gratuita ( con las limitaciones que más adelante se detallan) por todos los usuarios del repositorio y del portal e-ciencia, el autor CEDE a la Universidad Pontificia Comillas de forma gratuita y no exclusiva, por el máximo plazo legal y con ámbito universal, los derechos de digitalización, de archivo, de reproducción, de distribución, de comunicación pública, incluido el derecho de puesta a disposición electrónica, tal y como se describen en la Ley de Propiedad Intelectual. El derecho de transformación se cede a los únicos efectos de lo dispuesto en la letra (a) del apartado siguiente. 3º. Condiciones de la cesión. Sin perjuicio de la titularidad de la obra, que sigue correspondiendo a su autor, la cesión de derechos contemplada en esta licencia, el repositorio institucional podrá: 1 Especificar si es una tesis doctoral, proyecto fin de carrera, proyecto fin de Máster o cualquier otro trabajo que deba ser objeto de evaluación académica

4 (a) Transformarla para adaptarla a cualquier tecnología susceptible de incorporarla a internet; realizar adaptaciones para hacer posible la utilización de la obra en formatos electrónicos, así como incorporar metadatos para realizar el registro de la obra e incorporar marcas de agua o cualquier otro sistema de seguridad o de protección. (b) Reproducirla en un soporte digital para su incorporación a una base de datos electrónica, incluyendo el derecho de reproducir y almacenar la obra en servidores, a los efectos de garantizar su seguridad, conservación y preservar el formato.. (c) Comunicarla y ponerla a disposición del público a través de un archivo abierto institucional, accesible de modo libre y gratuito a través de internet. 2 (d) Distribuir copias electrónicas de la obra a los usuarios en un soporte digital. 3 4º. Derechos del autor. El autor, en tanto que titular de una obra que cede con carácter no exclusivo a la Universidad por medio de su registro en el Repositorio Institucional tiene derecho a: a) A que la Universidad identifique claramente su nombre como el autor o propietario de los derechos del documento. b) Comunicar y dar publicidad a la obra en la versión que ceda y en otras posteriores a través de cualquier medio. c) Solicitar la retirada de la obra del repositorio por causa justificada. A tal fin deberá ponerse en contacto con el vicerrector/a de investigación d) Autorizar expresamente a COMILLAS para, en su caso, realizar los trámites necesarios para la obtención del ISBN. 2 En el supuesto de que el autor opte por el acceso restringido, este apartado quedaría redactado en los siguientes términos: (c) Comunicarla y ponerla a disposición del público a través de un archivo institucional, accesible de modo restringido, en los términos previstos en el Reglamento del Repositorio Institucional 3 En el supuesto de que el autor opte por el acceso restringido, este apartado quedaría eliminado.

5 d) Recibir notificación fehaciente de cualquier reclamación que puedan formular terceras personas en relación con la obra y, en particular, de reclamaciones relativas a los derechos de propiedad intelectual sobre ella. 5º. Deberes del autor. El autor se compromete a: a) Garantizar que el compromiso que adquiere mediante el presente escrito no infringe ningún derecho de terceros, ya sean de propiedad industrial, intelectual o cualquier otro. b) Garantizar que el contenido de las obras no atenta contra los derechos al honor, a la intimidad y a la imagen de terceros. c) Asumir toda reclamación o responsabilidad, incluyendo las indemnizaciones por daños, que pudieran ejercitarse contra la Universidad por terceros que vieran infringidos sus derechos e intereses a causa de la cesión. d) Asumir la responsabilidad en el caso de que las instituciones fueran condenadas por infracción de derechos derivada de las obras objeto de la cesión. 6º. Fines y funcionamiento del Repositorio Institucional. La obra se pondrá a disposición de los usuarios para que hagan de ella un uso justo y respetuoso con los derechos del autor, según lo permitido por la legislación aplicable, y con fines de estudio, investigación, o cualquier otro fin lícito. Con dicha finalidad, la Universidad asume los siguientes deberes y se reserva las siguientes facultades: a) Deberes del repositorio Institucional: - La Universidad informará a los usuarios del archivo sobre los usos permitidos, y no garantiza ni asume responsabilidad alguna por otras formas en que los usuarios hagan un uso posterior de las obras no conforme con la legislación vigente. El uso posterior, más allá de la copia privada, requerirá que se cite la fuente y se reconozca la autoría, que no se obtenga beneficio comercial, y que no se realicen obras derivadas. - La Universidad no revisará el contenido de las obras, que en todo caso permanecerá bajo la responsabilidad exclusiva del autor y no estará obligada a ejercitar acciones legales en nombre del autor en el supuesto de infracciones a derechos de propiedad intelectual derivados del depósito y archivo de las obras. El autor renuncia a cualquier reclamación frente a la Universidad por las formas no ajustadas a la legislación vigente en que los usuarios hagan uso de las obras. - La Universidad adoptará las medidas necesarias para la preservación de la obra en un futuro.

6 b) Derechos que se reserva el Repositorio institucional respecto de las obras en él registradas: - retirar la obra, previa notificación al autor, en supuestos suficientemente justificados, o en caso de reclamaciones de terceros. Madrid, a 21 de Julio de 2014 ACEPTA Fdo

7

8

9 Security is only as good as the weakest link. And most often, the weakest Agradecimientos link is the human one. Robert Lemos. PC Magazine 25 April 2006 Quiero dar las gracias a todos aquellos que me han acompañado durante el transcurso de esta etapa que ahora culmina con este proyecto. En primer lugar a mi familia, que siempre está en esos momentos en los que más se necesita, y en especial a mis padres, modelos a seguir en mi vida, ya que sin su esfuerzo, comprensión y consejos no habría podido alcanzar esta meta y por lo que siempre les estaré agradecido. A mis compañeros por todos los momentos compartidos. A compañeros de clase, amigos de toda la vida, compañeros del Colegio Mayor, de los Scouts y en definitiva a todos aquellos que han estado creciendo y madurando conmigo. Al final, estamos formados por esas experiencias que vivimos y me alegro de haber podido compartir muchas con todos vosotros. No podía faltar un apartado para agradecer a todas aquellas personas que han dedicado su tiempo, sus conocimientos y sus mejores intenciones, a que crezca académica y personalmente. Desde profesores del colegio que son capaces de transmitir su entusiasmo por aprender, hasta los de la Universidad, con los que espero coincidir a partir de ahora también en reuniones de trabajo. Y me gustaría hacer una mención especial a todos aquellos que han contribuido a mi interés por la seguridad informática, como Rafael Vida, director de este proyecto. Muchas gracias Alessandra, por haberme ayudado a mejorar como persona y haber sido un pilar sobre el que apoyarme durante todo este tiempo. Todos habéis contribuido a ser lo que soy y a todos os doy las gracias.

10 DIAGNÓSTICO DE ATAQUES DE SEGURIDAD MEDIANTE REDES BAYESIANAS Autor: Cercas Sánchez, Javier. Director: Vida Delgado, Rafael. Entidad Colaboradora: ICAI - Universidad Pontificia Comillas RESUMEN DEL PROYECTO El objetivo de este proyecto es proponer una solución para conocer si un dispositivo móvil Android pudiera estar infectado por malware simplemente indicando los síntomas que puede detectar el usuario sin necesidad de instalar una aplicación que consuma recursos ni estar en posesión del dispositivo. Palabras clave: Android, malware, redes bayesianas, ingeniería inversa, síntomas, análisis estático, análisis dinámico. 1. Introducción Los Smartphones se han convertido en elementos fundamentales en nuestras vidas ya que, debido a la creciente integración y conectividad de la que disponen gracias a tecnologías como 3G, WiFi, puertos USB, nos resulta muy fácil usarlos y nos facilitan nuestras tareas. Han pasado de ser instrumentos para realizar llamadas y estar en contacto, a almacenar y gestionar toda nuestra información y nuestros datos, y por tanto nuestra vida. No estamos concienciados de los riesgos a los que estamos expuestos simplemente por llevar un Smartphone en el bolsillo. Son una puerta a nuestra privacidad y el problema surge al chocar la sencillez de uso con lo complicado que es conocer las amenazas, controlar la seguridad de nuestros dispositivos y estar al día de las medidas de protección adecuadas. La solución hoy en día se encuentra en proteger nuestros dispositivos ante las actuaciones maliciosas de terceros con intención de robar esa información almacenada en nuestros dispositivos y sacar un beneficio económico de esta. Hay en el mercado muchas soluciones que aseguran que te protegen ante estas actuaciones pero no siempre son efectivas (incluso muchas son propio malware) y además consumen constantemente muchos recursos importantes del Smartphone ralentizando su funcionamiento para posteriormente no ser capaces de distinguir si son ataques reales o falsos positivos. Por lo tanto, lo que se pretende realizar es un estudio del malware para ser capaz de identificar los síntomas que produce en el dispositivo Android y que son visibles para el usuario. Una vez completado el estudio y obtenido un modelo estadístico que caracteriza el malware mediante redes bayesianas, se realiza el diseño y desarrollo de un prototipo

11 que sirviéndose de estos datos, permita al usuario consultar si con los síntomas detectados su dispositivo está infectado. 2. Metodología Para el desarrollo de la herramienta se ha empleado una metodología de desarrollo incremental, para controlar la complejidad y los riesgos, dividiendo la herramienta en diferentes partes que al final terminan siendo la solución completa. El sistema experto mediante redes bayesianas sigue estas etapas: 1. Planteamiento del problema: Definición inicial del problema a resolver. Dar forma a la idea. 2. Investigación: fase Experto Humano. En este proyecto esta etapa se puede dividir en varias fases: Estudio: El objetivo es recopilar la información necesaria para llevar a cabo la idea. Recopilación de malware y síntomas. Análisis estático: Análisis del código binario de la aplicación Análisis dinámico: Análisis del comportamiento. 3. Diseño inicial: Esta etapa incluye el diseño del sistema experto bayesiano usando Excel. 4. Elección herramienta: Elección del lenguaje de programación, base de datos y diseño de la herramienta. 5. Desarrollo y pruebas del prototipo: Desarrollo de la plataforma web, base de datos e implementación y pruebas de la red. 6. Refinamiento y generalización: Se corrigen los fallos y se incluyen nuevas posibilidades no incorporadas en el diseño inicial. (Implementación para que sea escalable) 7. Mantenimiento y puesta al día: esta etapa queda fuera del alcance de este proyecto haciendo posibles futuros desarrollos. 3. Tecnologías y herramientas La recopilación de información se realiza acudiendo a fuentes de confianza como el Instituto Nacional de Tecnologías de la Comunicación (INTECO) y antivirus reconocidos como Symantec y TrendMicro entre otros. Adicionalmente, se ha establecido contacto con Dr. Xuxian Jiang y Yajin Zhou de North Carolina State University para obtener muestras de malware y poder basarse en estudios anteriores.

12 Simulaciones y herramientas de ingeniería inversa: AXMLPrinter2, Dex2jar y Java Decompiler GUI y el apoyo de herramientas de análisis en la web (VirusTotal o SandDroid) Modelo estadístico: los cálculos bayesianos se realizan con el apoyo de MS Excel para la creación de fórmulas y por su facilidad de exportar la información procesada a una base de datos. Herramienta web: Back-End: programación Java EE usando Netbeans como IDE. Base de datos bajoe MySQL. Front-End: entorno web en HTML5 y CSS3 con Bootstrap como framework, JavaScript y JQuery, y lenguaje JSTL. Para la edición de logos, imágenes y diseño de gráficos en general se emplean los programas de software libre Gimp y Yed. Figura 1. Modelo

13 4. Conclusiones UNIVERSIDAD PONTIFICIA COMILLAS Como conclusión final, del estudio se puede determinar que realizando un análisis estático mediante ingeniería inversa del código malware y un análisis dinámico basado en el comportamiento, se pueden determinar los síntomas visibles que produce una familia de malware y caracterizarla en una base de datos para su posterior uso por el algoritmo. Con el prototipo escalable, se brinda la posibilidad de que un usuario no especializado pueda utilizar los datos determinados en el estudio de manera sencilla. Hay que tener en cuenta que los resultados están condicionados por la cantidad de malware caracterizado en la base de datos y por la percepción de los los síntomas por parte del usuario. Figura 2. AndroidDoctor

14 SECURITY ATTACKS DIAGNOSIS USING BAYESIAN NETWOKS Author: Cercas Sánchez, Javier. Supervisor: Vida Delgado, Rafael. Affiliation: ICAI - Universidad Pontificia Comillas ABSTRACT The aim of this project is to propose a solution to find out if an Android device could be infected by malware just by indicating the symptoms that a non-technical user can detect. All this without the need of installing an app that consumes resource or the need of having the device with you. Keywords: Android, malware, Bayesian networks, reverse engineering, symptoms, static analysis, dynamic analysis. 1. Introduction The Smartphones have become essential elements in our lives because, due to the increasing integration and connectivity they have through technologies such as 3G, WiFi, USB ports, it is very simple to use them and they facilitate everyday tasks. Smartphones have been transformed from simple instruments used to call and be in contact, into instruments to store and manage all the personal information and data, and consequently our lives. We are not concerned about the risk that we are exposed to just by having a Smartphone in our pocket. Smartphones are an open door to our privacy and the problem appears when it is very simple to use the Smartphone but extremely difficult to know all the vulnerabilities, control the security of our devices and to be updated with the adequate protective measures. The solution nowadays is found with the protection of the devices from the malicious intentions of third parties who try to steal private information stored in the device and can benefit it economically. There are a lot of solutions in the market that assure the protection against these practices but they are not always effective or real (even some of them are malware themselves) and also, they need to use a lot of important resources from the Smartphones slowing their normal performance. Furthermore, in most of the cases, they cannot determine if the attack is real or a false positive. Consequently, what this project intends to do is a study of Android s malware to be able to identify the symptoms that an Android device shows produced by the infection of this malware. The most important part is that the user can identify the symptoms. Once the study is finished and a statistical model that characterizes the malware using a Bayesian Network is obtained, the design and development of a prototype using the data is performed. With this prototype the user can check the symptoms detected on the device to know if it is infected.

15 2. Methodology To control and manage the complexity and the risks, an incremental development methodology has been used for the software development. It has been divided into different parts that conclude in a complex solution. The Bayesian network expert system is formed by these stages: 1. Approach to the problem: initial definition of the problem to solve. To give shape to the idea. 2. Investigation: Human Expert stage. In this project this stage can be divided in several ones: Research: the aim is to gather the information necessary to implement the idea. Collect malware and symptoms. Static analysis: binary code analysis of the application. Dynamic analysis: behavior analysis. 3. Initial design: this stage includes the design of the Bayesian network expert system using Excel. 4. Software selection: programming language election, database and software design. 5. Development and test of the prototype: web platform development, database, implementation and test. 6. Refinement and generalization: errors correction and new functionality addition to the initial design. (Scalable design) 7. Maintenance and update: this stage is out of the scope of the project, could be a basis for future developments. 3. Technologies and resources The information gathering process is based on trusted sources like Instituto Nacional de Tecnologías de la Comunicación (INTECO) and leading antivirus companies like Symantec and TrendMicro, among others. In addition, Dr. Xuxian Juang and Yajin Zhou from North Carolina State University have been contacted to obtain malware samples and to gain access to previous researches. Simulation and reverse engineering tools: AXMLPrinter2, Dex2jar and Java Decompiler GUI and the support in web tools for analysis (VirusTotal o SandDroid)

16 Statistical model: Bayesian calculation is made with the support of MS Excel to create formulas and easily export the processed information to a database. Web development: Back-End programmed in Java EE using Netbeans as IDE. MySQL database. Front-End: web environment developed in HTML5 and CSS3 using Bootstrap framework, JavaScript, JQuery, and JSTL language. For editing images and graphical design, free software Gimp and yed are used. Figure 1. Model 4. Conclusions As final conclusion, it can be determined from the research carried out that by performing static analysis, using reverse engineering methods, and dynamic analysis, based on malware behavior, it is possible to determine the visible symptoms produced by a malware family and characterize it. The algorithm can use the database to obtain a set of probabilities. Using the scalable prototype, a non-technical user can easily get advantage from the results of the research.

17 It should be noted that the results are constrained by the amount of characterized malware in the database and by the user s perception of the symptoms. Figure 2. AndroidDoctor

18

19 INGENIERO EN INFORMÁTICA DIAGNÓSTICO DE ATAQUES DE SEGURIDAD MEDIANTE REDES BAYESIANAS Autor: Javier Cercas Sánchez Director: Rafael Vida Delgado Madrid 2014

20

21 Tabla de contenido 1. Introducción y planteamiento Planteamiento general Descripción del proyecto Ventajas aportadas Alcance del trabajo Recursos Motivación Objetivo del proyecto Metodología Investigación y Estado de la cuestión Malware Definición de malware y evolución Tipo de malware Técnicas de ocultación Métodos de propagación Métodos de detección Motivación para realizar malware Antivirus Estado de la cuestión Estudio y Modelo propuesto Estudio Efectos Análisis malware seleccionado Antivirus que los detectan Algoritmo estadístico Herramienta y tecnologías empleadas Base de datos Web Arquitectura MVC Diagrama de paquetes JQuery y JavaScript GIMP y yed II

22 5. Caso ejemplo Conclusiones Futuros desarrollos Bibliografía ANEXO A. Malware ANEXO B. Análisis antivirus III

23 Índice de figuras Figura 1. Cuota de mercado global según sistema operativo Smartphones... 5 Figura 2. Crecimiento de las amenazas Android 2Q Figura 3. Metodología... 8 Figura 4. Evolucion Figura 5. Clasificación malware Figura 6. Virus de la policía Figura 7. Androide/Kole.A Figura 8. Flujo Troyanos SMS Figura 9. Ejemplo de rogueware en Google Play-Virus Shield Figura 10. Diagrama de una Botnet Figura 11. Distribución Android Malware primer trimestre Figura 12. Gráfico explicativo de las técnicas de ocultación Figura 13. Diferentes formas de metamorfismo Figura 14. Interrupciones en un sistema Figura 15. Interrupciones en un sistema infectado Figura 16. Interrupciones en un sistema infectado convencionalmente y antivirus Figura 17. Tunneling Figura 18. Aplicaciones malware Google Play Figura 19. Comparativa de malware en el mercado de Google con el mercado de terceros Figura 20. Diagrama técnicas de detección de Malware Figura 21. Red Neuronal Multicapa Figura 22. Cluster jerárquico Figura 23. k-medios Figura 24. Modelo distribuido Figura 25. Modelo de densidad Figura 26. Sistema Kirin Figura 27. Ciclo de vida del malware Figura 28. Proceso de detección de un antivirus Figura 29. Diagrama Síntomas/Efectos Figura 30. Consumo de datos normal Figura 31. Pico de datos Figura 32. Permisos Flappy Bird troyanizado Figura 33. Arquitectura Android Figura 34. Código de descompresión y árbol de contenido Figura 35. Android Manifest DroidKungFu Figura 36. Estructura interna malware DroidKungFu Figura 37. Obtención de permisos para acceder a la localización Figura 38. Llamada a métodos para obtener localización Figura 39. Establecimiento de las conexiones Figura 40. Información obtenida Figura 41. Acceso al IMEI Figura 42. Clave de cifrado Figura 43. Función de cifrado/descifrado Figura 44. Comprobación del rango horario Figura 45. Permisos MonkeyJump Figura 46. Función de cifrado Figura 47. Geinimi comprueba si está activo Figura 48. Recopilación de SMS Figura 49. Intento suscripción Figura 50. Código del mensaje de Dogowars Figura 51. Logo original (izquierda) y logo malware (derecha) Figura 52. SmsReceiver de BoxerSMS Figura 53. Código de BoxerSMS suscripción según país IV

24 Figura 54. Código Tigerbot para reiniciar el dispositivo Figura 55. Ejemplo de código Tigerbot Figura 57. Llamada a teléfono Premium Figura 58. Permisos malware Figura 59. Ejemplo de representación gráfica de malware y síntomas Figura 60. AndroidDoctor. Herramienta web Figura 61. Logo AndroidDoctor Figura 62. Query para alimentar la base de datos Figura 63. Esquema de la base de datos Figura 64. Información obtenida de scripts de McAfee Figura 65. Página de análisis Figura 66. Página de resultados Figura 67. Página FAQ Figura 68. Arquitectura Figura 69. MVC Figura 70. Código de las etiquetas JSP Figura 71. Código de las etiquetas JSTL y diseño escalable Figura 72. Diagrama de paquetes simplificado Figura 73. Se vincula con las páginas JSPs ya que es tecnología cliente Figura 74. Definición y uso de elementos JQuery Figura 75. Ejemplo de JQuery en el slider y JavaScript mostrando/ocultando opciones Figura 76. Imagen creada con GIMP Índice de tablas Tabla 1. Venta mundial de dispositivos por segmento-gartner Oct Tabla 2. TOP 10 de países atacados... 6 Tabla 3. Técnicas de ofuscación Tabla 4. Infecciones mediante navegador Tabla 5. Errores en el diagnóstico Tabla 6. Comparación análisis Estático y Dinámico Tabla 7. Malware detectado por antivirus Tabla 8. Malware Tabla 9. Nomenclatura-Síntomas Tabla 10. Probabilidad Kituri Tabla 11. Probabilidad BoxerSMS Tabla 12. Probabilidad Geinimi V

25 1. Introducción y planteamiento En éste capítulo, se exponen los datos más relevantes del proyecto: explicación del mismo, motivación, ventajas aportadas, alcance, recursos empleados para su desarrollo, objetivos y metodología de trabajo Planteamiento general Es indiscutible que el Smartphone se ha convertido en un elemento fundamental en nuestras vidas ya que nos facilita nuestras tareas cotidianas y da respuesta a nuestras necesidades. Ha pasado de ser un mero teléfono con el que estar en contacto con los seres queridos, a tener toda nuestra información y nuestros datos y por tanto nuestra vida- almacenada y gestionada con él, y en muchos casos, elemento indispensable en la vida de muchas personas. Nos ofrece un sin fin de posibilidades como organización, contactos, conexión directa con nuestros bancos, redes sociales, navegación y casi cualquier cosa que podamos necesitar. Debido a la creciente integración y conectividad de la que disponen estos dispositivos gracias a tecnologías como 3G, WiFi, puertos USB, etc, nos resulta muy fácil usarlos. Todo esto se realiza a través de las aplicaciones que tenemos instaladas pero, sabemos realmente qué hacen esas aplicaciones o cómo lo hacen? Por qué son gratuitas? En estos puntos es donde aparecen más dificultades a la sociedad para responder. No estamos concienciados de los riesgos a los que estamos expuestos simplemente por llevar un Smartphone en el bolsillo. Son una puerta a nuestra privacidad y choca la sencillez de uso con lo complicado que es conocer las amenazas, controlar la seguridad de nuestros dispositivos y estar al día de las medidas de protección adecuadas. La solución hoy en día se encuentra en proteger nuestros dispositivos ante las actuaciones maliciosas de terceros con intención de robar esa información almacenada en nuestros dispositivos y sacar un beneficio económico de esta. Hay en el mercado muchas soluciones que te aseguran que te protegen ante estas actuaciones pero no siempre son efectivas y además consumen muchos recursos importantes del Smartphone ralentizando su funcionamiento para posteriormente no ser capaces de distinguir si son ataques reales o falsos positivos. JAVIER CERCAS SÁNCHEZ 1

26 Descripción del proyecto Para poner remedio a esta situación de incertidumbre e inseguridad se pretende realizar un sistema experto basado en un modelo estadístico que diagnostique los ataques de seguridad mediante redes bayesianas caracterizando el malware que afecta a los dispositivos Android y que determine la probabilidad de que dicho dispositivo esté infectado. Para ello es necesario estudiar el comportamiento del malware analizando el código binario de cada muestra de malware de forma estática y dinámica para detectar los efectos que provoca y que son visibles por el usuario final. A continuación, este modelo se completará con el desarrollo de una herramienta que permita al usuario indicar los síntomas que ha detectado en su dispositivo y realice los cálculos necesarios basados en el modelo estadístico anterior, para determinar los posibles ataques que se han realizado o se están realizando y la probabilidad de que el ataque sea real, y no un falso positivo. Para llevar a cabo dicha herramienta es necesario crear un repositorio que relacione amenazas y vulnerabilidades con sus efectos. Lo que se ofrece es una solución que te ayuda en el diagnóstico de posibles amenazas, y te ayuda a determinar la respuesta, además de permitir aprender a proteger el dispositivo. Con este proyecto se busca poner las bases para un desarrollo futuro que se cimiente sobre este estudio Ventajas aportadas Actualmente los antivirus no te indican la probabilidad de error que han cometido al analizar tu dispositivo siendo uno de sus mayores problemas el consumo de recursos y los falsos positivos,de los que se habla en capítulos posteriores y que según AV-comparatives [AVCO13] muestra cómo Symantec, AVG, Panda y McAfee tienen los mayores ratios de falsos positivos con datos de septiembre de Además, para que los antivirus puedan actuar, es necesario tener instalado en el Smartphone una aplicación que está consumiendo bastantes recursos que son muy importantes en dispositivos móviles constantemente (que requiere permisos para acceder a tus datos que en muchos casos son usados para obtener información sobre la privacidad del usuario). La principal ventaja que aporta este proyecto es poder conocer con una probabilidad si tu dispositivo está infectado sin necesidad de tener ningún programa instalado por lo que no consume recursos del dispositivo y lo único que es necesario es conocer los síntomas y tener acceso a internet para utilizar la herramienta, es decir que incluso podría ser otra persona la que analizase el dispositivo por ti o acceder desde un ordenador. Una innovación añadida y JAVIER CERCAS SÁNCHEZ 2

27 necesaria para llevar a cabo el proyecto es la caracterización del malware según los síntomas detectados por el usuario. Este hecho abre la puerta a muchas posibilidades futuras Alcance del trabajo El proyecto consta de dos fases bien diferenciadas pero a la vez indivisibles por su naturaleza: estudio y modelo, y herramienta. En la primera fase, parte principal del proyecto en la que se basa la segunda, hay que realizar un estudio previo en profundidad del malware que afecta a los dispositivos para la plataforma Android, conociendo sus vectores de ataque y sobre todo los síntomas provocados y que pueden ser detectados de forma sencilla por los usuarios de los dispositivos, para poder caracterizarlos y posteriormente diseñar un modelo estadístico basado en redes bayesianas que se ajuste a este comportamiento. Cumplida esta primera etapa, hay que implementar una herramienta que permita a los usuarios de dispositivos Android beneficiarse del estudio y modelo realizado anteriormente. La herramienta será un desarrollo web adaptativo que permita a un usuario conectarse tanto desde un ordenador como desde su dispositivo móvil (Smartphones y Tablets) y que mediante el completado de un formulario sencillo, se pueda recoger la información introducida por el usuario sobre los síntomas que ha detectado en su dispositivo Android. Posteriormente, se realizarán los cálculos necesarios para determinar si está siendo afectado por una infección en su sistema. Fuera del alcance queda la fase mantenimiento y puesta al día del sistema experto ya que se pretende establecer las bases para un futuro desarrollo, el análisis físico del dispositivo del usuario y la desinfección del mismo, aunque se proporciona información sobre recursos disponibles para su control y eliminación Recursos Para realizar el estudio del malware en la primera fase del proyecto se utiliza información de fuentes de confianza como el Instituto Nacional de Tecnologías de la Comunicación (INTECO), sociedad dependiente del Ministerio de Industria, Energía y Turismo (MINETUR), y antivirus reconocidos como Symantec y TrendMicro entre otros. Adicionalmente, nos hemos puesto en JAVIER CERCAS SÁNCHEZ 3

28 contacto con Dr. Xuxian Jiang y Yajin Zhou de North Carolina State University para obtener muestras de malware y poder basarnos en estudios anteriores. Para realizar simulaciones y analizar el malware, se usan herramientas de análisis en la web como VirusTotal o SandDroid que permiten obtener informes sobre un determinado archivo, y un entorno de trabajo controlado para realizar infecciones y estudiar el comportamiento real de diferentes muestras. Para interpretar el código binario de las aplicaciones de Android se emplean las herramientas AXMLPrinter2, Dex2jar y Java Decompiler GUI. En complemento a estas herramientas, el programa Wireshark es muy útil para detectar comportamientos anómalos relacionados con las conexiones a internet. Una vez realizado el estudio y recogida la información de fuentes fiables, el modelo estadístico de la red bayesiana se realiza con el apoyo de MS Excel para la creación de fórmulas y por su facilidad de exportar la información procesada en una base de datos. El desarrollo de la herramienta web se basa en la plataforma de programación Java EE usando el entorno de desarrollo integrado Netbeans IDE. Como tecnologías y lenguajes de programación se emplea una base de datos MySQL, HTML5, CSS3 con Bootstrap como framework, JavaScript y JQuery. Para la edición de logos, imágenes y diseño de gráficos en general se emplean los programas de software libre Gimp y Yed Motivación En general, el malware para Android sigue creciendo exponencialmente. Entre junio de 2012 y junio de 2013, el número de familias de malware conocidas aumentó un 69%, y las muestras de malware conocido aumentó casi cuatro veces [USCI13]. Además, hay que añadir que mucha gente siente pánico cada vez que algo cambia en su dispositivo y en seguida lo asocia con un virus por desconocimiento o peor, no hacen nada cuando la causa es el malware. En muchos casos no pueden tener un antivirus instalado constantemente porque no tienen los recursos necesarios y asimismo, los antivirus no son siempre la mejor opción para la detección como se explica en capítulos posteriores. La primera decisión a tomar fue la elección del dispositivo y sistema operativo. Se determina realizar el estudio sobre Smartphones ya que hay una tendencia negativa en cuanto a la adquisición de ordenadores en pro de los dispositivos móviles, como se muestra en la tabla 1. JAVIER CERCAS SÁNCHEZ 4

29 Venta mundial de dispositivos por segmento (miles de unidades) Tipo de dispositivo Sobremesa y portátil 341, , ,568 Ultra Mobile 9,787 18,598 39,896 Tablet 120, , ,229 Teléfono móvil 1,746,177 1,810,304 1,905,030 Total 2,217,440 2,316,433 2,489,723 Tabla 1. Venta mundial de dispositivos por segmento-gartner Oct.2013 Cómo hemos visto antes, Android es más propenso a ser atacado por malware y esto es debido en parte a la cantidad de usuarios y cuota de mercado que contempla. En la figura 1 se puede apreciar que más del 80% de las ventas del mercado global en el tercer cuartil de 2013 son del SO Android con una amplia diferencia entre sus competidores, lo que se traduce en más de millones de usuarios [GUPTA14]. Si a esto le sumamos que el número de aplicaciones que se descargan para estos dispositivos es de 50 billones [STAT14], tenemos el escenario perfecto para cualquier hacker que busque incautos de los que beneficiarse económicamente. Figura 1. Cuota de mercado global según sistema operativo Smartphones JAVIER CERCAS SÁNCHEZ 5

30 Por todo esto, los dispositivos Android están directamente en el punto de mira de los hackers a medida que las amenazas proliferan y la base de usuarios poco concienciados con la seguridad se extiende. El número de aplicaciones maliciosas y de alto riesgo para Android ha crecido hasta las en el segundo trimestre del año 2013, con un dramático crecimiento de las aplicaciones de alto riesgo, cifrado en , encontradas en el trimestre anterior. El ritmo de crecimiento de estas aplicaciones maliciosas es tan grande que a finales de año ha superado el millón [TREN13]. A modo de comparación, el malware para PC tardó una década en acumular esta cifra. Figura 2. Crecimiento de las amenazas Android 2Q-2013 TOP 10 de países atacados Posición País % de ataques 1 Rusia 48,90% 2 India 5,23% 3 Kazajistán 4,55% 4 Ucrania 3,27% 5 Inglaterra 2,79% 6 Alemania 2,70% 7 Vietnam 2,44% 8 Malasia 1,79% 9 España 1,58% 10 Polonia 1,54% Tabla 2. TOP 10 de países atacados JAVIER CERCAS SÁNCHEZ 6

31 1.3. Objetivo del proyecto Como se ha mencionado, el objetivo principal de este proyecto es sentar las bases de un desarrollo futuro que se cimiente sobre este estudio y herramienta. Para ello se diseña un modelo estadístico mediante redes bayesianas que se traslada a una herramienta en la que el usuario pueda conocer si su dispositivo Android está infectado por un tipo de malware y la probabilidad de que este ataque sea real y no un falso positivo. Inicialmente, hay que realizar un estudio previo intensivo para poder crear un repositorio con la información sobre las amenazas que pueden afectar a los dispositivos Android y que están activas actualmente, crear el modelo estadístico que relacione amenazas con síntomas y las caracterice y finalmente, desarrollar la herramienta que permita recoger la información proporcionada por el usuario y analizar los datos para obtener los resultados con las probabilidades de cada amenaza. Cumpliendo los objetivos parciales del párrafo anterior, se habrán puesto las bases para un desarrollo futuro en el que se tendrá que alimentar y actualizar la base de datos con la información del malware para que la herramienta pueda resolver cualquier tipo de ataque en la situación actual Metodología En este proyecto, inicialmente es necesario hacer un importante proceso de investigación para obtener la suficiente información para caracterizar el malware de unas fuentes fiables e íntegras. Es necesario también estudiar las diferentes posibilidades que brindan las redes bayesianas y otros métodos para este caso. Una vez obtenida la información necesaria, se pasará al análisis y caracterización del malware y posteriormente al diseño de la red. Finalmente en las últimas etapas, se implementa la herramienta mediante una metodología de desarrollo incremental, para controlar la complejidad y los riesgos, dividiendo la herramienta en diferentes partes que al final terminan siendo la solución completa. La última etapa consiste en comprobar la eficacia del modelo y realizar los ajustes necesarios. JAVIER CERCAS SÁNCHEZ 7

32 Figura 3. Metodología JAVIER CERCAS SÁNCHEZ 8

33 2. Investigación y Estado de la cuestión En éste capítulo, se expone la investigación general del malware realizada para conocer su comportamiento y realizar un desarrollo óptimo. En primer lugar se va exponer la base de conocimiento necesaria en relación con la actuación del malware y las tecnologías existentes sobre la que se basa el modelo posterior. En segundo lugar se expone el estado de la cuestión Malware El propósito del malware es ocasionar perjuicios a los usuarios de los dispositivos y obtener un beneficio económico de ello. Pueden ocasionar desde pequeños trastornos tales como la aparición de mensajes en la pantalla hasta el bloqueo completo del dispositivo o el robo de información bancaria, y efectivamente este puede ser uno de los mayores daños que el malware puede realizar. En este apartado se trata el tema del malware, desde su evolución, técnicas y la razón de su existencia entre otras cosas. El trabajo contará con descripciones de las categorías donde se agrupan el malware así como las diferencias de lo que es un malware contra lo que falsamente se considera malware. Pero como para casi todas las cosas dañinas hay un antídoto, para el malware también lo hay; el antivirus. Se describen los métodos existentes en el mercado para contrarrestar el malware y el proceso que sigue un antivirus Definición de malware y evolución Etimológicamente, la palabra procede de la unión de software malicioso en ingles: MALicious software. Son programas diseñados para infiltrarse y dañar el sistema de un modo u otro sin el consentimiento de los usuarios. El término de malware es genérico y cubre diferentes tipos de amenazas que se estudian más adelante como spyware, gusanos y troyanos. Estos se infiltran en los dispositivos desde haciéndose pasar por antivirus y aprovechando para robar datos personales como posicionamiento y navegación, hasta ocultos en aplicaciones de éxito para robar información de cuentas bancarias, bloqueo del Smartphone y subscripción a servicios Premium con cargos que se ven reflejados a final de mes en la factura. JAVIER CERCAS SÁNCHEZ 9

34 Evolución Se cumplen diez años desde la aparición del primer malware capaz de infectar un dispositivo móvil. El número de amenazas de este tipo se ha multiplicado de forma exponencial y para Android, la cifra de elementos únicos de malware supera los [SOPH14]. Los más destacados en la evolución son: Cabir: También conocido como Caribe, fue el primer gusano que afectó a un dispositivo móvil (Symbian). Se trataba más de una curiosidad que de un virus peligroso. Utilizaba Bluetooth para propagarse a otros dispositivos Drever: Primer Rogueware (falso antivirus) para móviles. Esta aplicación fraudulenta se hacía pasar por un antivirus de la empresa rusa Dr. Web. Para evitar ser descubierto, borraba cualquier otro antivirus que tuviera instalado Xrove: virus de prueba que podía saltar de un ordenador con sistema operativo Windows a un móvil con Windows Mobile. La idea de infectar un móvil desde un PC fue retomada ese mismo año 2006 con el APK Downloader Trojan para Android. A pesar de haber sido escrito para demostrar que se podía hacer, intentaba borrar todos los documentos de la carpeta mis documentos FlexSpy: Era un software que se vendía para espiar dispositivos móviles. Fue el primer spyware que usaba una llamada entrante desde un número predefinido como señal para comenzar el espionaje Meiti: Meiti era un gusano diseñado para robar información confidencial del terminal disfrazado como un pack de juegos Ikee: Primer malware diseñado para los dispositivos de Apple, y hasta la fecha el único que se está explotando activamente pero que sólo afecta a los dispositivos con jailbreak. Los síntomas de la infección se detectan a primera vista, ya que cuando se infecta el dispositivo, se cambia el fondo del escritorio por una foto de la estrella del pop de los 80 Rick Astley Android Wallpapers: Cuando se instala la aplicación recogía numerosa información del dispositivo, que incluía el número de serie de la tarjeta SIM y el número de teléfono entre otras, y lo enviaba a China DroidDream: En este año se produjo una un aumento significativo de aplicaciones maliciosas en Play Store. Se disfrazaban de juegos pero introducían un troyano en el dispositivo JAVIER CERCAS SÁNCHEZ 10

35 que, además de enviar información confidencial a sus creadores, instalaba una serie de exploits que preparaban el teléfono para ser atacado en el futuro. Google sacó una aplicación llamada Android Market Security Tool, la cual le permitía prohibir aplicaciones aunque el usuario ya las hubiera descargado KongFu: Los creadores de malware se aprovecharon de la popularidad de Angry Birds, sacando una versión que funcionaba perfectamente pero con la que los ciberdelincuentes tenían acceso completo al dispositivo infectado, pudiendo instalar con posterioridad cualquier malware que quisieran. Con idea de hacer menos obvio el código malicioso, disfrazaban un fichero en otro de un formato totalmente distinto. KonFu escondía dos programas ejecutables dentro de un fichero de imagen MasterKey: En este año se produjeron varias vulnerabilidades en la forma de verificar el código de Android, por lo que aplicaciones maliciosas se podían hacer pasar por aplicaciones verificadas de fabricantes prestigiosos. Estas vulnerabilidades fueron llamadas acertadamente Masterkey, o llave maestra Koler: Es el ejemplo más reciente de malware para dispositivos móviles. Es un ransomware y se podría definir como la versión del virus de la Policía para Android. Este malware bloquea el Smartphone y pide un pago para poder seguir usándolo. JAVIER CERCAS SÁNCHEZ 11

36 Figura 4. Evolución JAVIER CERCAS SÁNCHEZ 12

37 Tipo de malware Clasificación clásica Actualmente, la clasificación clásica del malware ha quedado obsoleta en la práctica real pero se sigue usando en multitud de documentos y sirve como clasificación a grandes rasgos. En la mayoría de la literatura existente, se habla de una serie de características que definen el malware según sus objetivos, método de propagación e infección, los cuales también se analizan en este proyecto. La clasificación se basa fundamentalmente en: Virus: de macro, de compañía, del sector de arranque, de memoria... Aunque se puede mantener hoy en día esta clasificación, no es realmente útil. Los virus en su concepción clásica han desaparecido, y aunque en algunos casos estas técnicas se vuelven a utilizar como los virus de arranque, no marcan tendencia y los límites no están bien definidos. Gusanos: Prácticamente desaparecidos. Tuvieron en Slammer y Blaster sus principales exponentes pero exceptuando brotes como Conficker, no son habituales ya. Potencialmente, pueden llegar a ser los más dañinos, debido a que desarrollan sobre todo la capacidad de réplica. En muchas ocasiones, es la propia capacidad de difusión salvaje la que puede resultar dañina sin necesidad de payload específico, por el propio colapso de los recursos. La mayor seguridad de los servidores impiden que se repliquen de este modo, teniendo que recurrir a otras técnicas como la difusión por dispositivos USB o unidades compartidas remotas. Bombas lógicas: en un momento determinado, se activaba el malware. Anteriormente se hablaba de fechas o eventos concretos para activar el malware pero actualmente ha adquirido el concepto de que se desactiven cuando surge un evento determinado. Por ejemplo, es habitual encontrar que los troyanos bancarios se activan cuando el usuario visita la página objetivo. Pero sobre todo, detectan cuando están siendo controlados por un sistema de análisis automático como los antivirus y dejar de realizar su actividad sospechosa para evitar ser descubierto. Un ejemplo habitual es detectar que se encuentran en máquinas virtuales. Troyanos: En principio se empleaba este término de forma muy amplia para todo programa que ocultaba en él otro tipo de código que ejercía acciones no deseadas sobre el sistema de forma transparente para el usuario. Hoy en día se denomina troyano a la mayoría del malware, puesto que se camufla como lo que no es y permite el control remoto del dispositivo a un tercero. Dialers: Muy populares a finales de los 90, utilizaban números de tarificación especial para conectar al usuario a internet, modificando su configuración y usando conexión a través del JAVIER CERCAS SÁNCHEZ 13

38 módem. Esta es principalmente la razón de su desaparición, pero se ha transformado en el malware para Android que utiliza el envío de mensajes premium. Exploits: Los exploits siguen totalmente vigentes, más como medio de infección que como malware en sí. Los exploits consiguen ejecutar el malware, no son el malware en sí. Actualmente son una vía muy importante de infección, y sin embargo los antivirus siguen teniendo muchos problemas para detectarlos. Rootkits: Forman casi siempre parte del malware actual más sofisticado. Modifican el sistema con drivers que impiden que se visualice el troyano como proceso, o que sea detectado con herramientas del propio sistema [CRYP14]. Figura 5. Clasificación malware Clasificación por objetivos La clasificación por objetivos supone un método mucho más efectivo de organizar el malware puesto que la clasificación técnica se hace muy compleja por el hecho de que la mayoría del malware hoy en día combina muchas características que impiden poder ser estrictos en la clasificación. Ransomware: Se conoce así al malware que pretende lucrarse a través de la "extorsión". Habitualmente, un sistema infectado por este tipo de malware contiene alguna rutina capaz de cifrar archivos y/o bloquear el acceso al sistema. El atacante crea un malware que cifra ficheros JAVIER CERCAS SÁNCHEZ 14

39 en el sistema que infecta suponiendo que sean importantes para la víctima, que se ve obligada a pagar una cantidad de dinero al creador del malware si quiere que el atacante le proporcione el método para poder descifrar los archivos y recuperarlos. De lo contrario los ficheros permanecerán cifrados o incluso, en un momento dado, serán borrados por completo del sistema. Este método surge inicialmente en Estados Unidos, donde el año pasado pude ser testigo de su actuación ya que un compañero sufrió un bloqueo en el sistema con un mensaje amenazante de la RIAA (entidad en estados unidos que vela por los derechos de autor del material audiovisual). El mensaje decía haber encontrado material con copyright en el sistema mostrando nombres de archivos reales. Instaba a la víctima a pagar una multa en ese mismo momento, que iba desde los 100 a los 500 dólares para poder desbloquear el equipo. El rotundo éxito de esta fórmula se trasladó a Europa con el conocido "virus de la policía". El equipo se bloqueaba acusando al usuario de contener material pornográfico en el sistema, información sobre terroristas, zoofilia o cualquier otra amenaza, y requería el pago de 100 euros a través de Ukash o PaySafeCard para poder seguir usando su sistema. Figura 6. Virus de la policía 2014 JAVIER CERCAS SÁNCHEZ 15

40 En Android se han detectado casos recientemente de una variante de ransomware llamado Androide/Koler.A, el cual no es capaz de cifrar los datos de tu dispositivo pero cada cinco segundos bloquea todo lo que está en ejecución y muestra el mensaje de que tus archivos están cifrados y debes pagar un cantidad para desbloquearlo [FSEC14]. El malware hace uso de varios scripts para geolocalizar el dispositivo infectado y mostrar el mensaje de advertencia en el idioma local con imágenes de la fuerzas de seguridad locales. Figura 7. Androide/Kole.A Spyware: Se conoce con este nombre al malware que pretende recopilar los hábitos de navegación del usuario, monitorizando su interacción con el sistema. El término se ha extendido hasta englobar al malware que además de recolectar hábitos de navegación, también puede modificar configuración importante del sistema, habitualmente relacionada con el navegador, como por ejemplo la redirección de los sistemas o la instalación de software adicional. El spyware recopila hábitos de navegación, para conocer mejor a la víctima y poder así anunciarle productos que se ajusten mejor a su perfil. Atenta contra la privacidad del usuario, enviando de forma normalmente no consentida las direcciones o enlaces visitados, o cualquier otro tipo de información personal válida para realizar un perfil ajustado de hábitos de consumo en Internet. Normalmente supone un primer paso para un ataque más específico que suele consistir en spam personalizados o aparición de adware específico para el usuario. También, los simples datos recopilados por el spyware pueden ser vendidos a empresas que trafican con datos de carácter personal o interesadas en estadísticas. Como ejemplo, a finales de 2012 se publica información sobre Red October [KASP13]. Una compleja red de espionaje contra gobiernos, embajadas, infraestructuras críticas y militares de todo el mundo en la que se obtiene información muy relevante de dispositivos móviles y ordenadores. JAVIER CERCAS SÁNCHEZ 16

41 Adware: Se conoce con este nombre al malware que pretende mostrar publicidad en el sistema de forma no deseada. Habitualmente se compone de un proceso que se ejecuta de forma no deseada en el sistema y que, una vez monitorizados los hábitos de navegación, muestra publicidad personalizada en la pantalla de forma constante y reiterativa. Habitualmente en forma de ventanas emergentes que se abren sin que el usuario realice ninguna acción específica. El adware consigue así bombardear al usuario con publicidad personalizada y por tanto, que puede causar un mayor impacto económico en el anunciante. Las consecuencias colaterales del adware es que suele degradar el rendimiento del sistema operativo hasta volverlo impracticable, por lo que es una evidencia de su existencia. El beneficio económico para los atacantes que distribuyen adware viene de la venta de servicios de publicidad, las empresas anunciantes, conscientes o no de que se trata de un servicio fraudulento, pagan por cada anuncio que se visualiza en los sistemas de los usuarios. Troyanos Clic: Los atacantes pueden forzar que miles de sistemas infectados con su troyano hagan peticiones simulando clics en banners de publicidad situados en sus páginas webs para cobrar las comisiones, así como les permite adulterar concursos y encuestas de forma interesada y fraudulenta haciendo que todos los sistemas infectados voten por una opción determinada. Estos troyanos no roban de forma directa al usuario infectado, sino que utiliza su sistema y conexión a Internet como recurso para estafar a servicios de terceros que dependen de los clics de los visitantes. Troyanos SMS: La infección se inicia cuando el usuario descarga alguna de las 22 aplicaciones infectadas con esta amenaza en Google Play. Al momento de aceptar la instalación, sin leer los Términos y Condiciones, se brinda consentimiento para ser suscripto a números SMS Premium. De este modo, se le seguirán enviando mensajes a la persona con un costo asociado. A partir de la obtención de los códigos numéricos de identificación por país y operador MCC (Mobile Country Code) y MNC (Mobile Network Code), el troyano determina el país del Smartphone en cuestión así como la compañía telefónica a la cual pertenece. Posteriormente procede a enviar SMS a números Premium de acuerdo a la información recopilada anteriormente [ESET14]. JAVIER CERCAS SÁNCHEZ 17

42 Figura 8. Flujo Troyanos SMS Rogueware: Este tipo de malware se hace pasar por un software de seguridad, por ejemplo un antivirus o antispyware, y ofrece al usuario un análisis gratuito de su sistema. Tras un supuesto análisis, que en realidad nunca lleva a cabo, informa al usuario de que el sistema se encuentra infectado y que necesita adquirir la versión de pago para desinfectar el malware y tener a salvo su PC. Los usuarios más incautos terminan introduciendo su tarjeta de crédito en una página web para adquirir el programa de seguridad que supuestamente eliminará unos virus que en realidad no existen en su sistema. Este malware busca el beneficio estafando de forma directa a los usuarios infectados. Como ejemplo reciente, [HERN14] ha sido retirada de Google Play (tienda de aplicaciones de Google) la aplicación Virus Shield por estafar a los usuarios ya que se vendía como un antivirus y únicamente cambiaba el icono cuando se ejecutaba. La app llegó a estar en el top de aplicaciones con más de descargas con un precio de $3.99 durante sus nueve días de vida y obtuvo calificaciones de 4,5/5 por parte de los usuarios. Figura 9. Ejemplo de rogueware en Google Play-Virus Shield JAVIER CERCAS SÁNCHEZ 18

43 Botnets: Los botnets son redes de ordenadores infectados que quedan bajo el control de un servidor maestro. El término 'bot' se utiliza para denominar a aquellos troyanos que se encuentran conectados a un centro de control desde el cual reciben instrucciones, actualizaciones, y otros componentes de malware. Cuando un sistema se encuentra infectado por un bot se denomina zombi, y a la red de ordenadores zombis se le denomina botnet. A efectos prácticos los sistemas de una botnet se encuentran controlados de forma remota por los atacantes, que pueden realizar cualquier tipo de acción desde ellos. La potencia de una botnet viene dada por la posibilidad de realizar acciones coordinadas y distribuidas, aprovechando al unísono la potencia de miles de sistemas zombis bajo su control. Las botnets pueden concentrar un gran número de máquinas zombi que se coordinan para gestionar el envío de correo basura, distribución de malware, alojamiento de páginas fraudulentas, ataques de denegación de servicio (DDoS) Figura 10. Diagrama de una Botnet Crimeware: Bajo este término se engloba el malware destinado al robo de información o identidad. Este es sin duda, el objetivo preferido del malware hoy en día. El crimeware está destinado a robar información necesaria para acceder a servicios online que pueden proporcionar algún tipo de lucro al atacante. Habitualmente se trata de credenciales de cuentas bancarias que permitan acceso a operaciones bancarias con crédito real. JAVIER CERCAS SÁNCHEZ 19

44 El crimeware también es conocido bajo el término de troyano bancario y en realidad puede llegar a englobar a los clickers, ransomware Rootkit 8,6% Troyano Click 0,6% Backdoor 11,1% Troyano-Descargas 5,8% Monitor 1,4% Otros 0,1% Distribución Malware Adware 28,8% Troyano 17,5% Toryano SMS 22,0% Spyware 2,2% Troyano bancario 1,9% Figura 11. Distribución Android Malware primer trimestre Técnicas de ocultación El malware también se puede clasificar según la técnica de ocultación que utilice para no ser detectado. Básicamente se distingue como de primera o segunda generación. En la primera generación, la estructura del malware no cambia. Pero en la segunda generación, la estructura interna del malware cambia en cada variante mientras que las acciones se mantienen. En la segunda generación las técnicas empleadas son: Cifrado, Oligomorfismo, Polimorfismo y Metamorfismo [CAST14]. Cifrado El cifrado fue la primera técnica de ocultación usada para crear la segunda generación de malware. Está formada por dos partes; el cifrado del cuerpo y el descifrado del código. Normalmente se usa un algoritmo XOR con clave para dificultar su detección. Por cada infección, el cuerpo del malware se cifra de forma única usando claves diferentes para ocultar su firma. Sin embargo, la rutina de descifrado permanece inalterada, por lo tanto puede ser detectado analizando el descifrado. En este método cuando el código malicioso se ejecuta, primero se realiza el descifrado del cuerpo y después se ejecuta el código de la acción. El primer malware cifrado fue CASCADE. JAVIER CERCAS SÁNCHEZ 20

45 Ejemplo de cifrado simple: UNIVERSIDAD PONTIFICIA COMILLAS A = y B = A XOR B= XOR = Oligomorfismo (A XOR B) XOR B= XOR = El corto avance del cifrado del malware inició el camino hacia el desarrollo de diferentes técnicas de ocultación. En el malware oligomórfico la rutina de descifrado muta de una variante a otra. Inicialmente este tipo de malware es capaz de cambiar el descifrado ligeramente. Este método simplemente proporciona un conjunto de diferentes rutinas de descifrado en vez de sólo una como en la técnica de cifrado. Como mucho, este malware puede generar cientos de rutinas de descifrado diferentes. En general, para detectar esta técnica de ocultación de malware, no suele ser una buena aproximación usar métodos de detección basados en la firma (explicados en el capítulo de técnicas de detección) pero podrían ser aplicados si se hace una firma para cada una de la rutinas de descifrado. El primer malware oligomórfico fue Whale que contenía una docena de rutinas de descifrado y elegía una aleatoriamente. Polimorfismo En este caso se pueden originar millones de rutinas de descifrado e infinitas claves posibles ya el cogido malicioso va mutando por cada variante para evitar la detección por firma. También consiste en dos partes: el código descifrador para descifrar el cuerpo (segunda parte). Durante su ejecución, el motor de mutación crea una nueva rutina de descifrado que se une con el cuerpo cifrado para desarrollar una nueva variante. Este malware es creado usando técnicas de ofuscación como pre inserción, post-inserción pura y con salto, recubrimiento, suplantación COM-EXE, sobreescritura, etc [JARA14]. El primer malware polimórfico fue JAVIER CERCAS SÁNCHEZ 21

46 Figura 12. Gráfico explicativo de las técnicas de ocultación ID Descripción ID Descripción 1 Pre-Inserción 3 Recubrimiento 2.A Post-Inserción pura 4 Suplantación COM,EXE 2.B Post-Inserción con salto 5 Sobreescritura Tabla 3. Técnicas de ofuscación Metamorfismo Este método es muy parecido al anterior pero en este caso lo que varía es el cuerpo. En vez de generar nuevas rutinas de descifrado se crea una nueva instancia o cuerpo sin cambiar su acción. Como en el polimorfismo, se pueden emplear técnicas de ofuscación para este proceso. Crear malware aleatoriamente con esta técnica sin alterar el tamaño es bastante complicado por eso clasificar correctamente el malware en esta categoría no suele ser sencillo. Un ejemplo de malware que usaba esta técnica y fue un autentica pesadilla fue Ghost [16]. Figura 13. Diferentes formas de metamorfismo JAVIER CERCAS SÁNCHEZ 22

47 Otras técnicas de ocultación pero que no requieren necesariamente de algoritmos de cifrado son: Stealth: un ataque Stealth opera de forma silenciosa y esconde los signos visibles de un infección que podría delatar la presencia como por ejemplo el tamaño de los ficheros o mostrar un balance de la cuenta falso para ocultar que el saldo de la cuenta está siendo transferido. La sofisticación de este ataque puede variar de unos a otros teniendo en cuenta el tiempo dedicado o los recursos disponibles siendo estos métodos los más usados: Evasión: el malware se oculta de las típicas rutinas de los programas antivirus y sistemas de detección de intrusión (IPS) [METC13] que analizan el sistema buscando las firmas del malware bloqueando estos análisis o moviéndose de sistema en sistema sin generar el típico tráfico sospechoso. Dirigido: en este caso el malware está pensado para una organización o industria en concreto como por ejemplo W32.Stuxnet [FALL11]. Letargo: el atacante instaura el malware en un sistema pero permanece inactivo esperando al momento apropiado para ser activado e iniciar la fase siguiente. Se emplean rootkits para realizar este método sin ser detectado. Determinación: una mezcla entre el ataque dirigido y las amenazas avanzadas persistentes (APT) ya que el atacante se toma el tiempo necesario para conseguir el acceso a la red sin ser descubierto. El ataque detectado por McAfee que más tiempo ha durado alcanza los 28 meses mientras que la media suele ser de 8.75 meses (Cita 10). Fases complejas: con este método se emplean conjuntamente varias técnicas descritas anteriormente en según qué fases del proceso de infección. Tunneling: es un método muy fiable contra antivirus residentes. En esencia, obtienen direcciones de memoria originales de los servicios para utilizarlos sin ser interferidos, pero el proceso es bastante complejo. El antivirus analiza si la petición está intentando acceder a un dirección de memoria reservada a otro servicio pero el malware actúa en la fase final de la interrupción producida para el acceso a la memoria por lo que no es detectado. A continuación se puede ver una explicación gráfica: JAVIER CERCAS SÁNCHEZ 23

48 Figura 14. Interrupciones en un sistema Figura 15. Interrupciones en un sistema infectado Figura 16. Interrupciones en un sistema infectado convencionalmente y antivirus En este caso, el gestor del virus intercepta la llamada al principio del proceso por lo que el antivirus es más probable que lo detecte, si está preparado para ello. Cuando el virus realiza la técnica del tunneling, se incorpora al final del proceso por lo que el antivirus es incapaz de detectarlo. Figura 17. Tunneling Armouring: conjunto de técnicas que emplea el malware que dificultan los procesos de detección que siguen los antivirus como desensamblado de código, depuración, emulación y análisis heurísticos para evitar su detección. JAVIER CERCAS SÁNCHEZ 24

49 Métodos de propagación Los métodos de propagación del malware observados en dispositivos móviles se pueden clasificar según si se auto propagan de forma automática o si hay interacción del usuario, siendo esta última el tipo de infección más común. Por ejemplo, un malware tipo gusano no requiere la actuación del usuario para reproducirse y propagarse, sin embargo malware como Android.Fakelicense (Symantec [XIAN13]) necesita engañar al usuario y ser instalado, ya que simula ser una aplicación para chatear con Blackberrys y realmente instala un adware que muestra publicidad dando beneficios al atacante. Se pueden identificar seis vectores de propagación [SUAR13]: Desde stores de aplicaciones: En este caso el malware es subido a las plataformas de distribución de aplicaciones saltándose los controles de protección de Google Play o a través de sitios de terceros donde el control es menor. En Google Play buscando Frozen Bubble se encuentran multitud de aplicaciones de diferentes programadores afirmando ser la original pero con diferentes pesos y permisos. Lo mismo pasa con las aplicaciones más populares como Whatsapp, Candy Crush, Clash of Clans etc. Figura 18. Aplicaciones malware Google Play Basándose en datos de otros estudios [ZHOU13] se ha podido realizar una comparativa con stores de terceros en los que se han analizado 10 familias de malware diferentes y los resultados JAVIER CERCAS SÁNCHEZ 25

50 muestran el número de aplicaciones infectadas por esas familias dentro de la muestra que se ha tomado. Comparativa malware Google-Terceros Google eoemarket alcatelclub gfan mmoovv Figura 19. Comparativa de malware en el mercado de Google con el mercado de terceros Desde aplicaciones: este método utiliza otras aplicaciones en las que el atacante ha detectado vulnerabilidades y aprovecha para infectarlas y propagarse. Para ello es necesario que las aplicaciones que van a usarse como medio de infección estén instaladas en el dispositivo con lo que puede existir el riesgo pero no materializarse nunca. Esta es la diferencia con la estrategia anterior. Desde el navegador: este modelo es similar al anterior con la salvedad de que se usa el navegador como medio de infección y eso elimina la restricción de que tenga que estar instalada otra aplicación. Además de las descargas por engaño que puedan producir, se aprovechan de vulnerabilidades de flash y java, lo que posibilita la explotación de los métodos que se usan para infectar ordenadores indistintamente de la plataforma que se use. Según datos de Kaspersky, el 30,47% de sus usuario han estado bajo riesgo de infectarse mediante el navegador. Esto posiciona a España en el puesto 20 de su estudio. Población infectada mediante navegador Posición País % infección 17 Lituania 30,80% 18 Grecia 30,65% 19 Uzbekistán 30,53% 20 España 30,47% Tabla 4. Infecciones mediante navegador JAVIER CERCAS SÁNCHEZ 26

51 Desde SMS: se usa por malware que se propaga directa o indirectamente vía SMS/MMS. Desde otro dispositivo: se basa en explotar vulnerabilidades o errores de configuración en el dispositivo que permitan ser infectado a través de otro dispositivo. Desde la nube: similar a la infección desde otro dispositivo pero en este caso desde una estación de trabajo a través de la nube. Desde un puerto USB: se produce cuando el malware se propaga al dispositivo debido a que se conecta con un ordenador infectado mediante el puerto USB o conexión WiFi. Una variante es Androidos_Usbattack.A (Trend Micro [SUNW13]) que en este caso la infección se produce desde el dispositivo al ordenador. Como se puede observar de todo lo expuesto en este apartado, el malware para dispositivos móviles tiene dos ramas básicas de ataque que se pueden clasificar en: crear un nuevo proceso para realizar su ataque o modificar la formar en la que una aplicación ya instalada se ejecuta. En el primer caso se necesita de la interacción del usuario como por ejemplo la descarga de cualquier aplicación o abrir un mensaje recibido. El segundo caso es muy común en dispositivos Android ya que es un sistema operativo abierto en comparación con otros, con lo que a los atacantes les otorga más libertad para realizar sus ataques Métodos de detección Como se ha explicado anteriormente, el malware de segunda generación se caracteriza porque sus mutaciones generan variantes diferentes lo que dificulta la detección y muchos de los antimalware actuales no están preparados para su análisis. La parte fundamental del proceso de detección es la clasificación correcta del malware para poder reconocer el comportamiento y tipo de malware, mezclando diferentes técnicas para detectar sus mutaciones. Los métodos más utilizados para la detección se explican a continuación. JAVIER CERCAS SÁNCHEZ 27

52 Figura 20. Diagrama técnicas de detección de Malware Detección basada en la firma Es el procedimiento más común empleado por los antivirus comerciales. Su funcionamiento es el más sencillo. Una vez que el malware es analizado y clasificado, se extrae una cadena única de bytes que lo identifica y representa su firma. Con esta firma, se realiza un análisis del dispositivo escaneando los archivos en busca de esta cadena. NickySpy: cf9ebba d61cff24d00e2de662c591039d8ff7f0c982e2e2778d6cf49b Este método tiene varios inconvenientes entre los que destacan: se debe estar actualizando constantemente la base de firmas para que sea capaz de detectar el malware, si el malware emplea técnicas de ofuscación el antivirus no es capaz de asociarlo correctamente con la firma JAVIER CERCAS SÁNCHEZ 28

53 que tiene almacenada, alta probabilidad de falsos positivos, consumo excesivo de recursos. En algunos casos se ajusta la sensibilidad de detección haciendo que la cadena no tenga que coincidir exactamente lo que puede dar lugar a falsos positivos o falsos negativos. Verdadero negativo: el antivirus no detecta el archivo como malicioso y el archivo no está infectado. Falso positivo: el antivirus detecta erróneamente un archivo que no está infectado. Puede pasar porque la firma no es exclusiva del malware o que se haya bajado la sensibilidad de escaneo. En estadística se considera error tipo I Falso negativo: el antivirus no detecta el archivo como malicioso cuando sí lo es. Es muy común cuando el malware es nuevo y no está incluido en la base de datos de firmas. En estadística se considera error tipo II. Verdadero positivo: el antivirus detecta correctamente un archivo como malicioso. Diagnóstico Antivirus Estado de la naturaleza (Realidad) Infectado No infectado Infectado Correcto Error tipo I (Falso Positivo) No infectado Error tipo II (Falso negativo) Correcto Tabla 5. Errores en el diagnóstico A la conclusión que se llega es que actualmente esta técnica no es apropiada para detectar malware en dispositivos móviles ya que requiere un alto consumo de recursos y los resultados no son aceptables para la nueva generación de malware siendo sencillo para estos escaparse de la detección. Detección basada en especificaciones En este caso se establece un conjunto de normas por las que se decide lo que es normal en cuanto a lo que un programa puede o no hacer. Si el programa viola alguna de estas reglas, se considera malicioso. Este método deriva de la detección basada en anomalías. Hay una fase en la que se entrena el algoritmo para especificar el comportamiento normal de un sistema o aplicación para poder detectar después lo que se sale de ese patrón. La ventaja de este método es que es más capaz de detectar el malware que desarrolla las técnicas de ofuscación más comunes. JAVIER CERCAS SÁNCHEZ 29

54 El mayor inconveniente de este método de detección es que es muy difícil especificar acertadamente el comportamiento del sistema o aplicación y requiere un tiempo de aprendizaje que no siempre presenta resultados coherentes. Detección basada en el comportamiento Con este método se puede decir que hay un cambio en la forma de analizar y detectar el malware. Este acercamiento no se basa en el análisis único del código binario sino que identifica la acción que realiza el malware. De esta manera se genera una base de datos con comportamientos maliciosos estudiando una muestra de las diferentes familias de malware que tienen cómo objetivo atacar ese sistema operativo. El desarrollo de este método para detectar malware en Smartphones y Tablets es un nuevo concepto ya que intentar aplicar los antivirus que se usan en el entorno de los ordenadores resulta imposible en la mayoría de los casos por la cantidad de recursos de memoria y batería necesarios, como se ha comentado anteriormente. La metodología de este procedimiento consta de una monitorización inicial del comportamiento del malware y se compara con un conjunto de comportamientos sospechosos. Estos comportamientos se pueden definir como globales a todas las aplicaciones o más concretos. Una de las principales ventajas es que al basarse en el comportamiento y no simplemente en los vectores de infección para detectar si el dispositivo está infectado, es capaz de detectar malware polimórfico o que emplee técnicas de ofuscación. Otra gran ventaja es que con este método se pueden detectar variantes de malware que previamente no existían y que no se tienen tipificadas, ya que normalmente cuando el malware realiza una mutación se añade funcionalidad o se actualiza módulos que se han quedado anticuados. Pero esto no suele afectar al comportamiento ni objetivo final. Pero lo que hace realmente conveniente esta técnica de detección para dispositivos móviles es que la base de datos necesaria para almacenar los perfiles de comportamientos y reglas son menores que la que se necesita para almacenar todas las firmas. Sin embargo una problema que surge al igual que con la detección basada en especificaciones, es caracterizar el malware identificando qué es un comportamiento normal o malicioso que cubra un amplio espectro de aplicaciones para no aumentar en exceso la base de datos y mantener un ratio bajo de falsos positivos y negativos. Este es uno de los mayores problemas que se presenta en este proyecto y que más adelante se comenta. JAVIER CERCAS SÁNCHEZ 30

55 Otro inconveniente que dificulta llevar a cabo esta técnica es que los programas con sintaxis diferente pero con el mismo comportamiento estaría recogidos en la base de datos bajo la misma firma de comportamiento. Por lo que una firma de comportamiento puede identificar varios ejemplos de malware que utilicen los recursos y servicios del sistema de manera similar. Análisis Estático Comparación Análisis Estático y Dinámico Ventajas Desventajas Barato y Rápido No consume muchos recursos Es necesario conocer el patrón o las firmas en los patrones Análisis Dinámico Detecta ataques desconocidos Alto consumo de recursos (Descarta dispositivos con batería) Detección Heurística Tabla 6. Comparación análisis Estático y Dinámico Esta técnica de detección se basa en dos fases diferentes. En la primera fase se realiza un análisis estático en el que el programa sospechoso es escaneado para encontrar algún tipo patrón malware reconocido. Si esto es así, se determina que es malicioso. Si no, en la segunda fase se realiza un análisis dinámico en el que se usan métodos de emulación de código en una máquina virtual para detectar, en un entorno seguro, acciones sospechosas como intentar descargar otros programas o hacer conexiones que no debería. Este método es una técnica prometedora, sobre todo para detección de malware desconocido, pero requiere instalar un entorno virtualizado lo que la excluye totalmente de los dispositivos móviles. Además, mucho malware es capaz de detectar que está en una máquina virtual y cesa su actividad para no ser descubierto. Hay que destacar que al emplear este método únicamente, es muy probable que se obtengan resultados de falsos positivos y falsos negativos con lo que no sirve para este proyecto. Lo que se hace es combinar esta técnica con otros métodos para reducir las falsas alarmas. Machine Learning El aprendizaje automático es una rama de la Inteligencia Artificial que se puede definir como el estudio que se centra en el diseño y desarrollo de nuevos algoritmos computacionales que puedan aprender de los datos a través de diferentes pruebas y permitan decidir en base a esos datos. Ha cobrado mayor importancia recientemente en el ámbito de los dispositivos móviles y va ganando popularidad. La ventaja es que tiene mayor probabilidad de detectar nuevo malware. Dentro de esta rama hay muchos algoritmos y procedimientos pero se describen aquellos que se consideran más apropiados para la detección del malware: JAVIER CERCAS SÁNCHEZ 31

56 Árboles de decisión UNIVERSIDAD PONTIFICIA COMILLAS Los árboles de decisión actúan como clasificadores que recursivamente dividen el conjunto de datos que se tiene según un criterio hasta llegar a un punto en el que cada ítem pertenece a una categoría y no se puede dividir más o se considera un análisis suficiente en profundidad. Cada rama del árbol representa una posible decisión y se puede observar de manera muy gráfica cómo cada decisión guía hasta la siguiente y cada opción es excluyente. Esto hace no sea un buen método para lo que se plantea en este proyecto y aunque son muy empleados en el entorno de la informática requieren un gran conjunto de entrenamiento de calidad para que sean efectivos. Data Mining En este caso, se analiza una gran cantidad de datos para detectar patrones y analizarlos con el objetivo de detectar estos patrones en datos similares [SIDD08]. Se usan modelos de detección generados por el algoritmo de data mining que ha sido previamente entrenado con un conjunto de datos. Con este método se pueden realizar varios modelos diferentes y entrenarlos a la vez para detectar nuevos ejemplos maliciosos. Redes Neuronales Las redes neuronales son sistemas que asemejan la estructura neuronal del cerebro para procesar información. La mayor ventaja es que permite guardar información de experiencias anteriores y aprender ajustando unos pesos para mejorar los resultados. Estos pesos se actualizan mediante algoritmos de entrenamiento según el número de ejemplos obtenidos para reducir el error. Figura 21. Red Neuronal Multicapa JAVIER CERCAS SÁNCHEZ 32

57 Uno de los inconvenientes de este algoritmo es que requiere bastante capacidad de procesamiento y consumo de batería que es una de las mayores restricciones de los dispositivos móviles. Naïve Bayes Este método se basa en la clasificación que se hace a partir del teorema de Bayes [ALAZ11], en el que se estipula que la probabilidad a posteriori de una clase es proporcional a su probabilidad a priori y a la probabilidad condicional de las características, dada esta clase. En este caso se simplifica y se considera que las características son condicionalmente dependientes dada la clase y requiere entonces solamente un número lineal de parámetros estimados. ( ) ( ) ( ) ( ) Asumiendo que todas las n características independientes unas de otras dada la clase ( ), se calcula: del vector x son condicionalmente ( ) ( ) ( ) ( ) ( ) ( ) ( ) Redes Bayesianas Las redes bayesianas son una forma del modelo gráfico probabilístico que representan las relaciones entre variables. Esta representación conduce a la propagación de incertidumbre y a definir de forma más eficiente la distribución conjunta de probabilidad. Al igual que Naïves Bayes, también se basan en el teorema de Bayes pero no asume que las variables sean independientes. Son muy usadas como sistemas expertos probabilísticos en el ámbito de la medicina para diagnosticar la enfermedad del paciente dados unos síntomas. Ya que la problemática es similar y su utilización es muy eficiente y permite sacar conclusiones, será el método empleado en este proyecto. Se explica en el apartado algoritmo estadístico con más detalle. Clustering El análisis por cluster agrupa un conjunto de elementos de manera que los elementos que quedan agrupados en el mismo conjunto comparte características similares y por tanto son más similares entre sí. En sí mismo no es un algoritmo y suele usarse conjuntamente con otras JAVIER CERCAS SÁNCHEZ 33

58 técnicas descritas. Lo que sí existe son diferentes modelos y para cada modelo se pueden emplear diferentes algoritmos o acercamientos como: Cluster jerárquico: cuyo modelo se basa en la distancia a la que están conectados los elementos (Figura 21). Algoritmo de los k-medios: el conjunto se divide en k clusters que quedan asociados por un punto central y los elementos se agrupan en el cuadrante con el que la distancia a ese punto central sea menor. (Figura 22) Modelos distribuidos: en los que se modelan los datos usando distribuciones estadísticas. (Figura 23) Modelos de densidad: los elementos quedan definidos como zonas de mayor densidad que el resto del conjunto. (Figura 24) Figura 22. Cluster jerárquico Figura 23. k-medios Figura 24. Modelo distribuido Figura 25. Modelo de densidad JAVIER CERCAS SÁNCHEZ 34

59 Máquinas de vectores de soporte (SVM) Con este algoritmo de clasificación se estudia el conjunto inicial de los datos para separarlo en dos clases y se entrena para que el modelo sea capaz de predecir si una nueva muestra no clasificada anteriormente pertenece a una de esas dos clases. Intuitivamente, una SVM es un modelo que representa a los puntos de muestra en el espacio, separando las clases por un espacio lo más amplio posible. Cuando las nuevas muestras se ponen en correspondencia con dicho modelo, en función de su proximidad pueden ser clasificadas, dependiendo de la proximidad a cada una. Detección basada en la nube de Google Las aplicaciones que se suben a Google Play se escanean automáticamente con un servicio de Google llamado Bouncer. Cada aplicación se ejecuta en un simulador y se compara con el malware conocido para ver si se comporta de forma maliciosa. Con los datos de este estudio se demuestra que este servicio de Google no es eficaz contra el malware debido a la cantidad de aplicaciones infectadas en Google Play. Una de las medidas que usa el malware para no ser detectado por este servicio es no realizar su actividad hasta que pasa un tiempo de ser instalado por el usuario como el caso del malware BadNews [ROGE13]. Detección basada en permisos Cada vez que una aplicación es instalada en un dispositivo Android se le pregunta al usuario si otorga los permisos necesarios para la ejecución de dicha aplicación. Si el usuario los rechaza, la aplicación no puede ser instalada. Hay varios estudios como Kirin Security [WILL09] que intentan clasificar y detectar las aplicaciones maliciosas según el tipo de permisos que requieren para su funcionamiento. Figura 26. Sistema Kirin JAVIER CERCAS SÁNCHEZ 35

60 Motivación para realizar malware Por novedoso y entretenido: Hay mucho desarrollo de malware cuyo objetivo parece simplemente entretener a su autor. Como ejemplo iphoneos/ikee (F-Secure [FSEC09]), que cambia la imagen del fondo de escritorio de los dispositivos iphone y envía mensajes antirreligiosos desde teléfonos Android. Beneficio económico: Aunque el objetivo final de la gran mayoría del malware es obtener dinero hay varias formas de conseguirlo. Vender información del usuario: Las APIs de los diferentes sistemas operativos móviles permiten a las aplicaciones disponer de una enorme cantidad de datos del usuario. Estos incluyen la localización y posicionamiento, contactos, historial del navegador y descargas, lista de aplicaciones instaladas, IMEI, conexiones WiFi, dispositivos a su alrededor y un largo etc. Aunque no se puede saber con certeza el uso que se da a esta información, se puede decir que estos datos se venden con motivos publicitario o de marketing para realizar un perfil de comportamiento de los usuarios para conocer cómo sería recibido un producto o a qué mercado debe ir dirigido. Esta técnica ya se emplea con anterioridad con el spyware que infecta a los ordenadores. Hacerse pasar por el usuario: esto se suele hacer robando las credenciales del usuario. Aunque la forma de obtener mayores ingresos es cometiendo fraude en los bancos, es un proceso complejo que requiere especialización. Sin embargo, no es de extrañar que el usuario almacene información de compras como el número de cuenta o de la tarjeta, s de registros y otras actividades que requieren usuario y contraseña de acceso a diferentes portales que almacenan información sensible. Es por eso que el malware ANDROIDOS_SPITMO.A (TrendMicro [BIAN11]) rastrea los mensajes recibidos en el terminal del usuario en busca de contraseñas de acceso a cuentas bancarias. Servicios premium: este modelo ha sido explicado con anterioridad en la figura 7 bajo Troyano SMS, por el que el coste de la llamada Premium o SMS se le carga al usuario y el desarrollador del malware se lucra. Recompensa: consiste en obtener dinero del usuario pidiendo un rescate (Ransom) por liberar su dispositivo móvil o por no publicar información sensible que se ha obtenido de forma ilegal. JAVIER CERCAS SÁNCHEZ 36

61 Spam: por SMS o . Se usa para varios fines como para distribuir publicidad (como esta empezando a pasar a través de whatsapp) o para enviar de forma masiva enlaces a sitios de phishing haciendo que el usuario crea que está en una página oficial y en realidad está enviando sus claves a los desarrolladores del malware. Mejorar ranking de páginas web: mediante el uso de Troyanos Clickers los desarrolladores del malware pueden mejorar el posicionamiento de sus webs en los rankings de buscadores ya que estos motores de búsqueda funcionan poniendo en las posiciones altas a las páginas que reciben más visitas y esto les permite beneficiarse de la publicidad que alojan en sus páginas. Permanecer en el anonimato: mediante los ataques distribuidos mediante las Botnets, pueden realizar todas estas acciones sin ser descubiertos Antivirus Cómo se ha estudiado, el mayor problema de los antivirus comerciales es que su comportamiento actúa principalmente en la detección basada en la firma que el usuario tiene que estar constantemente actualizando. Este modelo es bastante anticuado ya que es cierto que anteriormente el malware no mutaba pero el malware de segunda generación emplea las técnicas de iteración y ocultación descritas. De hecho, el vicepresidente de Symantec declaraba que el software antivirus está muerto [GIBB14] ya que actualmente sólo es capaz de detectar el 45% de los ataques. Esto se puede explicar si se compara el proceso de desarrollo del malware con el de detección de un antivirus comercial donde se pueden encontrar los motivos suficientes para afirmar que un antivirus comercial no es suficiente para estar protegido ante las amenazas. El proceso de desarrollo del malware dura un par de días como máximo. Inicialmente se codifica el malware y se prepara para que sus mutaciones no sean detectadas por los antivirus. Seguidamente se realizan las pruebas contra las últimas bases de datos de firmas de los antivirus, es liberado y una vez que los antivirus los detectan, el malware muere. JAVIER CERCAS SÁNCHEZ 37

62 Desarrollo Polimorfirmo Ofuscación Reingeniería Pruebas Contra Antivirus Contra herramientas libres Obsolescencia Distribución Descubrimiento y Análisis Figura 27. Ciclo de vida del malware Por el contrario, el proceso de detección de los antivirus comerciales pueden durar desde un par de días hasta semanas. Colección de muestras Amigos Falsos negativos Desarrollo de la Firma Análisis del malware Desarrollo de la firma Pruebas Distribución de Firma Figura 28. Proceso de detección de un antivirus Una comparación simple de los dos procesos revela que los antivirus siempre quedan por detrás del malware. Para cuando la firma ha sido actualizada y pasado por la fase de pruebas, las muestras recogidas se han quedado, de una manera u otra, obsoletas a no ser que el malware sea de primera generación y su núcleo no haya mutado. Es cierto que hay una mínima parte del malware que así actúa y para estos, el antivirus si valdría. Un problema añadido es que hay que estar continuamente actualizando la base de datos de firmas que nutre al antivirus y esto en un dispositivo móvil no es una buena práctica ya que consume datos y batería. JAVIER CERCAS SÁNCHEZ 38

63 2.2. Estado de la cuestión Para poder realizar este proyecto, una parte importante es el estudio de posibles trabajos existentes en el ámbito de la detección de malware. Tras una búsqueda en profundidad, en la que se ha basado también parte del apartado anterior, se ha podido encontrar bastante información relevante sobre la detección de malware. Sobre todo se han encontrado numerosos estudios y teorías siendo la aplicación práctica más escasa. La mayoría de estudios se centra en un número reducido de ejemplos, cosa que también se va a realizar en este proyecto debido a la dificultad de encontrar un sistema adecuado en el que esté caracterizados el malware por sus efectos. En la gran parte de los estudios se deja de lado la detección por firma, ya que como se ha demostrado anteriormente no es un modelo eficaz contra el malware actual, y se empiezan a plantear modelos basados en el comportamiento del malware como [BOSE08] basándose en máquinas de vectores de soporte (SVM) para dispositivos con el sistema operativo Symbian y más adelante [SAHS12] realiza un estudio también basado en SVM para dispositivos Android. En este estudio [SHAB11], se plantea un sistema de detección de anomalías monitorizando constantemente el Smartphone en busca de eventos y aplicando aprendizaje automático para clasificar los datos como benignos o malignos basados en el malware conocido y su comportamiento. Desarrollos como TaintDroid [ENCK10] monitorizan en tiempo real el dispositivo y alertan al usuario de las acciones que han llevado a cabo las aplicaciones en ejecución. Otro modelos como [PORT10] emplean una máquina virtual para analizar el malware de forma remota en un servidor en la nube. En [APVR12] se emplea una técnica de detección heurística basada en el análisis estático para detectar malware en Android. Otro recurso empleado para detectar malware que se emplea en DroidMat [WUDO12] es analizar las llamadas a las APIs para analizar los permisos solicitados. Esto lo realiza con métodos de detección basados en clustering con algoritmos k-medios. Este proyecto comparte con algunos otros aquí mencionados alguna técnica empleada para su realización como máquinas virtuales para analizar el comportamiento del malware y algoritmos de machine learning pero la principal novedad es que el estudio se basa en los efectos producidos por el malware en el dispositivo móvil que son visibles y reconocibles por el usuario y aplica un algoritmo de redes bayesianas para obtener las probabilidades de infección. JAVIER CERCAS SÁNCHEZ 39

64 JAVIER CERCAS SÁNCHEZ 40

65 3. Estudio y Modelo propuesto En este capítulo se expone el estudio realizado y el modelo propuesto teniendo en cuenta toda la investigación expuesta en el capítulo anterior. En la primera parte se explica cómo se han seleccionado y analizado las familias de malware para llevar a cabo el estudio de su comportamiento. En la segunda parte se presenta el algoritmo desarrollado empleando la técnica de Redes Bayesianas Estudio En el capítulo anterior se presenta mucha información necesaria para entender el por qué de la necesidad de este estudio y comprender términos empleados. Con este estudios se trata de dar respuesta a cómo podemos saber si tenemos un virus Efectos Para seleccionar malware apropiado se tienen en cuenta los principales efectos que causa el malware y que son visibles por el usuario del dispositivo móvil. No todos los síntomas pueden ser visibles por el usuario ni todos los síntomas reconocibles pueden servir para caracterizar el malware. Es por eso que se recogen y se describen a continuación los 17 síntomas que se han empleado en el estudio: JAVIER CERCAS SÁNCHEZ 41

66 Figura 29. Diagrama Síntomas/Efectos Datos: bastantes muestras de malware hacen uso de la conexión de datos para transmitir la información recopilada del usuario, propagarse o, como los Troyanos Clickers, aumentar el posicionamiento web e ingresos en publicidad de los desarrolladores de malware. No todo el malware realiza acciones a través de internet porque hay algunos que se comunican con su desarrollador mediante comandos enviados en SMS, pero sí la gran mayoría del malware. Afortunadamente para el usuario, es bastante sencillo comprobar si tenemos unos picos de datos en nuestra conexión a internet sin tener que esperar a ver la factura. La mayoría de los JAVIER CERCAS SÁNCHEZ 42

67 dispositivos Android disponen de esta información aproximada en la pantalla de ajustes/uso de datos. En la figura 30 a la izq se puede apreciar un consumo normal de los datos mientras que en a la derecha se observan picos anómalos. Figura 30. Consumo de datos normal Figura 31. Pico de datos. Facturación: este efecto puede ser quizás el más tardío en manifestarse y no tiene marcha atrás. Cómo se ha explicado anteriormente, un método de obtener ingresos muy usado por los Troyanos SMS es la subscripción a servicios Premium de tarificación especial sin el conocimieno del usuario, lo que provoca un incremento considerable en la factura.una ventaja que aporta la tecnología actual es que la mayoría de los proveedores permiten consultar la factura casi en tiempo real a través de su página web, con lo que si hay indicios de infección el usuario puede consultarlo y no esperar a fin de mes para atajar el problema. JAVIER CERCAS SÁNCHEZ 43

68 Figura 32. Permisos Flappy Bird troyanizado Configuración de red: este síntoma se puede detectar porque en unos casos el malware modifica la configuración de red establecida por el usuario deshabilitan la conexión WiFi y utilizando en su lugar la conexión de datos contratada. En otros casos cambia el punto de acceso de la conexión sin el consentimiento del usuario. Llamadas arbitrarias: aunque poco común, se ha detectado que el malware tiene acceso a lista de contactos y realiza llamadas arbitrarias a los mismo. Esto puede ser un poco confuso a la hora de asignar un peso a este síntoma ya que en alguna ocasión el usuario deja el Smartphone sin bloquear y al guardarlo pulsa el botón de llamada. Para eso existe una variable en el algoritmo para ajustar mejor los pesos según el nivel de seguridad del usuario a la hora de indicar este síntoma. SMS recibidos: en algunos casos el usuario puede detectar que le llegan mensajes de un contacto que está en su lista pero que no ha sido enviado por él. SMS enviados: a la par que el efecto anterior, una característica de muchas familias de malware es el envío de mensajes a los contactos de la lista sin el consentimiento del usuario. Puede ser desde una simple broma o spam, hasta propagación del malware y comandos de acción. Para que el usuario sea capaz de detectar este síntoma, algún contacto ha tenido que notificárselo previamente. Aumento de almacenamiento: debido a que mucho malware realiza la descarga de juegos y aplicaciones no deseadas o incluso descarga archivos propios para su funcionamiento, el almacenamiento disponible en el teléfono disminuye. Esto lo puede detectar fácilmente el usuario bien porque cuando va a descargar un archivo o aplicación el propio sistema le advierte de que tiene poco espacio, o bien accediendo a la configuración en ajustes/almacenamiento. Aumento de la CPU/RAM: por el uso que hace el malware sobre el dispositivo, es frecuente que necesite proceso de la CPU y memoria RAM para su funcionamiento. Este síntoma es más complejo de diagnosticar ya que puede ser provocado por un componente no malicio. A la vez, caracterizar el malware que realiza dicho aumento de CPU se complica. A veces el teléfono JAVIER CERCAS SÁNCHEZ 44

69 sufre un calentamiento excesivo propio de cuando está conectado a la corriente y otras veces se puede notar porque los procesos se ralentizan. El usuario lo puede notar por el enlentecimiento generalizado del sistema, a la hora de intentar instalar una aplicación o al ejecutar varias aplicaciones. Esto también provoca que se ralenticen las actividades rutinarias y que el tiempo de carga sea mayor. Para las pruebas que es han realizado, ha sido muy importante poder monitorizar el dispositivo para comprobar el antes y después de la infección de cada malware. Página web predeterminada: en este estudio se ha detectado que varias familias de malware cambian la página web predeterminada en el navegador al igual que sucedía con los spywares y adwares diseñados para ordenadores. En ocasiones sólo muestran publicidad y en otras solicitan al usuario que introduzcan datos personales que luego los desarrolladores pueden usar para suplantar la identidad o vender esa información a empresas de publicidad y estudios de mercado. Fondo de pantalla: al igual que el malware que cambia la página web de inicio, está el que cambia el fondo de escritorio o wallpaper del dispositivo. Normalmente son inofensivos y simplemente molestos, siempre y cuando sólo realicen esta acción. Redirección del navegador: en este caso no se altera la página de inicio o además de hacerlo, constantemente aparecen pop-ups que redirigen al usuario a páginas de publicidad o que piden nuevamente información personal del usuario. Iconos no deseados: en ocasiones aparecen iconos de aplicaciones que no han sido descargados por el usuario. Algunas aplicaciones maliciosas compran o descargan aplicaciones de Google Play u otras stores. Este efecto suele llevar acarreado el hecho de que se disminuya el espacio libre de almacenamiento Descarga de aplicaciones/juegos: mucho malware se oculta bajo aplicaciones y juegos para evitar ser detectado y desinfectado. Este síntoma puede llevar acarreado el hecho de que se disminuya el espacio libre de almacenamiento Distorsión de la voz o llamadas caídas: se ha detectado en algún caso que al realizar llamadas, la voz se distorsiona, se producen interrupciones o se finaliza la llamada inesperadamente. Aunque no es mayoritario, podría indicar la infección del dispositivo y puede ser determinante para caracterizar correctamente una familia de malware. Reinicio: otro de los síntomas más claros para caracterizar malware es el reinicio inesperado del dispositivo de forma reiterada. JAVIER CERCAS SÁNCHEZ 45

70 Capturas de pantalla: existe malware que realiza capturas de pantalla o grabación de lo que se hace en el dispositivo para enviarlo al desarrollador de malware. Está estrechamente relacionado con la disminución del espacio libre de almacenamiento y el aumento de datos. Es bastante visible para el usuario ya que cuando se realiza una captura de pantalla, queda reflejado en el momento en el que se produce aunque después se elimine de la galería de imágenes. Normalmente hay poco malware que produzca únicamente uno de estos síntomas y la aparición de la mayoría de estos síntomas no garantiza la existencia de malware pero sí son indicadores que se pueden usar para ayudar a diagnosticarlos, es por eso que se emplea una red bayesiana ya que permite relacionar síntomas con malware de manera más precisa y no determinista Análisis malware seleccionado Los ataques pueden tener síntomas similares y es muy difícil determinar qué tipo de ataque se está sufriendo con poca información, siendo fundamental para el tratamiento del malware conocer exactamente qué tipo y versión de elemento malicioso es el que infecta. Es por eso que se va exponer el análisis llevado a cabo pero antes es necesario entender el funcionamiento de las aplicaciones en el sistema operativo Android Arquitectura Android La arquitectura Android se basa en el sistema operativo Linux y se divide en cinco capas como se muestra en la figura 32: Aplicaciones: La capa superior de la arquitectura es donde la aplicación final se compila está lista para su instalación y ejecución. El formato de este fichero es el Paquete Android (.apk) compuesto por: o Manifest.xml: donde se declaran todos los componentes, permisos y requerimientos necesarios para su ejecución. o Classes.dex: es donde se encuentra el bytecode sobre el que se ejecuta la ingeniería inversa para realizar el análisis estático. o Resources: contiene la información de los recursos usados como imágenes y archivos de audio. Framework para aplicaciones: Esta capa está diseñada para interactuar con las APIs de los desarrolladores. Para analizar el malware es necesario entender para qué sirven estos componentes de Android: o Activities: representa la pantalla con la interfaz de usuario. JAVIER CERCAS SÁNCHEZ 46

71 o Services: La característica principal es que se ejecuta en segundo plano por lo que es muy usado por las aplicaciones maliciosas. o Content providers: componente diseñado con el propósito de compartir datos entre aplicaciones. o Broadcast receivers: este componente también se usa mucho por el malware ya que es el encargado de recoger los eventos que ocurren en el sistema, por ejemplo que la pantalla se bloquee o que se reciba una llamada. Librerías: son librerías de código abierto desarrolladas en C/C++ para permitir la interacción entre las capas del Kernel y el Framework. El componente que destaca para el análisis del malware es la librería SQLite ya que las aplicaciones suelen usar estas bases de datos para almacenar información persistente incluyendo datos de carácter sensible para el usuario. Si no están bien protegidas, pueden ser accesibles por el malware como ya pasó con Skype en octubre del 2011 [CASE12]. Android Runtime: La máquina virtual de Android (Dalvik VM) no es la Java VM aunque la mayoría de las aplicaciones estén desarrolladas en java. Es por eso que los.class que se generan al compilar la aplicación se convierten en.dex. Esto es muy relevante para este trabajo ya que un paso que hay que realizar para analizar el malware de forma estática es hacer la reingeniería inversa de este código. Linux Kernel: es el núcleo principal y sirve como unión entre el hardware del dispositivo y el resto de los componentes software del sistema. Figura 33. Arquitectura Android JAVIER CERCAS SÁNCHEZ 47

72 Metodología empleada para el análisis Como se ha visto en apartados anteriores, es posible realizar dos tipos de metodologías de análisis de malware: estático y dinámico. En este estudio se emplean ambos. El análisis dinámico estudia el comportamiento de un malware dado en un entorno controlado. Se pueden observar así los cambios y modificaciones que realiza en el sistema como los picos en el uso de datos, los mensajes entrantes y salientes, y las conexiones que realiza entre otros efectos. En el análisis estático se extrae el código de la aplicación.apk para acceder a los ficheros AndroidManifest.xml y classes.dex. Para interpretar el código del manifest que viene en código binario y pasarlo a texto plano se ha empleado la herramienta AXMLPrinter2.jar [SKIB14], para convertir el formato.dex a una aplicación java se ha usado dex2jar [GOOG14] y para descompilar el archivo. jar y obtener código legible en java se ha usado JD-GUI [JDGU14] Análisis DroidKungFuUpdated KongFu-O (Sophos) SHA-1: 5e2fb0bef9048f56e461c746b6a644762f0b0b54 MD5: 5e26403a5f7ec59479fb1009d875bcdb Descubierto: Pertenece a la familia de malware DroidKungFu. Este malware se expande principalmente por stores de China y realiza conexiones a páginas de publicidad y de compras en servidores de China. Figura 34. Código de descompresión y árbol de contenido JAVIER CERCAS SÁNCHEZ 48

73 Figura 35. Android Manifest DroidKungFu Se puede apreciar en el manifest que el nombre del paquete es com.ps.keepaccount y usa los siguientes persmisos: android.permission.internet (Acceso completo a internet, lo que permite crear sockets para establecer conexiones) android.permission.access_network_state android.permission.read_phone_state (Permite a accede a la información del dispositivo desde obtener el número de teléfono, IMEI, llamadas entrantes.) android.permission.write_external_storage android.permission.get_tasks (Permite a la aplicación obtener información de last areas que están o han estado en ejecución, pudiendo recabar inormación privada de otras aplicaciones) En este caso se hace uso del componente Activity y no de Service, por lo que no se ejecuta en segundo plano sino que tiene interfaz gráfica e interactúa con el usuario. Analizando el código de la aplicación lo primero que se observa es que además de las clases normales que se encuentran en el paquete keepaccount y que podrían aparecer en cualquier aplicación, aparecen numerosas clases en otros paquetes con títulos nada descriptivos. Esto se usa para complicar el seguimiento y detección del código y hacer llamadas recursivas a instancias con métodos repartidos por todas las clases (figura 35). JAVIER CERCAS SÁNCHEZ 49

74 Con más detenimiento se consigue acceder a un método getlocation() en el que se observa cómo se obtienen los permisos necesarios para acceder a la última localización del dispositivo por GPS y red. Después, establece una conexión http para enviar los datos obtenidos del dispositivo móvil y recibir comandos para realizar acciones. Figura 36. Estructura interna malware DroidKungFu JAVIER CERCAS SÁNCHEZ 50

75 Figura 37. Obtención de permisos para acceder a la localización Figura 38. Llamada a métodos para obtener localización Figura 39. Establecimiento de las conexiones JAVIER CERCAS SÁNCHEZ 51

76 A continuación, se muestran algunos de los atributos del teléfono que se envía al desarrollador de malware. Entre ellos destaca udid que más adelante se comprueba que es el IMEI del dispositivo. Figura 40. Información obtenida En este caso se ha empleado código nativo (máquina) que no ha sido capaz de convertir correctamente en la decompilación y que complica aún más la detección pero se ha conseguido detectar desde donde se hace la llamada al método para obtener el IMEI. Figura 41. Acceso al IMEI DroidDream SHA-1: dafb28e620871d70eee3d4bdb94ca7d37731bd48 MD5: aa1f2dcdecba29a aee Descubierto: Se puede obtener del manifest que el nombre del paquete es com.android.providers.downloadsmanager y usa los siguientes permisos: JAVIER CERCAS SÁNCHEZ 52

77 android.permission.receive_boot_completed (automatically start at boot) android.permission.read_phone_state android.permission.access_network_state android.permission.access_download_manager (gestiona las descargas http de larga duración) android.permission.access_download_manager_advanced android.permission.internet En este caso en el manifest se hace uso del componente Service con lo que se está ejecutando en segundo plano parte del paquete. Analizando el contenido del código se puede observar que se usa una clave para cifrar las conexiones que se realizan con el servidor desde donde se controla el malware. La función de descifrado se encuentra en otra clase y realiza una operación XOR como la explicada en la teoría de ofuscación. De este modo se obtiene la dirección C&C desde donde se controla el malware y se envía inicialmente la información del dispositivo (entre la que destacan IMEI, IMSI, modelo, versión SDK). Figura 42. Clave de cifrado Figura 43. Función de cifrado/descifrado Posteriormente se instala otra aplicación maliciosa de forma silenciosa sin que el usuario tenga que aprobar ningún permiso ni descarga. Esta aplicación se activa cada vez que se inicia el JAVIER CERCAS SÁNCHEZ 53

78 dispositivo gracias al permiso RECEIVE_BOOT_COMPLETED. No está continuamente enviando información sino que mantiene un registro en la base de datos del componente SQLite y comprueba si han pasado 5 días desde la última sincronización para volver a conectarse. Entre una de sus características encontradas en el código es la capacidad para acceder a la lista de contactos, SMS y crear/eliminar contactos y mensajes. Una curiosidad que da nombre a este malware es que se ejecuta entre las 23:00 y las 8:00 cuando el droide está durmiendo, por eso antes de enviar la información comprueba la hora. Figura 44. Comprobación del rango horario Toda está funcionalidad convierte al dispositivo en un zombie que acepta cualquier paquete de instalación y tiene permisos de ejecución de código. Geinimi SHA-1: 179e1c69ceaf2a98fdca1817a3f3f1fa28236b13 MD5: e0106a0f1e687834ad3c91e599ace1be Descubierto: Este malware es reempaquetado en una aplicación original, MonkeyJump2. Se puede obtener del manifestó que el nombre del paquete es com.dseffects.monkeyjump2 y usa los siguientes permisos: android.permission.internet android.permission.access_coarse_location android.permission.read_phone_state android.permission.vibrate com.android.launcher.permission.install_shortcut android.permission.access_fine_location android.permission.call_phone android.permission.mount_unmount_filesystems android.permission.read_contacts android.permission.read_sms android.permission.send_sms android.permission.set_wallpaper JAVIER CERCAS SÁNCHEZ 54

79 android.permission.write_contacts android.permission.write_external_storage com.android.browser.permission.read_history_bookmarks com.android.browser.permission.write_history_bookmarks" android.permission.access_gps android.permission.access_location android.permission.restart_packages android.permission.receive_sms android.permission.write_sms Si se compara con los permisos que requiere la aplicación original se comprueba que pide 17 permisos más. Figura 45. Permisos MonkeyJump2 En este caso en el manifest se hace uso de los componentes Active y Service con lo que se va a ejecutar la aplicación original y en segundo plano el código malicioso. Particularmente, también se aprecia que se hace uso de los Receivers por lo que el malware podrá ser iniciado cuando se reciba un SMS (android.provider.telephony.sms_received) o se encienda el dispositivo (android.intent.action.boot_completed). Una vez iniciado el malware comprueba que está funcionando correctamente (figura 46) y se conecta con el servidor de control C&C cada 5 minutos para enviar información y recibir comandos. Las comunicaciones se hacen de forma cifrada con algoritmo DES pero con una clave sencilla Figura 46. Función de cifrado Figura 47. Geinimi comprueba si está activo JAVIER CERCAS SÁNCHEZ 55

80 Los comandos los recibe desde el servidor y entre las cosas que se han detectado que realiza destacan: Leer y grabar SMS para luego enviarlos al servidor Enviar y eliminar SMS definidos. Recoger información de los contactos y enviarla al servidor. Llamar Descargar ficheros sin consentimiento Abrir el navegador con una url específica. Figura 48. Recopilación de SMS Dogowar SHA-1: 0274a66cd43a39151c39b6c940cf99b459344e3a MD5: 16521EEE3E74A4186FFE731DFAA77A83 Descubierto: Este malware es reempaquetado en una aplicación original, DogWars. Se puede obtener del manifestó que el nombre del paquete es kagegames.apps.dwbeta y usa los siguientes permisos: android.permission.vibrate android.permission.receive_boot_completed android.permission.internet android.permission.send_sms android.permission.write_sms android.permission.access_coarse_location (Localización basada en red) android.permission.read_phone_state android.permission.read_contacts La finalidad de este malware es ir en contra del maltrato animal y para ello hace uso de la lista de contactos del usuario que instala la aplicación infectada y envía SMS a sus contactos con un mensaje que se traduce por Disfruto dañando pequeños animales, simplemente pensé que JAVIER CERCAS SÁNCHEZ 56

81 deberías saberlo (figura). Además hace un intento de suscribirse a un servicio de mensajería Figura 49. Intento suscripción Figura 50. Código del mensaje de Dogowars Para ser más claros aún y demostrar el poco interés del desarrollador por no ser detectado, el icono que se instala también es ligeramente diferente. Figura 51. Logo original (izquierda) y logo malware (derecha) BoxerSMS SHA-1: b531bde9dbc233028b24f28ab0f062e01cba3541 MD5: 77502E0B6510C954DE939DF0365A789A Descubierto: Este malware es reempaquetado en una aplicación original. Se puede obtener del manifestó que el nombre del paquete es com.software.application y usa los siguientes permisos: android.permission.send_sms android.permission.internet android.permission.wake_lock (impide que se apague la pantalla del dispositivo) android.permission.receive_sms android.permission.read_phone_state android.permission.read_sms android.permission.write_external_storage com.google.android.c2dm.permission.receive (permite enviar datos desde los servidores) JAVIER CERCAS SÁNCHEZ 57

82 En este caso la forma que tiene el malware de entrar en acción es mediante los Receivers por lo que el malware podrá ser iniciado cuando se reciba un SMS (intent android.intent.action.data_sms_received) o se encienda el dispositivo (android.intent.action.boot_completed). Analizando el código se puede comprobar cómo en la clase SmsReceiver se controlan los SMS que llegan y si son de servicios Premium se contabilizan y se borran. Tiene almacenados los números Premium a los que debe suscribirse dependiendo el país donde se encuentre el dispositivo. Figura 52. SmsReceiver de BoxerSMS Figura 53. Código de BoxerSMS suscripción según país Tigerbot SHA-1: e2dc75b52ccd ad20a9b231b436 MD5: 9d0b1b6bbc1568a8a0c7f186b Descubierto: Este malware es reempaquetado en una aplicación original. Se puede obtener del manifestó que el nombre del paquete es com.google.android.lifestyle y usa los siguientes permisos: android.permission.disable_keyguard (desactiva la clave de bloqueo) JAVIER CERCAS SÁNCHEZ 58

83 UNIVERSIDAD PONTIFICIA COMILLAS android.permission.kill_background_processes android.permission.access_mock_location (ubicación simulada. El malware lo emplea para sobrescribir la localización y sustituir los datos proporcionados por el GPS) android.permission.read_logs (Permite acceder a los logs que se guardan en el dispositivo para averiguar información sensible o el uso que se le da.) android.permission.process_outgoing_calls (Control de las llamadas salientes) android.permission.device_power (Enciende o apaga el dispositivo) android.permission.update_device_stats (Modifica las estadísticas de la batería) android.permission.bluetooth android.permission.internet android.permission.write_contacts android.permission.send_sms android.permission.write_apn_settings (modificar la configuración de los puntos de acceso a la red) android.permission.write_sms android.permission.access_network_state android.permission.write_external_storage android.permission.receive_sms android.permission.access_fine_location ( Localización GPS) android.permission.receive_boot_completed android.permission.read_contacts android.permission.call_phone (Llamar a número de teléfonos) android.permission.write_settings (modificar la configuración global) android.permission.read_phone_state android.permission.access_coarse_location android.permission.read_sms android.permission.access_location_extra_commands android.permission.camera android.permission.wake_lock android.permission.record_audio android.permission.modify_phone_state android.permission.modify_audio_settings android.permission.restart_packages (Elimina procesos en segundo plano) JAVIER CERCAS SÁNCHEZ 59

84 No crea ningún icono ni se basa en el componente Active sino que se ejecuta como servicio. Se controla por el C&C mediante mensajes SMS y nada más activarse envía por http el IMEI de la víctima y la hora al servidor. El evento de llegada de el SMS (android.provider.telephony.sms_received) es gestionado por el malware y si es un comando, intercepta el SMS. Se han detectado los siguientes comandos: DEBUG comprueba las aplicaciones en ejecución y envía estos datos a un servidor CHANGE_IAP cambia el punto de acceso a la red del dispositivo PROCESS_LIST_ADD añade procesos a una lista para ser eliminados PROCESS_LIST_DELETE elimina los procesos que están en la lista ACTIVE activa el malware DEACTIVE- desactiva el malware Figura 54. Código Tigerbot para reiniciar el dispositivo Figura 55. Ejemplo de código Tigerbot JAVIER CERCAS SÁNCHEZ 60

85 FakeVoice SHA-1: 7ddd76707c7cac71f dde27d1c134c91 MD5: 5e50470e09f83036a91d0a5e528cb01a Descubierto: Figura 56. Logo FakeVoice Es una aplicación en hebreo que cambia tu voz durante la llamada pero lo que realmente hace es llamadas a números Premium. Se puede obtener del manifestó que el nombre del paquete es com.voicechange.voicechangeil y usa los siguientes permisos: android.permission.read_contacts android.permission.call_phone En realidad lo que realiza son llamadas al número Premium que aparece marcado en la imagen del código: Figura 57. Llamada a teléfono Premium Kituri SHA-1: be293758c432abd60beeb5c274e6e339e99ba4c9 MD5: de0c3a04a0fec38e29a3fe4c0c903cf0 Descubierto: Se puede obtener del manifestó que el nombre del paquete es com.kituri.activity y usa los siguientes permisos: android.permission.access_network_state android.permission.access_wifi_state android.permission.change_network_state android.permission.change_wifi_state android.permission.internet android.permission.read_contacts android.permission.read_phone_state android.permission.receive_boot_completed android.permission.receive_sms android.permission.send_sms android.permission.wake_lock android.permission.write_apn_settings JAVIER CERCAS SÁNCHEZ 61

86 android.permission.write_contacts android.permission.write_external_storage En este caso la forma que tiene el malware de entrar en acción es mediante los Receivers por lo que el malware podrá ser iniciado cuando se reciba un SMS (android.provider.telephony.sms_received) o se encienda el dispositivo (android.intent.action.boot_completed). El objetivo principal de este malware es suscribirse a un número Premium además de obtener información privada del usuario. Lo primero que hace es deshabilitar la conexión WiFi y conectarse con un servidor para descargarse un archivo de configuración. En ese archivo va un número al que el malware envía un SMS para que el atacante tenga identificado el dispositivo infectado y queda a la espera de que obtenga un SMS de confirmando su suscripción a MM Mobile Market (tienda de apps china) y descargando aplicaciones. Todo este proceso lo hace sin el consentimiento del usuario y bloqueando todos los SMS de ese número para que no quede constancia Antivirus que los detectan A continuación se muestra un cuadro con la información de detección por los antivirus de las muestras aquí analizadas. En el anexo B se presenta un cuadro con todas las muestras de [ZHOU14] y el análisis. Destacan entre los antivirus analizados: AVG, ESET-NOD32, Kaspersky, Avast, McAfree, Microsoft, Panda, Sophos, Symantec. Los datos del estudio para estas muestras presentan a Panda y Symantec (Norton) a la cola de la detección, mientras que Sophos se posiciona en cabeza en el análisis de malware en Android. Familia de malware Número de antivirus que lo han detectado DroidKungFuUpdated 29/54 DroidDream 39/51 Geinimi 43/54 DogoWar 10/43 BoxerSMS 38/52 Tigerbot (spyera) 37/52 FakeVoice 34/52 Kituri Sin datos Tabla 7. Malware detectado por antivirus JAVIER CERCAS SÁNCHEZ 62

87 Permisos más solicitados por el malware y porcentaje de aplicaciones maliciosas que los solicita de un total de 1459 ejemplos. Figura 58. Permisos malware 3.2. Algoritmo estadístico Para este proyecto se ha planteado un sistema experto estocástico probabilístico empleando la técnica de Redes Bayesianas, ya que es el método que más se ajusta a la casuística del problema. El enfoque que se le ha dado ha sido desarrollar una red bayesiana con los síntomas que puede detectar el usuario provocados por el malware seleccionado anteriormente. Cómo se ha explicado, la mayoría del malware provoca estos efectos visibles para el usuario por lo que el modelo está pensado para futuros desarrollos. Aunque puede haber algunos elementos deterministas, el modelo que se plantea es estocástico ya que la relación entre infección y síntoma se conoce sólo con un cierto grado de certeza puesto que la existencia de determinados síntomas no siempre implica la presencia de infección. Para poder utilizar la fórmula deseada en este proyecto, es necesario entender el concepto de función de probabilidad conjunta y probabilidad condicional. Se define un conjunto JAVIER CERCAS SÁNCHEZ 63

88 {X1,.,Xn} de variables aleatorias y {x1,.,xn} el conjunto de sus posibles realizaciones. La función de probabilidad conjunta de las variables de X es p(x1,,xn): ( ) ( ) Y sean X e Y dos conjuntos disjuntos de variables tales que p(y)>0, la probabilidad condicional de X dado Y=y viene dada por ( ) ( ) ( ) ( ) Por tanto, utilizando estas dos fórmulas anteriores se obtiene el Teorema de Bayes: ( ) ( ) ( ) ( ) ( ) ( ) ( ) Ahora aplicándolo al proyecto actual se tiene que suponer que un usuario de un dispositivo móvil Android puede estar infectado con m-1 malware posible {M 1,,M m-1 } o puede estar libre de malware. Simplificando M es una variable aleatoria que puede tomar uno de m posibles valores (m1, m m ) donde M=m i significa que el usuario tiene el malware M i y M=m m significa que el usuario está libre de malware. Hay que suponer también que se tienen n síntomas/efectos {S 1,,S n }. Dado que el usuario tiene un conjunto de síntomas {s 1,,s k }, se quiere calcular la probabilidad de que el usuario tenga el malware M i, es decir M=m i. Entonces si se aplica el teorema de Bayes anteriormente descrito da como resultado: ( ) ( ) ( ) ( ) ( ) ( ) es la probabilidad a priori de que el usuario esté infectado por el malware M=m i ( ) es la probabilidad a posteriori (o condicional) del malware M=m i después de conocer los efectos S 1 = s 1,,S k = s k ( ) es la verosimilitud de que un usuario infectado con M=m i tenga los efectos S 1 = s 1,,S k = s k JAVIER CERCAS SÁNCHEZ 64

89 Además se tiene en cuenta una variable para reducir la incertidumbre y hacer una estimación con mejor precisión. Esta variable es la certeza con la que el usuario determina que ha detectado ese síntoma tomando valores de 1 a 5. Para este modelo se ha empleado el análisis del malware del capítulo anterior y los síntomas descritos en el estudio. S Síntoma s 1 Datos s 2 Servicios Premium s 3 Configuración de red modificada s 4 Llamadas arbitrarias s 5 SMS falsos s 6 SMS enviados a contactos s 7 Aumento almacenamiento s 8 Aumento CPU/RAM s 9 Página predeterminada navegador s 10 Fondo de pantalla s 11 Redirección navegador s 12 Iconos no descargados s 13 Descarga juegos s 14 Distorsión de voz s 15 Reinicio s 16 Capturas de pantalla Tabla 9. Nomenclatura-Síntomas M Familia de malware m 1 DroidKungFuUpdated m 2 DroidDream m 3 Geinimi m 4 DogoWar m 5 BoxerSMS m 6 Tigerbot (Spyera) m 7 FakeVoice m 8 Kituri Tabla 8. Malware En la figura siguiente se muestra una representación gráfica de tres síntomas y del malware, suponiendo que la infección sea mutuamente exclusiva. m 1 m 2 m 3 s 3 m 8 s 1 m 8 m 4 s 2 m 5 m 6 Figura 59. Ejemplo de representación gráfica de malware y síntomas JAVIER CERCAS SÁNCHEZ 65

90 Inicialmente, dado que se desconoce el número de la población, el modelo está diseñado para que la probabilidad a priori de que se produzca infección por M=m i se calcule en función del tamaño de M. Posteriormente se recoge en una variable la frecuencia con la que M=m i es diagnosticado para incluirlo en el análisis. JAVIER CERCAS SÁNCHEZ 66

91 4. Herramienta y tecnologías empleadas Como se ha comentado al principio de esta memoria, la herramienta desarrollada es una plataforma web adaptativa que permite al usuario conectarse tanto desde un ordenador como desde un dispositivo móvil. Permite seleccionar los síntomas detectados por el usuario y se basa en el sistema experto bayesiano para calcular las probabilidades de infección de cada familia de malware. Figura 60. AndroidDoctor. Herramienta web Figura 61. Logo AndroidDoctor 4.1. Base de datos Se ha diseñado una base de datos fácilmente escalable ya que el objetivo es sentar las bases para que posteriormente se alimente el sistema experto y se puedan añadir nuevas funcionalidades. El modelo se ha realizado en MS Excel para realizar los cálculos estadísticos de manera sencilla y posteriormente exportar los datos a un fichero en formato csv que, al ejecutar una query (figura 59), carga la información en la base de datos MySQL. JAVIER CERCAS SÁNCHEZ 67

92 Figura 62. Query para alimentar la base de datos Figura 63. Esquema de la base de datos 4.2. Web El diseño planteado se basa siempre en un diseño escalable que permita a la plataforma web seguir siendo completamente funcional a medida que se añaden mejoras. Otra máxima en el desarrollo es que sea una web adaptativa. Es una técnica de programación y diseño que permite adaptar una web para que el contenido se ajuste dinámicamente dependiendo del ancho de la pantalla del dispositivo desde el que se visualiza. La página web se compone de cuatro vistas: Página principal: es la página de bienvenida del sitio web (Figura 59) donde se recogen unas estadísticas estáticas sobre ataques de malware y se muestra información sobre los virus más activos en tiempo real accediendo a los ficheros de McAfee. JAVIER CERCAS SÁNCHEZ 68

93 Figura 64. Información obtenida de scripts de McAfee Análisis: esta vista muestra los síntomas que puede marcar el usuario como detectados en su dispositivo para realizar el análisis. Se requiere que además de marcar los síntomas, se indique la seguridad con la que el usuario ha detectado esos síntomas. Figura 65. Página de análisis JAVIER CERCAS SÁNCHEZ 69

94 Resultado: muestra los resultados obtenidos del análisis según los síntomas detectados y la caracterización realizada del malware. Se muestran las tres familias de malware con la mayor probabilidad y además una descripción y la posibilidad de ampliar la información remitiendo a otras páginas. Figura 66. Página de resultados Frequently Asked Questions (FAQ): recoge las preguntas más frecuentes que podría tener cualquier usuario. Figura 67. Página FAQ JAVIER CERCAS SÁNCHEZ 70

95 Arquitectura Figura 68. Arquitectura MVC 2 Para este desarrollo se plantea un patrón de diseño Modelo-Vista- Controlador tipo 2 (MVC 2) en el que un Servlet gestiona las peticiones, invoca a la lógica y accede a los datos. El Servlet almacena los resultados en la request y la redirige al JSP para mostrar los resultados. Figura 69. MVC 2 JAVIER CERCAS SÁNCHEZ 71

96 Para reducir el código redundante y mantener un diseño limpio y escalable se emplean etiquetas JSP para incluir la barra de navegación y el pie de página y JSTL. Figura 70. Código de las etiquetas JSP Figura 71. Código de las etiquetas JSTL y diseño escalable Diagrama de paquetes En la siguiente figura se muestra un diagrama de paquetes simplificado sobre las clases Java que se emplean en el desarrollo. Figura 72. Diagrama de paquetes simplificado JAVIER CERCAS SÁNCHEZ 72

97 JQuery y JavaScript Para dar dinamismo al desarrollo web se emplea la librería JQuery. Está creada en JavaScript y es compatible con todos los navegadores con el objetivo de simplificar la creación de contenidos DHTML. Figura 73. Se vincula con las páginas JSPs ya que es tecnología cliente Figura 74. Definición y uso de elementos JQuery Figura 75. Ejemplo de JQuery en el slider y JavaScript mostrando/ocultando opciones 4.3. GIMP y yed Para la edición de imágenes se ha empleado la herramienta de software libre GIMP que está bajo la Licencia Pública General de GNU. Con GIMP se han creado y editado las imágenes que se emplean en este proyecto. Para el desarrollo de diagramas empleados en esta memoria se utiliza yed Graph Editor que también se distribuye bajo licencia freeware. Figura 76. Imagen creada con GIMP JAVIER CERCAS SÁNCHEZ 73

DIAGNÓSTICO DE ATAQUES DE SEGURIDAD MEDIANTE REDES BAYESIANAS

DIAGNÓSTICO DE ATAQUES DE SEGURIDAD MEDIANTE REDES BAYESIANAS DIAGNÓSTICO DE ATAQUES DE SEGURIDAD MEDIANTE REDES BAYESIANAS Autor: Cercas Sánchez, Javier. Director: Vida Delgado, Rafael. Entidad Colaboradora: ICAI - Universidad Pontificia Comillas RESUMEN DEL PROYECTO

Más detalles

REGLAMENTO SOBRE EL RÉGIMEN DE LOS TRABAJOS FINALES PARA LA OBTENCIÓN DE LOS TÍTULOS PROPIOS DE MÁSTER QUE SE IMPARTEN EN LA ICADE BUSINESS SCHOOL

REGLAMENTO SOBRE EL RÉGIMEN DE LOS TRABAJOS FINALES PARA LA OBTENCIÓN DE LOS TÍTULOS PROPIOS DE MÁSTER QUE SE IMPARTEN EN LA ICADE BUSINESS SCHOOL REGLAMENTO SOBRE EL RÉGIMEN DE LOS TRABAJOS FINALES PARA LA OBTENCIÓN DE LOS TÍTULOS PROPIOS DE MÁSTER QUE SE IMPARTEN EN LA ICADE BUSINESS SCHOOL (Aprobado por la Junta de Gobierno en la sesión celebrada

Más detalles

Lección 6: Malware. Bernardo Quintero bernardo@hispasec.com Hispasec VirusTotal Founder

Lección 6: Malware. Bernardo Quintero bernardo@hispasec.com Hispasec VirusTotal Founder Lección 6: Malware Bernardo Quintero bernardo@hispasec.com Hispasec VirusTotal Founder Malware: definición y tipos Malicious software Se denomina malware al software malicioso, diseñado para llevar cabo

Más detalles

Robos a través de móviles

Robos a través de móviles 1 Robos a través de móviles Android es el sistema más usado entre los usuarios de dispositivos móviles y el segundo más usado después de Windows para los creadores de virus. Los primeros programas malintencionados

Más detalles

Cuaderno de notas del OBSERVATORIO

Cuaderno de notas del OBSERVATORIO k Cuaderno de notas del OBSERVATORIO MALWARE Y DISPOSITIVOS MÓVILES Instituto Nacional de Tecnologías de la Comunicación El teléfono móvil es uno de los dispositivos electrónicos de mayor uso actualmente.

Más detalles

Guía de seguridad para smartphones: Cómo configurar tu Android de la forma más segura?

Guía de seguridad para smartphones: Cómo configurar tu Android de la forma más segura? Guía de seguridad para smartphones: Cómo configurar tu Android de la forma más segura? Índice Introducción... 3 Situación actual de Android en el mercado mundial... 4 Qué tipo de amenazas pueden afectar

Más detalles

Un resumen de la actividad de virus en enero del año 2015

Un resumen de la actividad de virus en enero del año 2015 Un A resumen partir del año 1992 de la actividad de virus en enero 1 Un resumen de la actividad de virus en enero 2 2 de febrero de 2015 Según los datos de los especialistas de la empresa Doctor Web, el

Más detalles

ENDPOINT PROTECTION STANDARD. Para empresas con más de 25 equipos

ENDPOINT PROTECTION STANDARD. Para empresas con más de 25 equipos ENDPOINT PROTECTION STANDARD Para empresas con más de 25 equipos 2 ESET Endpoint Protection Standard Tanto si acabas de montar tu empresa como si está ya establecida, hay algunas cosas que deberías esperar

Más detalles

MALWARE versus SEGURIDAD DE LA INFORMACIÓN

MALWARE versus SEGURIDAD DE LA INFORMACIÓN MALWARE versus SEGURIDAD DE LA INFORMACIÓN La información al alcance de cualquiera? F. Javier Bruna Sánchez Ingeniero en Informática Auditor de normas internacionales sistemasgestion@secartys.org 1 aunque

Más detalles

VÍDEO intypedia006es LECCIÓN 6: MALWARE. AUTOR: Bernardo Quintero. Hispasec VirusTotal Founder

VÍDEO intypedia006es LECCIÓN 6: MALWARE. AUTOR: Bernardo Quintero. Hispasec VirusTotal Founder VÍDEO intypedia006es LECCIÓN 6: MALWARE AUTOR: Bernardo Quintero Hispasec VirusTotal Founder Hola, bienvenidos a intypedia. Hoy vamos a hablar del apasionante mundo de los códigos maliciosos y el negocio

Más detalles

SOLUCIONES PARA EMPRESA

SOLUCIONES PARA EMPRESA SOLUCIONES PARA EMPRESA 2 Soluciones para empresa Tanto si acabas de montar tu empresa como si ya lleva tiempo establecida, hay algunas cosas que deberías esperar del producto de seguridad que usas a diario.

Más detalles

Protegiendo tu experiencia online

Protegiendo tu experiencia online Antivirus Antispyware Antirootkit Análisis potenciado por la nube Análisis proactivo de dispositivos extraíbles Sistema de Prevención de Intrusiones (HIPS) Modo Jugador Protegiendo tu experiencia online

Más detalles

MALWARE EN DISPOSITIVOS MÓVILES ANDROID

MALWARE EN DISPOSITIVOS MÓVILES ANDROID MALWARE EN DISPOSITIVOS MÓVILES ANDROID MALWARE EN DISPOSITIVOS MÓVILES ANDROID INDICE SMARTPHONES TIPOS DE AMENAZAS MODELO DE SEGURIDAD EN ANDROID MALWARE SOLUCIONES EJEMPLO DE APLICACIÓN CON FLURRY SMARTPHONES

Más detalles

CHECK POINT. DE LA EMPRESA Incluidos emails, mensajes de texto y registro de llamadas

CHECK POINT. DE LA EMPRESA Incluidos emails, mensajes de texto y registro de llamadas CHECK POINT DESMITIFICANDO LOS ATAQUES A LA SEGURIDAD DE DISPOSITIVOS MÓVILES Los ataques a sus dispositivos móviles y al tráfico de la red están evolucionando rápidamente. Los atacantes de dispositivos

Más detalles

ESET Mobile Antivirus

ESET Mobile Antivirus ESET Mobile Antivirus Manual de instalación y Guía del usuario we protect your digital worlds ESET Mobile Antivirus Copyright 2009 by ESET, spol. s r. o. ESET Smart Security ha sido desarrollado por ESET,

Más detalles

GUÍA ELECTRÓNICA PARA LA VIDA DIGITAL DE. 5 preguntas clave sobre la privacidad de los dispositivos móviles

GUÍA ELECTRÓNICA PARA LA VIDA DIGITAL DE. 5 preguntas clave sobre la privacidad de los dispositivos móviles GUÍA ELECTRÓNICA PARA LA VIDA DIGITAL DE 5 preguntas clave sobre la privacidad de los dispositivos móviles Lleva varios días probando su nuevo juguete: ha enviado correos electrónicos, descargado aplicaciones,

Más detalles

Sistema de Control Domótico

Sistema de Control Domótico UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA (ICAI) INGENIERO EN ELECTRÓNICA Y AUTOMATICA PROYECTO FIN DE CARRERA Sistema de Control Domótico a través del bus USB Directores:

Más detalles

Lorena Ceballos Jesenia Gómez 10 I2

Lorena Ceballos Jesenia Gómez 10 I2 Lorena Ceballos Jesenia Gómez 10 I2 Ataques Seguridad para Windows Seguridad informática SEGURIDAD INFORMÁTICA Se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta

Más detalles

Malware corto para software malintencionado es cualquier software utilizado para interrumpir, destruir y acceder a información sensible.

Malware corto para software malintencionado es cualquier software utilizado para interrumpir, destruir y acceder a información sensible. Informáticas I 2.4 Protegiendo un equipo cuando en la Web Existen un muchas vulnerabilidades cuando navegando por la web y probablemente has escuchado a todos pero qué significan realmente y cómo funcionan?

Más detalles

ESET CYBER SECURITY PRO para Mac Guía de inicio rápido. Haga clic aquí para descargar la versión más reciente de este documento.

ESET CYBER SECURITY PRO para Mac Guía de inicio rápido. Haga clic aquí para descargar la versión más reciente de este documento. ESET CYBER SECURITY PRO para Mac Guía de inicio rápido Haga clic aquí para descargar la versión más reciente de este documento. ESET Cyber Security Pro proporciona protección de última generación para

Más detalles

Para empresas con más de 25 equipos

Para empresas con más de 25 equipos Para empresas con más de 25 equipos 2 Tanto si acabas de montar tu empresa como si está ya establecida, hay algunas cosas que deberías esperar del producto de seguridad que usas a diario. En ESET pensamos

Más detalles

SECURE ENTERPRISE. Para empresas con más de 25 equipos

SECURE ENTERPRISE. Para empresas con más de 25 equipos SECURE ENTERPRISE Para empresas con más de 25 equipos 2 ESET Secure Enterprise Tanto si acabas de montar tu empresa como si está ya establecida, hay algunas cosas que deberías esperar del producto de seguridad

Más detalles

Este proyecto tiene como finalidad la creación de una aplicación para la gestión y explotación de los teléfonos de los empleados de una gran compañía.

Este proyecto tiene como finalidad la creación de una aplicación para la gestión y explotación de los teléfonos de los empleados de una gran compañía. SISTEMA DE GESTIÓN DE MÓVILES Autor: Holgado Oca, Luis Miguel. Director: Mañueco, MªLuisa. Entidad Colaboradora: Eli & Lilly Company. RESUMEN DEL PROYECTO Este proyecto tiene como finalidad la creación

Más detalles

SOFTWARE CONTROL PARENTAL

SOFTWARE CONTROL PARENTAL SOFTWARE CONTROL PARENTAL ORDENADOR PERSONAL WINDOWS Activity Monitor es una herramienta para vigilar el uso que hacen del PC empleados, estudiantes, niños, etc, de forma remota. Esta vigilancia se puede

Más detalles

1. SEGURIDAD INFORMÁTICA. 1.1. Seguridad informática

1. SEGURIDAD INFORMÁTICA. 1.1. Seguridad informática 1. SEGURIDAD INFORMÁTICA 1.1. Seguridad informática Seguridad física. Se entiende como el conjunto de medidas y protocolos para controlar el acceso físico a un elemento. Aplicado a la seguridad informática

Más detalles

Por qué han recurrido los cibercriminales a los ataques de JavaScript malicioso

Por qué han recurrido los cibercriminales a los ataques de JavaScript malicioso Por qué han recurrido los cibercriminales a los ataques de Los ataques a sitios web se han convertido en un negocio muy rentable. Antes, los cibercriminales infectaban sitios web para llamar la atención

Más detalles

En la actualidad la navegación web es, con diferencia, una de las actividades a las que más tiempo dedicamos en nuestro uso habitual de Internet.

En la actualidad la navegación web es, con diferencia, una de las actividades a las que más tiempo dedicamos en nuestro uso habitual de Internet. GUIAS DE SEGURIDAD 1. Introducción En la actualidad la navegación web es, con diferencia, una de las actividades a las que más tiempo dedicamos en nuestro uso habitual de Internet. Pero es segura la navegación

Más detalles

Panda Managed Office Protection Visita a la Consola web de Administración

Panda Managed Office Protection Visita a la Consola web de Administración Panda Managed Office Protection Visita a la Consola web de Administración Panda Managed Office Protection Visita Guiada a la Consola Web de Administración Centralizada Marzo 2009 Tabla de contenidos 1.

Más detalles

ECBTI/Sur/Herramientas Teleinformáticas-221120. Malware. Hernando Arbey Robles Puentes. Neiva, 8 de Septiembre de 2014

ECBTI/Sur/Herramientas Teleinformáticas-221120. Malware. Hernando Arbey Robles Puentes. Neiva, 8 de Septiembre de 2014 ECBTI/Sur/Herramientas Teleinformáticas-221120 Malware Hernando Arbey Robles Puentes Neiva, 8 de Septiembre de 2014 Malvare Definición: Es un software malicioso creado con la intención de introducirse

Más detalles

Protegiendo la seguridad de los mayores en Internet

Protegiendo la seguridad de los mayores en Internet Protegiendo la seguridad de los mayores en Internet La proliferación del uso de Internet y de las nuevas tecnologías ha hecho que el acceso a la Red esté al alcance de todos. Sin embargo, es necesario

Más detalles

PROTECCIoN USB: javier.esparza@seguridadticmelilla.es seguridadticmelilla.es

PROTECCIoN USB: javier.esparza@seguridadticmelilla.es seguridadticmelilla.es PROTECCIoN USB:, Hoy en día los virus han mutado hacia nuevas formas, y vías de contaminación. Técnicamente son peores, y utilizan lenguajes de programación de más alto nivel, por lo que se necesitan menos

Más detalles

EL SOFTWARE MALICIOSO MALWARE

EL SOFTWARE MALICIOSO MALWARE Página 1 de 5 Si usted no puede visualizar correctamente este mensaje, presione aquí Medellín, 21 de mayo de 2009 Boletín técnico de INDISA S.A. No. 71 EL SOFTWARE MALICIOSO MALWARE Autor: Omar Calvo Analista

Más detalles

SECURE BUSINESS. Para empresas con más de 25 equipos

SECURE BUSINESS. Para empresas con más de 25 equipos SECURE BUSINESS Para empresas con más de 25 equipos 2 ESET Secure Business Tanto si acabas de montar tu empresa como si está ya establecida, hay algunas cosas que deberías esperar del producto de seguridad

Más detalles

Guía del empleado seguro

Guía del empleado seguro Guía del empleado seguro INTRODUCCIÓN La seguridad de la información en una empresa es responsabilidad del departamento de IT (tecnologías de la información) o del propio área de Seguridad de la Información

Más detalles

Problemas de seguridad en los smartphones

Problemas de seguridad en los smartphones Problemas de seguridad en los smartphones 1 Contenidos Situación actual de la seguridad y los móviles Dispositivos móviles y sociales Amenazas Recomendaciones 2 Situación actual 3 4 5 Primer fallo de seguridad

Más detalles

ESET SMART SECURITY 6

ESET SMART SECURITY 6 ESET SMART SECURITY 6 Microsoft Windows 8 / 7 / Vista / XP / Home Server 2003 / Home Server 2011 Guía de inicio rápido Haga clic aquí para descargar la versión más reciente de este documento ESET Smart

Más detalles

MALWARE, UNA AMENAZA DE INTERNET

MALWARE, UNA AMENAZA DE INTERNET Revista Digital Universitaria MALWARE, UNA AMENAZA DE INTERNET Luis Fernando Fuentes UNAM-CERT Universidad Nacional Autónoma de México lfuentes@seguridad.unam.mx Resumen Revista Digital Universitaria

Más detalles

MALWARE, UNA AMENAZA DE INTERNET

MALWARE, UNA AMENAZA DE INTERNET Revista Digital Universitaria MALWARE, UNA AMENAZA DE INTERNET Luis Fernando Fuentes UNAM-CERT Universidad Nacional Autónoma de México lfuentes@seguridad.unam.mx Resumen Revista Digital Universitaria La

Más detalles

Informe de la actividad de virus para dispositivos móviles de Android en enero del año 2015

Informe de la actividad de virus para dispositivos móviles de Android en enero del año 2015 A partir del año 1992 1 Informe de la actividad de virus para dispositivos móviles de Android en enero del año 2015 2 A partir del año 1992 2 de febrero del año 2015 Tendencias clave de enero Actividad

Más detalles

Guía de Seguridad en Redes Sociales

Guía de Seguridad en Redes Sociales Guía de Seguridad en Redes Sociales INTRODUCCIÓN Las redes sociales son parte de los hábitos cotidianos de navegación de gran cantidad de personas. Cualquier usuario de Internet hace uso de al menos una

Más detalles

USO SEGURO Dispositivos móviles y MEDIDAS DE PRECAUCIÓN

USO SEGURO Dispositivos móviles y MEDIDAS DE PRECAUCIÓN USO SEGURO Dispositivos móviles y MEDIDAS DE PRECAUCIÓN SEMINARIO ONLINE 1 ÍNDICE INTRODUCCIÓN....... 01 Pág. MÓDULO 1. CONSEJOS PARA PADRES Y TUTORES SOBRE EL USO DE DISPOSITIVOS MÓVILES... 02 MÓDULO

Más detalles

5 Uso seguro de la web

5 Uso seguro de la web 1. Introducción GUIAS DE SEGURIDAD UJA 5 Uso seguro de la web En la actualidad la navegación web es, con diferencia, una de las actividades a las que más tiempo dedicamos en nuestro uso habitual de Internet.

Más detalles

MATERIAL DE APOYO ADICIONAL ESTUDIO DE CASO DE ESTUDIO. VÍDEO intypedia006es: http://www.criptored.upm.es/intypedia/video.php?

MATERIAL DE APOYO ADICIONAL ESTUDIO DE CASO DE ESTUDIO. VÍDEO intypedia006es: http://www.criptored.upm.es/intypedia/video.php? MATERIAL DE APOYO ADICIONAL ESTUDIO DE CASO DE ESTUDIO VÍDEO intypedia006es: http://www.criptored.upm.es/intypedia/video.php?id=malware&lang=es LECCIÓN 6: MALWARE AUTOR: Bernardo Quintero Hispasec VirusTotal

Más detalles

Información de Producto EMSISOFT ANTI-MALWARE. Ti Mayorista S.A. de C.V. info@emsisoft.mx +52(55) 1107.0515 Información de Producto 1

Información de Producto EMSISOFT ANTI-MALWARE. Ti Mayorista S.A. de C.V. info@emsisoft.mx +52(55) 1107.0515 Información de Producto 1 Información de Producto EMSISOFT ANTI-MALWARE Ti Mayorista S.A. de C.V. info@emsisoft.mx +52(55) 1107.0515 Información de Producto 1 www.emsisoft.com Estimado usuario, Hemos preparado esta información

Más detalles

Android F-Secure Mobile Security con Control Parental incluido.

Android F-Secure Mobile Security con Control Parental incluido. Android F-Secure Mobile Security con Control Parental incluido. Contenido Capítulo 1: Instalación...3 Instalación...3 Activación...4 Cómo configurar el producto...5 Cómo desinstalar el producto del dispositivo

Más detalles

Guía de Seguridad para usuarios de smartphones

Guía de Seguridad para usuarios de smartphones Guía de Seguridad para usuarios de smartphones Sistemas operativos móviles Al igual que con las computadoras en donde existen varios sistemas operativos, los teléfonos inteligentes también necesitan de

Más detalles

Seguridad en la red. Fuga o robo de información a causa de las siguientes razones:

Seguridad en la red. Fuga o robo de información a causa de las siguientes razones: Seguridad en la red A continuación se presentan algunos de los riesgos inherentes al medio de comunicación, cuya mitigación dependerá del uso adecuado que el suscriptor le dé a su equipo terminal móvil:

Más detalles

F-Secure Mobile Security with Parental control. Android

F-Secure Mobile Security with Parental control. Android F-Secure Mobile Security with Parental control Android F-Secure Mobile Security with Parental control Contenido 3 Contents Capítulo 1: Instalación...5 Instalación...6 Activación...6 Cómo configurar el

Más detalles

Guía de inicio rápido. Microsoft Windows 8 / 7 / Vista / XP / Home Server

Guía de inicio rápido. Microsoft Windows 8 / 7 / Vista / XP / Home Server Guía de inicio rápido Microsoft Windows 8 / 7 / Vista / XP / Home Server ESET Smart Security le proporciona a su equipo protección de última generación contra códigos maliciosos. Basado en el motor de

Más detalles

Tema 6. Que la fuerza te acompañe y además, algunas herramientas software que te harán la vida más sencilla ante los ataques de ingeniería social

Tema 6. Que la fuerza te acompañe y además, algunas herramientas software que te harán la vida más sencilla ante los ataques de ingeniería social A Tema 6 Que la fuerza te acompañe y además, algunas herramientas software que te harán la vida más sencilla ante los ataques de ingeniería social Tema 6 A Que la fuerza te acompañe y además, algunas herramientas

Más detalles

Política de privacidad de Norton Mobile

Política de privacidad de Norton Mobile Durante más de dos décadas, los consumidores han confiado en Symantec y la marca Norton en todo el mundo para proteger sus dispositivos informáticos y los recursos digitales más importantes. Protegemos

Más detalles

Técnicas de Protección contra Malwares sin utilizar un Antivirus

Técnicas de Protección contra Malwares sin utilizar un Antivirus Técnicas de Protección contra Malwares sin utilizar un Antivirus Analista en Recuperación de Datos Antecedentes En los últimos años se ha incrementado en forma exponencial los ataques de virus informáticos,

Más detalles

Symantec Protection Suite Enterprise Edition Protección de confianza para entornos web, mensajería y puntos finales

Symantec Protection Suite Enterprise Edition Protección de confianza para entornos web, mensajería y puntos finales Protección de confianza para entornos web, mensajería y puntos finales Presentación crea un entorno protegido para la web, mensajería y puntos finales contra las amenazas actuales más complejas de malware,

Más detalles

Kaspersky Lab presenta el Top 20 de programas maliciosos detectados en junio

Kaspersky Lab presenta el Top 20 de programas maliciosos detectados en junio Kaspersky Lab presenta el Top 20 de programas maliciosos detectados en junio Los ciberdelincuentes usaron el servicio en la nube de Amazon para alojar y propagar un software malicioso Si en mayo se detectaron

Más detalles

Seguridad Informática

Seguridad Informática BIBLIOTECA UNIVERSITARIA Seguridad Informática Material formativo Reconocimiento NoComercial-CompartirIgual (By-ns-sa): No se permite un uso comercial de la obra original ni de las posibles obras derivadas,

Más detalles

Hostaliawhitepapers. Qué amenazas nos podemos encontrar por la red

Hostaliawhitepapers. Qué amenazas nos podemos encontrar por la red Qué amenazas nos podemos encontrar por la red Cardenal Gardoki, 1 48008 BILBAO (Vizcaya) Teléfono: 902 012 199 www.hostalia.com Todo el mundo que utiliza algún equipo informático ha escuchado alguna vez

Más detalles

AVG File Server. Manual del usuario. Revisión del documento 2015.08 (22.09.2015)

AVG File Server. Manual del usuario. Revisión del documento 2015.08 (22.09.2015) AVG File Server Manual del usuario Revisión del documento 2015.08 (22.09.2015) C opyright AVG Technologies C Z, s.r.o. Reservados todos los derechos. El resto de marcas comerciales son propiedad de sus

Más detalles

1. LA PROTECCIÓN DE NUESTRA INTIMIDAD: ALGUNOS CONSEJOS TÉCNICOS.

1. LA PROTECCIÓN DE NUESTRA INTIMIDAD: ALGUNOS CONSEJOS TÉCNICOS. 1. LA PROTECCIÓN DE NUESTRA INTIMIDAD: ALGUNOS CONSEJOS TÉCNICOS. En definitiva las cookies, son herramientas empleada por los servidores Web para almacenar y recuperar información acerca de sus visitantes.

Más detalles

infinitum Guía de Instalación Antivirus Infinitum 2009 Guía de instalación Antivirus Infinitum 2009

infinitum Guía de Instalación Antivirus Infinitum 2009 Guía de instalación Antivirus Infinitum 2009 infinitum Guía de Instalación Paso 1. Descarga del Antivirus Paso 2. Instalación de Paso 3. Activación de Configuraciones Adicionales Esta guía te proporciona las instrucciones y pasos a seguir para Registrarte,

Más detalles

PARA MAC Guía de inicio rápido. Haga clic aquí para descargar la versión más reciente de este documento

PARA MAC Guía de inicio rápido. Haga clic aquí para descargar la versión más reciente de este documento PARA MAC Guía de inicio rápido Haga clic aquí para descargar la versión más reciente de este documento ESET Cyber Security Pro proporciona una innovadora protección para su ordenador contra código malicioso.

Más detalles

Microsoft Windows 7 / Vista / XP / 2000 / Home Server. Guía de inicio rápido

Microsoft Windows 7 / Vista / XP / 2000 / Home Server. Guía de inicio rápido Microsoft Windows 7 / Vista / XP / 2000 / Home Server Guía de inicio rápido ESET Smart Security le proporciona a su equipo protección de última generación contra códigos maliciosos. Basado en el motor

Más detalles

Pack Seguridad PC. Manual de usuario

Pack Seguridad PC. Manual de usuario Pack Seguridad PC Página 1 de 97 McAfee 2009 Índice 1. McAfee Online Security o Pack Seguridad PC... 10 2. McAfee Security Center... 10 2.1. Funciones de Security Center...10 2.1.1. Estado de protección

Más detalles

Móvil Seguro. Guía de Usuario Terminales Android

Móvil Seguro. Guía de Usuario Terminales Android Móvil Seguro Guía de Usuario Terminales Android Índice 1 Introducción...2 2 Descarga e instalación de Móvil Seguro...3 3 Registro del producto...5 4 Funciones de Móvil Seguro...7 4.1 Antivirus... 7 4.1

Más detalles

S eguridad Informática

S eguridad Informática 1- D efinición de Virus 2 - R eproducción de los Virus 3 - Tipos de Virus 4 - Los daños que causan 5 - Formas de contagio 6 Otros Malware 6 Antivirus y Firewall 7 - Medidas de Prevención 1- D efinición

Más detalles

Sophos Control Center Ayuda

Sophos Control Center Ayuda Sophos Control Center Ayuda Versión: 4.1 Edición: marzo de 2010 Contenido 1 Acerca de Sophos Control Center...3 2 Introducción a Sophos Control Center...4 3 Comprobar que la red se encuentra protegida...8

Más detalles

Basado en el libro de texto INFORMÁTICA DE 4º ESO Ed. OXFORD

Basado en el libro de texto INFORMÁTICA DE 4º ESO Ed. OXFORD Basado en el libro de texto INFORMÁTICA DE 4º ESO Ed. OXFORD SEGURIDAD INFORMATICA Es el conjunto de acciones, herramientas y dispositivos cuyo objetivo es dotar a un sistema informático de integridad,

Más detalles

Tendencias para asegurar la Movilidad. Jessica Cerna Channel Manager Andina y Caribe

Tendencias para asegurar la Movilidad. Jessica Cerna Channel Manager Andina y Caribe Tendencias para asegurar la Movilidad Jessica Cerna Channel Manager Andina y Caribe Agenda Como llegamos aquí Tu vida diaria Tendencias Necesidades de los clientes La propuesta de SOPHOS Como llegamos

Más detalles

Tendencias y riesgos de los Consumidores Online en España: Especial Banca y Compras en la Red

Tendencias y riesgos de los Consumidores Online en España: Especial Banca y Compras en la Red Tendencias y riesgos de los Consumidores Online en España: Especial Banca y Compras en la Red Índice 1. Introducción Informe elaborado por Tendencias y riesgos de los Consumidores Online en España: Especial

Más detalles

SEGURIDAD EN INFORMÁTICA

SEGURIDAD EN INFORMÁTICA SEGURIDAD EN INFORMÁTICA LA SEGURIDAD Y SUS IMPLICACIONES Características principales de la seguridad en Internet: Confidencialidad. Sólo deben tener acceso a aquellas personas autorizadas para ello. Autentificación

Más detalles

para empresas con más de 25 puestos

para empresas con más de 25 puestos para empresas con más de 25 puestos ESET Business Solutions 1/7 Más allá de que su empresa recién se esté creando o ya esté bien establecida, hay ciertas cosas que debería esperar del software de seguridad

Más detalles

NAVEGUE SEGURO EN INTERNET

NAVEGUE SEGURO EN INTERNET NAVEGUE SEGURO EN INTERNET Programas maliciosos Hasta hace unos años, los virus eran considerados la principal amenaza para los equipos informáticos. En la actualidad existen otras amenazas derivadas de

Más detalles

HERRAMIENTAS TELEINFORMATICAS HERRAMIENTAS ANTIMALWARE LEYDY YASMIN LOPEZ MEDINA CÓDIGO: 1098671753 DERLYBRET RODRIGUEZ JAIMES CODIGO: 1098647556

HERRAMIENTAS TELEINFORMATICAS HERRAMIENTAS ANTIMALWARE LEYDY YASMIN LOPEZ MEDINA CÓDIGO: 1098671753 DERLYBRET RODRIGUEZ JAIMES CODIGO: 1098647556 HERRAMIENTAS TELEINFORMATICAS HERRAMIENTAS ANTIMALWARE LEYDY YASMIN LOPEZ MEDINA CÓDIGO: 1098671753 DERLYBRET RODRIGUEZ JAIMES CODIGO: 1098647556 CLAUDIA PATRICIA SANCHEZ BUSTOS Tutor: CLAUDIA MARCELA

Más detalles

ESET NOD32 Antivirus 4.2 ESET NOD32 Antivirus 4.2 (Business Edition)

ESET NOD32 Antivirus 4.2 ESET NOD32 Antivirus 4.2 (Business Edition) ESET NOD32 Antivirus 4.2 ESET NOD32 Antivirus 4.2 (Business Edition) Boletín de Producto 11 de Marzo de 2010 Versión 2.6 ESET NOD32 Antivirus 4 Todos los usuarios necesitan contar con una protección completa

Más detalles

Antivirus PC. Manual de usuario

Antivirus PC. Manual de usuario Antivirus PC Página 1 de 55 McAfee 2009 Índice 1. McAfee Online Antivirus o Antivirus PC... 6 2. McAfee Security Center... 6 2.1. Funciones de Security Center... 6 2.1.1. Estado de protección simplificado...6

Más detalles

VIRUS INFORMÁTICO. Nombre: Francisco Lara. Juan Vivanco. Profesor: Rodrigo Tapia

VIRUS INFORMÁTICO. Nombre: Francisco Lara. Juan Vivanco. Profesor: Rodrigo Tapia VIRUS INFORMÁTICO Nombre: Francisco Lara Juan Vivanco Profesor: Rodrigo Tapia Índice: CONTENIDO 1.- Origen:... 3 2.- Definición:... 4 3.- Técnicas de programación y tipos de daños ocasionados:... 5 4.-

Más detalles

GUÍA DE AMENAZAS. Las diez amenazas más peligrosas de Internet

GUÍA DE AMENAZAS. Las diez amenazas más peligrosas de Internet GUÍA DE AMENAZAS Botnet Su accionar consiste en formar una red o grupo de computadoras zombis (infectados con malware), que son controlados por el propietario de los bots (atacante). Es decir, toman control

Más detalles

Symantec Mobile Management for Configuration Manager 7.2

Symantec Mobile Management for Configuration Manager 7.2 Symantec Mobile Management for Configuration Manager 7.2 Gestión de dispositivos integrada, segura y escalable Hoja de datos: Gestión y movilidad de puntos finales Descripción general La rápida proliferación

Más detalles

DESARROLLO DE APLICACIÓN MÓVIL PARA EMPRESA DE BIENES RAÍCES, VERSIÓN ANDROID

DESARROLLO DE APLICACIÓN MÓVIL PARA EMPRESA DE BIENES RAÍCES, VERSIÓN ANDROID DESARROLLO DE APLICACIÓN MÓVIL PARA EMPRESA DE BIENES RAÍCES, VERSIÓN ANDROID Vicente Moya Murillo (1) Ing. Patricia Chávez Burbano (2) Facultad de Ingeniería en Electricidad y Computación Escuela Superior

Más detalles

REPORTE NORTON 2013 Octubre, 2013

REPORTE NORTON 2013 Octubre, 2013 REPORTE NORTON 2013 Octubre, 2013 REPORTE NORTON 2013 QUIÉNES PARTICIPARON? 13,022 ADULTOS DE ENTRE 18 Y 64 AÑOS, CONECTADOS A INTERNET DÓNDE? - 24 PAÍSES AUSTRALIA, BRASIL, CANADÁ, CHINA, COLOMBIA, DINAMARCA,

Más detalles

FALSOS ANTIVIRUS Y ANTIESPÍAS

FALSOS ANTIVIRUS Y ANTIESPÍAS Instituto Nacional de Tecnologías de la Comunicación FALSOS ANTIVIRUS Y ANTIESPÍAS Intento de fraude a través de la venta de falsas herramientas de seguridad INTECO-CERT Fraude a través de falsos antivirus

Más detalles

Hábitos y riesgos en los usuarios de móviles en Europa: Sólo un 12% de los smartphones tienen instalado un antivirus

Hábitos y riesgos en los usuarios de móviles en Europa: Sólo un 12% de los smartphones tienen instalado un antivirus INFORME Hábitos y riesgos en los usuarios de móviles en Europa: Sólo un 12% de los smartphones tienen instalado un antivirus Estudio sociológico realizado por Kaspersky Lab Cuáles son las ventajas de los

Más detalles

Kaspersky Fraud Prevention for Endpoints

Kaspersky Fraud Prevention for Endpoints Kaspersky Fraud Prevention for Endpoints www.kaspersky.es KASPERSKY FRAUD PREVENTION 1. Formas de atacar a la banca online El primer motivo del cibercrimen es hacer dinero y las sofisticadas bandas criminales

Más detalles

Seguridad en el ordenador

Seguridad en el ordenador Seguridad en el ordenador Un ordenador es una herramienta muy útil, pero puede ser peligroso si no se conocen los riesgos de su uso, unas normas básicas de seguridad y su manejo adecuado en Internet. 1.-

Más detalles

Reputació n Web. Actualmente la forma por la que se infectan los equipos puede ocurrir, como norma general, de tres formas distintas:

Reputació n Web. Actualmente la forma por la que se infectan los equipos puede ocurrir, como norma general, de tres formas distintas: Aprobado en Consejo Informático 19-3-2013 - OFFICESCAN Reputació n Web Contexto y situación actual Actualmente la forma por la que se infectan los equipos puede ocurrir, como norma general, de tres formas

Más detalles

Actualmente, navegar por la Red y utilizar el correo electrónico son actividades cotidianas.

Actualmente, navegar por la Red y utilizar el correo electrónico son actividades cotidianas. Actualmente, navegar por la Red y utilizar el correo electrónico son actividades cotidianas. Los delincuentes aprovechan esta situación, y envían más de 100.000 ataques nuevos cada día a a través de Internet,

Más detalles

Herramientas para evitar ataques informáticos

Herramientas para evitar ataques informáticos Herramientas para evitar ataques informáticos Jorge Mieres, Analista de Seguridad de ESET para Latinoamérica Jueves 30 de abril del 2009 ESET, LLC 610 West Ash Street, Suite 1900 phone: (619) 876 5400,

Más detalles

Recomendaciones para el uso seguro del servicio de Pagos por Internet

Recomendaciones para el uso seguro del servicio de Pagos por Internet Recomendaciones para el uso seguro del servicio de Pagos por Internet Caja Rural de Almendralejo S.C.C. Todos los derechos reservados Noviembre 2015 El uso de Internet para nuestras acciones cotidianas

Más detalles

IPEC SANTA BÁRBARA DE HEREDIA MANTENIMIENTO PREVENTIVO DE COMPUTADORAS. Seguridad de los datos - Virus / Malware / Antivirus

IPEC SANTA BÁRBARA DE HEREDIA MANTENIMIENTO PREVENTIVO DE COMPUTADORAS. Seguridad de los datos - Virus / Malware / Antivirus IPEC SANTA BÁRBARA DE HEREDIA MANTENIMIENTO PREVENTIVO DE COMPUTADORAS Seguridad de los datos - Virus / Malware / Antivirus Seguridad de la información Son técnicas y actividades destinadas a preservar

Más detalles

MEDIDAS DE CONTROL Y MEDIACIÓN PARENTAL para padres, madres y educadores

MEDIDAS DE CONTROL Y MEDIACIÓN PARENTAL para padres, madres y educadores MEDIDAS DE CONTROL Y MEDIACIÓN PARENTAL para padres, madres y educadores SEMINARIO ONLINE ÍNDICE INTRODUCCIÓN.... 01 Pág. MÓDULO 1. IDENTIDAD DIGITAL.. 02 1.1. IMPORTANCIA DE LA IDENTIDAD DIGITAL 03 1.2.

Más detalles

PANDA USB VACCINE QUÉ ES? PRO CESO DE INSTALACIÓN. Abrir archivo le daremos a Ejecutar.

PANDA USB VACCINE QUÉ ES? PRO CESO DE INSTALACIÓN. Abrir archivo le daremos a Ejecutar. PANDA USB VACCINE Abrir archivo le daremos a Ejecutar. QUÉ ES? Panda Security pone a disposición de los usuarios una herramienta para evitar la forma de infección más común en los dispositivos extraíbles

Más detalles

Aviso de privacidad de Norton Mobile

Aviso de privacidad de Norton Mobile 31 de julio de 2015 Durante más de dos décadas, los clientes de todo el mundo han confiado a Symantec y a la marca Norton la protección de sus dispositivos informáticos y sus activos digitales más importantes.

Más detalles

Capítulo 4. SOFTWARE ANTIMALWARE

Capítulo 4. SOFTWARE ANTIMALWARE Capítulo 4. SOFTWARE ANTIMALWARE Autor: Índice de contenidos 4.1. SOFTWARE MALICIOSO 4.2. CLASIFICACIÓN N DEL MALWARE 4.2.1. Métodos M de infección 4.3. PROTECCIÓN N Y DESINFECCIÓN 4.3.1. Clasificación

Más detalles

Aplicaciones Potencialmente Indeseables (PUA)

Aplicaciones Potencialmente Indeseables (PUA) Aplicaciones Potencialmente Indeseables (PUA) Autor: André Goujon, Especialista de Awareness & Research Fecha: julio 2012 Retos de seguridad para las empresas a partir de BYOD 2 2 Retos de seguridad para

Más detalles

Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita

Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita Presentación ofrece protección de alto rendimiento contra el tiempo fuera de

Más detalles

ESET Endpoint Security 6 ESET Endpoint Antivirus 6 para Windows

ESET Endpoint Security 6 ESET Endpoint Antivirus 6 para Windows ESET Endpoint Security 6 ESET Endpoint Antivirus 6 para Windows Detalles de los productos ESET Endpoint Security 6 protege los dispositivos corporativos ante las amenazas más actuales. Busca actividad

Más detalles

Pack Antivirus McAfee

Pack Antivirus McAfee Manual de Usuario Detalle de toda la suite del para configurar y usar el producto con facilidad. Índice Consola 1 1. Descripción del panel de Control 2 2. Protección Antispyware y Antivirus 3 2.1 Análisis

Más detalles

INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE NÚMERO: P001-2013-GSTI ADQUISICION DE SOFTWARE DE SOLUCION DE ANTIVIRUS

INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE NÚMERO: P001-2013-GSTI ADQUISICION DE SOFTWARE DE SOLUCION DE ANTIVIRUS Página 1 de 10 INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE NÚMERO: P001-2013-GSTI ADQUISICION DE SOFTWARE DE SOLUCION DE ANTIVIRUS Página 2 de 10 1. NOMBRE DEL ÁREA: Gerencia de Sistemas y Tecnologías

Más detalles

BOLETÍN DE ALERTA. Figura 1: Ejemplo de comentario con enlace a una noticia falsa

BOLETÍN DE ALERTA. Figura 1: Ejemplo de comentario con enlace a una noticia falsa BOLETÍN DE ALERTA Boletín Nro. : 2016-02 Fecha de publicación : 08/01/2016 Tema : Distribución de malware para Android a través de comentarios falsos Descripción : Hace un tiempo se ha observado un importante

Más detalles