Есть ли вирусы для Android?

NOPE NOPE NOPE NOPE

Противодействие платёжному фроду на сети оператора связи

Денис Горчаков (Альфа-Банк), ex-МТСНиколай Гончаров, МТС

История вопроса

PHDays III: Мошенничествов SMS-банкинге

ZeroNights 2014:Противодействие ВПО для мобильных устройств на сети оператора.Android Honeypot в антифроде

РусКрипто 2015:Расследование инцидентов, связанных с мобильными бот-сетями и вредоносным ПО

AntiFraud Russia-2014:Актуальные угрозы фрода в отношении абонентов сотовых сетей связи. Выявление мобильных бот-сетей

Обстановка

Android занимает около 80% рынка. Крупнейшие антивирусные лаборатории

относят Россию к числу лидеров по распространённости и направленности Android-вирусов.

Схожая статистика по банковским вирусам, в том числе мобильным.

Android Security Report 2015: уровень распространения вредоносного ПО в России в 3-4 раза выше среднего.

IOS и WinPhone

Существует всего несколько примером вредоносов. Растущая популярность IOS и WinPhone заставляет

злоумышленников обращать на них внимание.

До недавнего времени считалось, что на WinPhone можно установить приложение только из легального приложения, но был обнаружен способ установки приложений в обход магазина.

Существует несколько прототипов зловредов, которые умеют похищать данные из телефонной книги, фотографии, читать SMS пользователя и красть прочую приватную информацию из смартфона.

Глобальных случаев распространения и заражения WinPhone пока не было, но возможно всё ещё впереди.

Обстановка с WinPhone:

IOS и WinPhone

Троян AppBuyer (IOS с джейлбрейком) Крадет логин и пароль от Apple ID и передает их на сервер

злоумышленника, после чего тот может совершать покупки в App Store с чужого аккаунта.

Приложение AdThief (IOS с джейлбрейком) Распространялось из альтернативного(пиратского) магазина

приложений. Работает практически незаметно — вред этой утилиты направлен на

разработчиков приложений, использующих рекламу для монетизации. Wirelurker(IOS без джейлбрейка) Атакует iOS-устройства при подключении к компьютеру Mac по USB.Masque Attack(IOS без джейлбрейка) Абонент получает сообщение со ссылкой на зараженное приложение и

игру (которой нет в App Store). Вирус заменяет собой какое-либо стороннее приложение, но

пользователь ничего не замечает — оно выглядит и функционирует точно так же, как настоящее.

Обстановка с IOS:

Способы монетизации

Со счёта абонента: контент-услуги и сервисы мобильных платежей.

С привязанных к номеру сервисов: услуги ДБО (SMS, USSD), платёжные системы.

Блокировщики: crypto / PIN. Нецелевое использование

устройств: спам-рассылки, DDoS, прокси для мошеннической деятельности, SEO.

Бот-сети

Прежняя методика “hit`n`run” всё реже. Большинство вирусов – полноценные

клиенты ботнетов: статистика, наборы команд, удалённое управление (head & headless).

Для противодействия мошенническим схемам можно использовать адаптацию отработанных технологий противодействия компьютерным ботнетам к мобильным угрозам.

Угрозы

Похищение персональных и конфиденциальных данных. Фишинг. Рассылка спама. Анонимный доступ в Сеть. Кибершантаж и осуществление DDoS-атаки. Получение сведений о местоположении конкретного человека. Похищение денег, в том числе используя мобильную

коммерцию и контент-услуги

~50 тыс. новых жертв ежемесячно в одном регионе.

~ 3,5 млн. рублей – денежные потери в месяц от действия бот-сетей направленных на абонентов по одному региону.

Каналы управления

HTTP(S): C&C центры управления, регулярное обращение. Dynamic / Fast Flux.

SMS: приём команд с заданных номеров или по заданному шаблону.

Google Cloud Messaging / push: получение команд через сервисы Google. Удобно в случае отказа каналов HTTP и SMS.

Собираемые данные Домены и IP: С&C центры управления,

адреса распространения ВПО. Сведения о формате и составе

передаваемых данных на C&C. MSISDN (тел. номера) – центры управления,

коллекторы данных, аккумуляторы денежных средств.

Идентификаторы подписок и получателей для контент-услуг и платёжных сервисов.

Антиотладочные приёмы Контроль IMEI, IMSI для исключения

вызывающей подозрение тарификации и фильтрации/блокировки устройств.

Геолокация (GPS, Wi-Fi, сотовая сеть). Исключение по SSID, Cell ID, району.

Вариация задержек и сумм для обхода правил мониторинга. Суточная задержка после заражения.

Обфускация: ProGuard.

Антиотладочные приёмы Администратор устройства:

блокировка, стирание, использование особенностей интерфейса.

ROOT: проверка наличия и попытка использования. root-exploit’ы для недорогих устройств MediaTek.

Подгрузка вредоносного APK после установки «безобидного» загрузчика.

Антиотладочные приёмы Проверка наличия подключённых

сервисов и услуг не только по истории SMS, но и через отправку тестовых сообщений на короткие номера оператора, банков, платёжных систем.

Блокировка абонентских вызовов на справочные номера: нельзя оперативно пожаловаться в службу поддержки, заблокировать свой счёт, карту.

Забавные факты

HTTP stat (IMEI, IMSI, баланс)1. Plaintext: domain/gate.php?imei=<>&imsi=<>&bal=<>2. BASE64: domain/gate.php?data=YW55IGNhcm5hbCB…3. BASE64 с модифицированным алфавитом

Защита от антивирусаclass kavfucker

{ … (“GetDeviceAdmi” + ”n”)

}

Виртуализация? Отладка?

Вдобавок… Экспертный анализ кода и разбор поведения в эмуляторе

не обеспечивают полноты собираемых данных. Существует немало утилит и библиотек для отладки

Android-приложений, однако большинство из них носит любительский характер и забрасывается авторами. Велика сложность доработки и стоимость разработки силами ИБ-подразделения.

Основная цель – сбор данных. Нас не интересует взлом и реверс-инжиниринг вредоносного ПО.

Используются доступные ресурсы оператора связи – SIM-карты, смартфоны, сотовая сеть. Снижается стоимость разработки комплекса и увеличивается акцент на аналитическую работу.

Архитектура

 

   

   

Стенд мобильных устройств

 

 

 

Server WEB-интерфейс

анализатор

АналитикInternet

Дополнительные источники информации

Отчет

Мобильный анализатор

Android Phone

Приложения

VK

Opera

Bot

WWW

 

Server

БД

Анализатор

Работа анализатора

Botnet monitoring

Botnet monitoring

Trojan-SMS.Podec

* - Подробное описание вредоноса: http://securelist.ru/analysis/obzor/25249/sms-troyanec-obxodit-captcha/

Trojan-SMS.Podec

Trojan-SMS.Podec

Trojan-SMS.Podec

Подключённые услуги

Схема интеграции

Защитные меры

Скачатьантивирусноеприложение

Типичная схема

CERT

Оператор А

Оператор B

Оператор C

Оператор D

Server

БД

ASMONIA: http://asmonia.de/deliverables/D4.3_Methods_for_Collaborative_Detection_and_Analysis.pdf

Спасибо за внимание!

Thank you for your attention!

Гончаров Николайnogoncha@mts.ru

Горчаков Денисdgorchakov@alfabank.ru