Pasado, Presente y Futuro de los Troyanos Bancarios en Android -...
Transcript of Pasado, Presente y Futuro de los Troyanos Bancarios en Android -...
Pasado, Presente y Futuro de los Troyanos Bancarios en Android
Carlos Andrés Castillo Londoño Intel Security (McAfee)
#WhoAmI
• Ingeniero de Sistemas Javeriano (2009)
• Certified Information Systems Security Professional
• Mobile Researcher en Intel Security (McAfee)
• Twitter: @carlosacastillo
• Blog corporativo: https://blogs.mcafee.com/author/carlos-castillo/
2
Agenda
1. Génesis – Zitmo/Spitmo – FakeToken
2. Evolución – Perkele – Wroba
3. Presente – GM Bot – SpyLocker
4. Conclusiones
3
Génesis: Smartphone Revolution
Fuente: https://en.wikipedia.org/wiki/Mobile_operating_system
4
Android Malware Revolution
Fuente: http://www.mcafee.com/us/resources/reports/rp-quarterly-threat-q4-2012.pdf
5
Android/FakeInstaller
• Pretende ser un instalador de aplicaciones o juegos • Envío de mensajes de texto (SMS) a números Premium • Polimorfismo desde el servidor:
Fuente: http://8dot8.org/2012/deck/8dot8_2012_pres_FR.pdf
6
Inicio de los Troyanos Bancarios en Android
• Componentes para móviles de familias de troyanos bancarios para PC. – Zitmo / Zeus-in-the-mobile (PC-Movil)
– Spitmo / Spyeye-in-the-mobile (PC-Movil)
• Aplicación Bancaria Falsa: – FakeToken
• Objetivos: – Obtener credenciales bancarias (phishing)
– Interceptar segundo factor de autenticación (OTP vía SMS)
7
Zitmo/Spitmo
1. Ejecuta archivo adjunto
2. Infecta Pc con Zeus o Spyeye
3. Accede al Banco
4. Intercepta primera clave
5. Envía primera clave
6. Sugiere software de seguridad falso
7. Instala el malware
11. Envía segunda clave e identificador
8. Ingresa identificador
9. Envía identificador
10. Realiza transacción
Zitmo – Zeus-in-the-mobile
Fuente: http://8dot8.org/2012/deck/8dot8_2012_pres_CCA.pdf
9
Spitmo - Spyeye-in-the-mobile
Fuente: http://8dot8.org/2012/deck/8dot8_2012_pres_CCA.pdf
10
Android/FakeToken
Fuente: http://8dot8.org/2012/deck/8dot8_2012_pres_CCA.pdf
11
Características Primeros Troyanos Bancarios en Android
Fuente: http://8dot8.org/2012/deck/8dot8_2012_pres_CCA.pdf
12
Característica Zitmo1 Zitmo 2 Spitmo Fake Token Zitmo 3
Envío de todos los mensajes X X X
Token enviado vía SMS X X X
Ataque solo en móvil X
URL codificada X
Protección de código X
Remotamente Desactivable X X
Archivo de Configuración X X
Remotamente Configurable X
Interfaz Grafica X X X X
Ocultación X X
Roba Lista de Contactos X
Remotamente Actualizable X
Edad Media: Smartphones del 2012 al 2015
Fuente: http://www.idc.com/prodserv/smartphone-os-market-share.jsp
13
Android Malware 2013 al 2015
Fuente: http://www.mcafee.com/us/resources/reports/rp-quarterly-threats-aug-2015.pdf
14
Android Bot “Perkele” a.k.a FakeSite
• Bot kit vendido en foros underground: – Solo una entidad financiera: $1,000 USD
– “Universal Kit”: $15,000 USD
• Dirigido a 66 entidades financieras en 11 países: – Europa: Francia, Alemania, Italia, España, Suiza
– Asia: India, Singapore, Turquía, Tailandia
– Oceanía: Australia, Nueva Zelanda
• Distribuido vía web-injects (e.g. Zitmo/Spitmo)
• Integrable con cualquier malware bancario
15
Android Bot “Perkele” a.k.a FakeSite
Fuente: https://blogs.mcafee.com/mcafee-labs/android-banking-trojans-target-italy-and-thailand/
16
Android Bot “Perkele” a.k.a FakeSite
Fuente: https://blogs.mcafee.com/mcafee-labs/android-banking-trojans-target-italy-and-thailand/
17
Android/Wroba
• Pretende ser Google Play app • Dirigido a usuarios bancarios en Corea del sur • Reemplaza aplicaciones bancarias con phishing apps:
– Instalación silenciosa (root) – Simulación de actualización (no root)
• Muestra texto para darle mas credibilidad a la nueva app: – Términos y condiciones – App certificada por Yessign (SK Cert)
• Robo de varios factores de autenticación: – Tarjeta de coordenadas – Certificado digital
18
Wroba – Términos y Condiciones
Fuente: https://blogs.mcafee.com/mcafee-labs/phishing-attack-replaces-android-banking-apps-with-malware/
19
Wroba - Robo Tarjeta de Coordenadas
Fuente: https://blogs.mcafee.com/mcafee-labs/phishing-attack-replaces-android-banking-apps-with-malware/
20
Wroba – Robo de Información Adicional
• Nombre • Numero de Seguridad Social • Numero de Teléfono Celular • Nombre de usuario / Contraseña • Numero de cuenta / Contraseña • Numero serial de tarjeta de seguridad
Fuente: https://blogs.mcafee.com/mcafee-labs/phishing-attack-replaces-android-banking-apps-with-malware/
21
Wroba – Actualización Falsa
Fuente: https://blogs.mcafee.com/mcafee-labs/phishing-attack-replaces-android-banking-apps-with-malware/
22
Presente: Smartphones Hoy
Fuente: http://www.gartner.com/newsroom/id/3323017
23
Android Malware Hoy
Fuente: http://www.mcafee.com/us/resources/reports/rp-quarterly-threats-mar-2016.pdf
24
GM Bot
• Descubierto a finales de 2014 en foros underground rusos
• Código fuente filtrado en Diciembre de 2015 – Incluye panel de control y tutorial de instalación
– Comparable en magnitud al filtrado de código fuente de Zeus, SpyEye y Carbep
– Filtrado para mejorar credibilidad en foros underground
• Características de GM Bot: – Superposición de interfaces de phishing
– Interceptación y robo de mensajes de texto (OTP)
– Funcionalidad espía y ejecución remota de comandos Fuente: https://securityintelligence.com/android-malware-about-to-get-worse-gm-bot-source-code-leaked/
25
GM Bot – Phishing Overlay
Fuente: http://www.cert.pl/news/10648/langswitch_lang/en
26
GM Bot - Comandos
• #listen_sms_start y #listen_sms_stop • #intercept_sms_start y #intercept_sms_stop • #forward_calls y #disable_forward_calls • #forwardstart y #forwardstop • #lock y #unlock • #block_numbers, #unblock_numbers y #unblock_all_numbers • #check_gps • #grab_apps • #wipe_data
Fuente: https://securityintelligence.com/android-malware-about-to-get-worse-gm-bot-source-code-leaked/
27
GM Bot – Overlay Personalizable
Fuente: https://securityintelligence.com/android-malware-about-to-get-worse-gm-bot-source-code-leaked/
28
GM Bot en Google Play
Descubierto en Mayo 16, 2016 por Lookout:
Fuente: https://blog.lookout.com/blog/2016/05/16/acecard-banking-trojan/
29
GM Bot en Google Play
• Descarga e instala una variante de GM Bot (Acecard) • Además de bancos, afecta aplicaciones sociales como Skype y Facebook
Fuente: https://blog.lookout.com/blog/2016/05/16/acecard-banking-trojan/
30
Phishing Apps en Google Play
11 aplicaciones en Google Play descubiertas este año
Fuente: https://info.phishlabs.com/blog/fraudster-phishing-users-with-malicious-mobile-apps
31
Phishing Apps en Google Play
Fuente: https://info.phishlabs.com/blog/fraudster-phishing-users-with-malicious-mobile-apps
32
Android/SpyLocker
• Descubierto en diciembre del 2015
• Pretende ser flash player o aplicaciones porno
• Distribución: Blogs hackeados (WordPress, Joomla)
• Superposición de interfaces de phishing (similar a GM Bot)
• Afecta entidades financieras en Australia, Nueva Zelanda, Turquía, Polonia, Francia, Reino Unido y Escocia.
• Bloquea el dispositivo si: – Datos ingresados no son correctos
– Usuario intenta deshabilitar Device Administrator
33
Android/SpyLocker - Distribución
Fuente: https://blogs.mcafee.com/mcafee-labs/android-banking-trojan-spylocker-targets-more-banks-in-europe/
34
Android/SpyLocker - Ejecucion
Fuente: https://blogs.mcafee.com/mcafee-labs/android-banking-trojan-spylocker-targets-more-banks-in-europe/
35
Android/SpyLocker - Bloqueo
Fuente: https://blogs.mcafee.com/mcafee-labs/android-banking-trojan-spylocker-targets-more-banks-in-europe/
36
Android/SpyLocker – Phishing Polonia
Fuente: https://blogs.mcafee.com/mcafee-labs/android-banking-trojan-spylocker-targets-more-banks-in-europe/
37
Android/SpyLocker – Phishing Francia
Fuente: https://blogs.mcafee.com/mcafee-labs/android-banking-trojan-spylocker-targets-more-banks-in-europe/
38
Android/SpyLocker – Phishing UK
Fuente: https://blogs.mcafee.com/mcafee-labs/android-banking-trojan-spylocker-targets-more-banks-in-europe/
39
Android/SpyLocker – Google Phishing
Fuente: https://blogs.mcafee.com/mcafee-labs/android-banking-trojan-spylocker-targets-more-banks-in-europe/
40
Android/SpyLocker – 2FA
Fuente: https://blogs.mcafee.com/mcafee-labs/android-banking-trojan-spylocker-targets-more-banks-in-europe/
41
Conclusiones
• Troyanos Bancarios en constante evolución: – Inicio: Web inject en PC y interceptación de 2FA en SMS – Evolución: Botnet, phishing en el dispositivo y filtrado de código fuente. – Presente y Futuro: Ransomware bancario (phishing + bloqueo)
• Beneficio económico del malware en Android: – Inicio: SMS a números premium – Evolución: Ransomware – Presente y Futuro: Ransomware con phishing bancario
• Protección: – Evitar instalar apps de fuentes no confiables (fuera de Google Play) – Contar con software de seguridad para detectar malware – Educar al usuario contra ataques de phishing – En lo posible mantener el dispositivo actualizado
42
¡Gracias por su atención!
43
44