Troyanos Bancarios en Android

Transcripción

1 Troyanos Bancarios en Android De espías de SMS a Botnets Móviles Carlos A. Castillo L. Mobile Malware Researcher

2 Agenda Introducción Zitmo/Spitmo: The Big Picture Zitmo Funcionamiento General Diferencias Nuevas Características Spitmo FakeToken Evolución de Troyanos Bancarios en Android Conclusiones 2

3 Troyanos Bancarios en Android Qué son? Componentes para móviles de familias de troyanos bancarios para PC. Aplicación maliciosa que roba dos factores de autenticación. Su objetivo? Obtener segundo factor de autenticación (SMS). Realizar fraude electrónico utilizando los dos factores. Familias Zitmo / Zeus-in-the-mobile (PC-Movil) Spitmo / Spyeye-in-the-mobile (PC-Movil) FakeToken (solo móvil) Metodología de ataque Infectar PC e inyectar web falsa Sugerir instalación de aplicación de seguridad Interceptar segundo factor y enviarlo a servidor remoto 3

4 Zitmo/Spitmo The Big Picture 7. Instala el malware 11. Envía segunda clave e identificador 8. Ingresa identificador 10. Realiza transacción 9. Envía identificador 1. Ejecuta archivo adjunto 3. Accede al Banco 6. Sugiere software de seguridad falso 2. Infecta Pc con Zeus o Spyeye 4 4. Intercepta primera clave 5. Envía primera clave

5 Zitmo Variantes Variantes: Package diferentes aunque relacionados con seguridad informática Antivirus systemsecurity security.service Comparten la clase SmsReceiver 5

6 Zitmo Certificado Digital Variante 1 El emisor del certificado puede ser cualquiera En este caso es una reconocida compañía anti-fraude electrónico Muestra descubierta a comienzos de Julio 6

7 Zitmo - Android Manifest Variante 1 App puede leer SMS recibidos, acceder a Internet e identificar el dispositivo (IMEI) Intercepta el SMS antes de que lo reciba el sistema y, por tanto, el usuario. Proceso MainService en ejecución continua sin interfaz grafica. 7

8 Zitmo 1 - Funcionamiento General Puntos de Entrada Activation: Interfaz mostrando falso token (IMEI) SmsReceiver: Intercepta SMS y lo pasa al Service Servicio: Envía SMS e IMEI, encapsulado en un objeto JSON, a servidor remoto: URL de servidor remoto en texto plano en el archivo DEX: 8

9 Zitmo 2 Diferencias MainActivity: Pretende ser un Antivirus enfocado a usuarios españoles Manifest: Requiere de demasiados permisos (credibilidad para ser un AV) NEW_OUTGOING_CALL o BOOT_COMPLETED = Schedule KavService SmsReceiver: Además del IMEI, ahora envía el IMSI y el numero de teléfono. Bloqueo de SMS (abortbroadcast). Almacenamiento de SMS enviado en DB. Utiliza URLEncoder para no enviar los datos en texto plano. Versión de prueba encontrada con servidor remoto localhost ( ) 9

10 Zitmo 2 Nuevas características KavService: Ejecución de si mismo a través de alarmas del sistema (AlarmManager). Envía SMS robados o último SMS recibido + identificadores. SMS interceptados almacenados en BD SQLite: URL ofuscada: Habilidad de desactivar el malware: 10

11 Zitmo 2 Protección del código Dex2Jar + Java Decompiler: Java Decompiler alternativo: Desactivación remota del malware (UninstallSoftware) 11

12 Zitmo 3 - Diferencias Pretende ser un generador de certificados digitales: Manifest: Presencia del permiso SEND_SMS. No tiene permiso de INTERNET. Malware activado con los intent USER_PRESENT, ACTION_SHUTDOWN o HOME. SmsReceiver: Muestra el token falso (interfaz grafica) Procesamiento de comandos vía SMS si el origen es el AdminNumber. Nuevos Receivers: ActionReceiver (BOOT o USER_PRESENT): Muestra el token falso. RebootReceiver (REBOOT o ACTION_SHUTDOWN): hideicon. 12

13 Zitmo 3 Nuevas Características SMS enviados a numero hardcoded : Ejecución remota de comandos vía SMS: Solicitudes: Respuestas: Esconde dinámicamente el icono de la aplicación: 2 = COMPONENT_ENABLED_STATED_DISABLED 1 = DONT_KILL_APP 13

14 Spitmo - Manifest Permisos: Puntos de entrada: No Activity (Interfaz gráfica)????? 14

15 Spitmo Funcionamiento General No interfaz grafica o icono, solo un Toast : Token mostrado predefinido Activado llamando a un numero predefinido (325000) 15

16 Spitmo Texto Claro 16

17 Spitmo Envío vía SMS o HTTP Configuración: settings.xml Tels: Números de origen a interceptar Send: 1 = HTTP 2 = HTTP y luego SMS Cualquier otro = Solo SMS Teléfono = versión de prueba? http: Receptores de mtans Configuración no actualizable 17

18 FakeToken Robo de los dos factores de autenticación: 18

19 FakeToken Configuración Actualizable Archivo de configuración: Filtrado de mensajes robados Dos métodos de envío: HTTP y SMS Configuración (listas, servidores y numero de teléfono) actualizable remotamente 19

20 FakeToken Nuevos Comandos Remotos Envío de la lista de contactos: Mecanismo de actualización (APK): Descarga el APK: Engaña al usuario para instalar el APK: 20

21 Evolución de Troyanos Bancarios Julio 2011 Septiembre 2011 Agosto 2012 Agosto 2011 Marzo 2012 Característica Zitmo1 Zitmo 2 Spitmo Fake Token Zitmo 3 Envío de todos los mensajes X X X Token enviado vía SMS X X X Ataque solo en móvil X URL codificada X Protección de código X Remotamente Desactivable X X Archivo de Configuración X X Remotamente Configurable X Interfaz Grafica X X X X Ocultación X X Roba Lista de Contactos Remotamente Actualizable 21 X X

22 Conclusiones Popularidad (Android) = Malware Beneficio económico del malware en Android: Presente: Mensajes de texto a número premium Futuro: Troyanos Bancarios Troyanos Bancarios para Android en constante evolución: Inicio: Ataque conjunto PC Móvil Actual: Captura de ambos factores de autenticación desde el móvil y ejecución remota de comandos. Futuro: Drive-by-Download? Web Inject? Protección de dispositivos móviles se logra desde varios frentes: Usuario (phishing) Autenticación (varios factores) Protección contra código malicioso 22

23 23

24