Рositive hack days v. Противодействие платёжному фроду на сети...
TRANSCRIPT
Есть ли вирусы для Android?
NOPE NOPE NOPE NOPE
Противодействие платёжному фроду на сети оператора связи
Денис Горчаков (Альфа-Банк), ex-МТСНиколай Гончаров, МТС
История вопроса
PHDays III: Мошенничествов SMS-банкинге
ZeroNights 2014:Противодействие ВПО для мобильных устройств на сети оператора.Android Honeypot в антифроде
РусКрипто 2015:Расследование инцидентов, связанных с мобильными бот-сетями и вредоносным ПО
AntiFraud Russia-2014:Актуальные угрозы фрода в отношении абонентов сотовых сетей связи. Выявление мобильных бот-сетей
Обстановка
Android занимает около 80% рынка. Крупнейшие антивирусные лаборатории
относят Россию к числу лидеров по распространённости и направленности Android-вирусов.
Схожая статистика по банковским вирусам, в том числе мобильным.
Android Security Report 2015: уровень распространения вредоносного ПО в России в 3-4 раза выше среднего.
IOS и WinPhone
Существует всего несколько примером вредоносов. Растущая популярность IOS и WinPhone заставляет
злоумышленников обращать на них внимание.
До недавнего времени считалось, что на WinPhone можно установить приложение только из легального приложения, но был обнаружен способ установки приложений в обход магазина.
Существует несколько прототипов зловредов, которые умеют похищать данные из телефонной книги, фотографии, читать SMS пользователя и красть прочую приватную информацию из смартфона.
Глобальных случаев распространения и заражения WinPhone пока не было, но возможно всё ещё впереди.
Обстановка с WinPhone:
IOS и WinPhone
Троян AppBuyer (IOS с джейлбрейком) Крадет логин и пароль от Apple ID и передает их на сервер
злоумышленника, после чего тот может совершать покупки в App Store с чужого аккаунта.
Приложение AdThief (IOS с джейлбрейком) Распространялось из альтернативного(пиратского) магазина
приложений. Работает практически незаметно — вред этой утилиты направлен на
разработчиков приложений, использующих рекламу для монетизации. Wirelurker(IOS без джейлбрейка) Атакует iOS-устройства при подключении к компьютеру Mac по USB.Masque Attack(IOS без джейлбрейка) Абонент получает сообщение со ссылкой на зараженное приложение и
игру (которой нет в App Store). Вирус заменяет собой какое-либо стороннее приложение, но
пользователь ничего не замечает — оно выглядит и функционирует точно так же, как настоящее.
Обстановка с IOS:
Способы монетизации
Со счёта абонента: контент-услуги и сервисы мобильных платежей.
С привязанных к номеру сервисов: услуги ДБО (SMS, USSD), платёжные системы.
Блокировщики: crypto / PIN. Нецелевое использование
устройств: спам-рассылки, DDoS, прокси для мошеннической деятельности, SEO.
Бот-сети
Прежняя методика “hit`n`run” всё реже. Большинство вирусов – полноценные
клиенты ботнетов: статистика, наборы команд, удалённое управление (head & headless).
Для противодействия мошенническим схемам можно использовать адаптацию отработанных технологий противодействия компьютерным ботнетам к мобильным угрозам.
Угрозы
Похищение персональных и конфиденциальных данных. Фишинг. Рассылка спама. Анонимный доступ в Сеть. Кибершантаж и осуществление DDoS-атаки. Получение сведений о местоположении конкретного человека. Похищение денег, в том числе используя мобильную
коммерцию и контент-услуги
~50 тыс. новых жертв ежемесячно в одном регионе.
~ 3,5 млн. рублей – денежные потери в месяц от действия бот-сетей направленных на абонентов по одному региону.
Каналы управления
HTTP(S): C&C центры управления, регулярное обращение. Dynamic / Fast Flux.
SMS: приём команд с заданных номеров или по заданному шаблону.
Google Cloud Messaging / push: получение команд через сервисы Google. Удобно в случае отказа каналов HTTP и SMS.
Собираемые данные Домены и IP: С&C центры управления,
адреса распространения ВПО. Сведения о формате и составе
передаваемых данных на C&C. MSISDN (тел. номера) – центры управления,
коллекторы данных, аккумуляторы денежных средств.
Идентификаторы подписок и получателей для контент-услуг и платёжных сервисов.
Антиотладочные приёмы Контроль IMEI, IMSI для исключения
вызывающей подозрение тарификации и фильтрации/блокировки устройств.
Геолокация (GPS, Wi-Fi, сотовая сеть). Исключение по SSID, Cell ID, району.
Вариация задержек и сумм для обхода правил мониторинга. Суточная задержка после заражения.
Обфускация: ProGuard.
Антиотладочные приёмы Администратор устройства:
блокировка, стирание, использование особенностей интерфейса.
ROOT: проверка наличия и попытка использования. root-exploit’ы для недорогих устройств MediaTek.
Подгрузка вредоносного APK после установки «безобидного» загрузчика.
Антиотладочные приёмы Проверка наличия подключённых
сервисов и услуг не только по истории SMS, но и через отправку тестовых сообщений на короткие номера оператора, банков, платёжных систем.
Блокировка абонентских вызовов на справочные номера: нельзя оперативно пожаловаться в службу поддержки, заблокировать свой счёт, карту.
Забавные факты
HTTP stat (IMEI, IMSI, баланс)1. Plaintext: domain/gate.php?imei=<>&imsi=<>&bal=<>2. BASE64: domain/gate.php?data=YW55IGNhcm5hbCB…3. BASE64 с модифицированным алфавитом
Защита от антивирусаclass kavfucker
{ … (“GetDeviceAdmi” + ”n”)
}
Виртуализация? Отладка?
Вдобавок… Экспертный анализ кода и разбор поведения в эмуляторе
не обеспечивают полноты собираемых данных. Существует немало утилит и библиотек для отладки
Android-приложений, однако большинство из них носит любительский характер и забрасывается авторами. Велика сложность доработки и стоимость разработки силами ИБ-подразделения.
Основная цель – сбор данных. Нас не интересует взлом и реверс-инжиниринг вредоносного ПО.
Используются доступные ресурсы оператора связи – SIM-карты, смартфоны, сотовая сеть. Снижается стоимость разработки комплекса и увеличивается акцент на аналитическую работу.
Архитектура
Стенд мобильных устройств
Server WEB-интерфейс
анализатор
АналитикInternet
Дополнительные источники информации
Отчет
Мобильный анализатор
Android Phone
Приложения
VK
Opera
Bot
WWW
Server
БД
Анализатор
Работа анализатора
Botnet monitoring
Botnet monitoring
Trojan-SMS.Podec
* - Подробное описание вредоноса: http://securelist.ru/analysis/obzor/25249/sms-troyanec-obxodit-captcha/
Trojan-SMS.Podec
Trojan-SMS.Podec
Trojan-SMS.Podec
Подключённые услуги
Схема интеграции
Защитные меры
Скачатьантивирусноеприложение
Типичная схема
CERT
Оператор А
Оператор B
Оператор C
Оператор D
Server
БД
ASMONIA: http://asmonia.de/deliverables/D4.3_Methods_for_Collaborative_Detection_and_Analysis.pdf
Спасибо за внимание!
Thank you for your attention!
Гончаров Николай[email protected]
Горчаков Денис[email protected]