Ataque Presente,Defensa ContinuaShuabang Botnet:

Botnet en Google Playpara hacer Black ASO

Chema Alonso

(@chemaalonso)

Eleven Paths

www.elevenpaths.com

Malware en smartphones

• Android• Permisos {user interactions}• Google Play• Markets Third-party• Rooted

• iPhone• Code-Signing• App Store• Jailbreak

• Cydia

• 3p-markets

iOS: WireLurker & Masque

Shuaban Botnet en Google Play• Más de 300 apps creadas para infectar dispositivos

• 100 maliciosas {resto en actualizacones}• Cada 10 mins conectan al C&C

• 12.500 cuentas creadas de Google Play• No todas asociadas aún• Cada cuenta asociada a entre 10 – 30 Android

• Cuenta original permanece a salvo

• Realiza acciones de:• Click-Fraud• BlackASO

• Creación de usuarios• Comentarios• Asociación de apps• Descarga de apps simuladas

Black ASO {App Store Optimization}

• Black App Store Optimization• Posicionamiento de Apps en Markets

• Spam

• Descargas

• Valoraciones

• Objetivo:• Construir infraestructura automatizada

• Venta de infraestructura a terceros

• Extender la botnet

ShuaBang en Google Play

Usuario parea un dispositivo: OpenID Connect

Usuarios robados

Usuarios creadosautomáticamente

Pareo de cuentas en dispositivos

• Usuario Google se autentica con OpenIDConnect.

• Recibe Token de autenticación

• Se derivan tokens de acceso a servicios

Apps hacen tareas

• Crear la cuenta desde el mismo dispositivo.

• Utilizar una cuenta de Google ya existente y

presentarse en el mismo dispositivo con el

que se quiere asociar.

Pareo de cuentas a dispositivos

Cuentas para Shuabang enGoogle Play• Asociar un identificador del dispositivo a la

cuenta.

• El dispositivo Android aparecerá como dispositivo asociado a la cuenta en el panel de configuración de Google Play.• Actualmente es posible conseguir, de forma masiva, el registro y la asociación con dispositivos programáticamente, realizando las llamadas a los servidores de Google y proporcionándole la información necesaria.

Shuaban Botnet

• Fundamentalmente, lo que ha conseguido es que sus víctimas realicen dos acciones:

• Asociar cuentas a dispositivos de forma automática y así conseguir tokens.

• Utilizar esos tokens de forma distribuida para simular descargas.

• Esto lo hace distribuyendo aplicaciones malware a través del propio Google Play

Shuaban Botnet: Dispositivos de una cuenta

Esquemabotnet

1- El atacante recupera un token de seguridad que vincula una cuenta de usuario (fake) con un dispositivo concreto y lo envía al malware instalado en el dispositivo.

2 -Desde el malware se realiza el checkin en Google Play usando este token

4 - Si el token es válido, el atacante proporciona un nombre de usuario y una password al malware.

5 - Desde el malware instalado en el dispositivo se envían las credenciales y se hace el upload de la configuración del dispositivo.

6 - Si las credenciales son correctas, Google Play devuelve un nuevo tokende seguridad como respuesta.

8 - Con este nuevo token, el malware es capaz de ejecutar en backgrounddiferentes tareas que le envíe el atacante

Cuentas para Shuabang sobre Google Play• Esta botnet es un sofisticado

sistema por el que un atacante es capaz de, a través del malware con mínimos privilegios, asociar a dispositivos reales cuentas creadas por el propio atacante.

• Dispone así de un conjunto de cuentas falsas asociadas a teléfonos "reales" y por tanto, válidas de cara a los servicios de Google, lo que les permitirá cometer diferentes tipos de fraude. En concreto la descarga artificial o valoración fraudulenta de apps.

No necesario muchosprivilegios

ShuaBang Botnet:Tokens y víctimas

• Con este esquema de asociación de cuenta y dispositivo real, el atacante se ha podido hacer con una base de datos de 60.000 tokens.

• El ataque se ha centrado en víctimas de Brasil, India y Rusia, aunque está preparado para añadir cualquier país.

ShuaBang Botnet:Asociación de Apps

Shuaban Botnet: Control Panel

Shuaban Botnet: Control Panel

Shuaban Botnet: Facts

- Obtención de 12.567 cuentas de Google

- Entendimiento del sistema de registro de dispositivos

- No documentación oficial

- Poca info en Internet

- Automatizar los procesos

- 100 apps maliciosas en Google Play

- Permisos aparentemente inocuos.

- Ha conseguido gestionar un sistema de tareas

- Gestionar fraude por clic de forma inteligente

- Aprovechar recursos sin tocar cuenta original

- Plataforma en desarrollo

Codename “Path 5”

• ElevenPaths ha podido determinar cómo, desde cuándo y con qué métodos se ha cometido el fraude, además de establecer enlaces entre el atacante y otros grupos de atacantes y recopilar evidencias incriminatorias.

• Basadas en estas correlaciones, ElevenPaths ha podido encontrar cuentas de desarrolladores de Google Play que posiblemente pertenecen al mismo grupo de atacantes.

• Todo esto ha sido posible gracias a Path5, un producto desarrollado por ElevenPaths que permite realizar una detección temprana, investigación y correlación de cualquier tipo de información relativa a aplicaciones de Android, entre otras funcionalidades.

Codename “Path 5”

“Path 5” Big Data

Codename “Path 5”: Demo “yujinhui”

ShuaBang Botnet: Análisis

• Empezamos a ver cosas en común: • El desarrollador siempre usa correos:

• @yeah.net

• @163.com

• Crea certificados diferentes

• Además parece chino

• La app juega con los permisos

• Todo se puede ver con Path5…. Y además podemos hacer una búsqueda compleja….

• developerEmail:*yeah.net* OR developerEmail:*163.com* AND gmtInfo:8 AND permissionName:*ACCOUNTS*

ShuaBang Botnet: Análisis• Referencias a sitios de puntuación de apps en

Chin

• Mismo domino se puede encontrar un adwaremuy agresivo -http://f.apkshare.com/funphoto.apk

ShuaBang Botnet: Análisis

• Para ir más allá de la enumeración de aplicaciones nos planteamos como objetivo identificar al desarrollador.

• Suponemos:

• Único desarrollador

• Único grupo

• Analizando su código, encontramos…..

ShuaBang Botnet: Análisis

ShuaBangBotnet:Análisis

• A partir del certificado es posible hacerse una idea de la posible procedencia del desarrollador.

ShuaBang Botnet: Análisis • Si acudimos al campo de la web del

desarrollador podremos extraer el dominio vinculado con el desarrollador.

• A partir de este dominio con una simple consulta a whois podríamos hacernos una idea de datos de la vida real del desarrollador de estas aplicaciones.

Codename “Path 5”

• Big Data Apps• Archivado

• Indexado

• Metadatos

• Entorno

• Markets• Mobile Devices

• Smart TVs

• WebApps

• Plataforma de análisis

¿Preguntas?

• Chema Alonso

• @chemaalonso

• https://www.elevenpaths.com

• http://www.slideshare.net/elevenpaths/shuabang-con-nuevas-tcnicas-en-google-play