shuabang botnet
DESCRIPTION
Talk delivered by Chema Alonso in CyberCamp ES 2014 about Shuabang Botnet discoverd by Eleven Paths. http://www.slideshare.net/elevenpaths/shuabang-with-new-techniques-in-google-playTRANSCRIPT
![Page 1: Shuabang Botnet](https://reader034.vdocuments.site/reader034/viewer/2022052508/559c1a7a1a28ab2c598b47c6/html5/thumbnails/1.jpg)
Ataque Presente,Defensa ContinuaShuabang Botnet:
Botnet en Google Playpara hacer Black ASO
Chema Alonso
(@chemaalonso)
Eleven Paths
www.elevenpaths.com
![Page 2: Shuabang Botnet](https://reader034.vdocuments.site/reader034/viewer/2022052508/559c1a7a1a28ab2c598b47c6/html5/thumbnails/2.jpg)
Malware en smartphones
• Android• Permisos {user interactions}• Google Play• Markets Third-party• Rooted
• iPhone• Code-Signing• App Store• Jailbreak
• Cydia
• 3p-markets
![Page 3: Shuabang Botnet](https://reader034.vdocuments.site/reader034/viewer/2022052508/559c1a7a1a28ab2c598b47c6/html5/thumbnails/3.jpg)
iOS: WireLurker & Masque
![Page 4: Shuabang Botnet](https://reader034.vdocuments.site/reader034/viewer/2022052508/559c1a7a1a28ab2c598b47c6/html5/thumbnails/4.jpg)
Shuaban Botnet en Google Play• Más de 300 apps creadas para infectar dispositivos
• 100 maliciosas {resto en actualizacones}• Cada 10 mins conectan al C&C
• 12.500 cuentas creadas de Google Play• No todas asociadas aún• Cada cuenta asociada a entre 10 – 30 Android
• Cuenta original permanece a salvo
• Realiza acciones de:• Click-Fraud• BlackASO
• Creación de usuarios• Comentarios• Asociación de apps• Descarga de apps simuladas
![Page 5: Shuabang Botnet](https://reader034.vdocuments.site/reader034/viewer/2022052508/559c1a7a1a28ab2c598b47c6/html5/thumbnails/5.jpg)
Black ASO {App Store Optimization}
• Black App Store Optimization• Posicionamiento de Apps en Markets
• Spam
• Descargas
• Valoraciones
• Objetivo:• Construir infraestructura automatizada
• Venta de infraestructura a terceros
• Extender la botnet
![Page 6: Shuabang Botnet](https://reader034.vdocuments.site/reader034/viewer/2022052508/559c1a7a1a28ab2c598b47c6/html5/thumbnails/6.jpg)
ShuaBang en Google Play
![Page 7: Shuabang Botnet](https://reader034.vdocuments.site/reader034/viewer/2022052508/559c1a7a1a28ab2c598b47c6/html5/thumbnails/7.jpg)
Usuario parea un dispositivo: OpenID Connect
![Page 8: Shuabang Botnet](https://reader034.vdocuments.site/reader034/viewer/2022052508/559c1a7a1a28ab2c598b47c6/html5/thumbnails/8.jpg)
Usuarios robados
![Page 9: Shuabang Botnet](https://reader034.vdocuments.site/reader034/viewer/2022052508/559c1a7a1a28ab2c598b47c6/html5/thumbnails/9.jpg)
Usuarios creadosautomáticamente
![Page 10: Shuabang Botnet](https://reader034.vdocuments.site/reader034/viewer/2022052508/559c1a7a1a28ab2c598b47c6/html5/thumbnails/10.jpg)
Pareo de cuentas en dispositivos
• Usuario Google se autentica con OpenIDConnect.
• Recibe Token de autenticación
• Se derivan tokens de acceso a servicios
![Page 11: Shuabang Botnet](https://reader034.vdocuments.site/reader034/viewer/2022052508/559c1a7a1a28ab2c598b47c6/html5/thumbnails/11.jpg)
Apps hacen tareas
• Crear la cuenta desde el mismo dispositivo.
• Utilizar una cuenta de Google ya existente y
presentarse en el mismo dispositivo con el
que se quiere asociar.
![Page 12: Shuabang Botnet](https://reader034.vdocuments.site/reader034/viewer/2022052508/559c1a7a1a28ab2c598b47c6/html5/thumbnails/12.jpg)
Pareo de cuentas a dispositivos
![Page 13: Shuabang Botnet](https://reader034.vdocuments.site/reader034/viewer/2022052508/559c1a7a1a28ab2c598b47c6/html5/thumbnails/13.jpg)
Cuentas para Shuabang enGoogle Play• Asociar un identificador del dispositivo a la
cuenta.
• El dispositivo Android aparecerá como dispositivo asociado a la cuenta en el panel de configuración de Google Play.• Actualmente es posible conseguir, de forma masiva, el registro y la asociación con dispositivos programáticamente, realizando las llamadas a los servidores de Google y proporcionándole la información necesaria.
![Page 14: Shuabang Botnet](https://reader034.vdocuments.site/reader034/viewer/2022052508/559c1a7a1a28ab2c598b47c6/html5/thumbnails/14.jpg)
Shuaban Botnet
• Fundamentalmente, lo que ha conseguido es que sus víctimas realicen dos acciones:
• Asociar cuentas a dispositivos de forma automática y así conseguir tokens.
• Utilizar esos tokens de forma distribuida para simular descargas.
• Esto lo hace distribuyendo aplicaciones malware a través del propio Google Play
![Page 15: Shuabang Botnet](https://reader034.vdocuments.site/reader034/viewer/2022052508/559c1a7a1a28ab2c598b47c6/html5/thumbnails/15.jpg)
Shuaban Botnet: Dispositivos de una cuenta
![Page 16: Shuabang Botnet](https://reader034.vdocuments.site/reader034/viewer/2022052508/559c1a7a1a28ab2c598b47c6/html5/thumbnails/16.jpg)
Esquemabotnet
1- El atacante recupera un token de seguridad que vincula una cuenta de usuario (fake) con un dispositivo concreto y lo envía al malware instalado en el dispositivo.
2 -Desde el malware se realiza el checkin en Google Play usando este token
4 - Si el token es válido, el atacante proporciona un nombre de usuario y una password al malware.
5 - Desde el malware instalado en el dispositivo se envían las credenciales y se hace el upload de la configuración del dispositivo.
6 - Si las credenciales son correctas, Google Play devuelve un nuevo tokende seguridad como respuesta.
8 - Con este nuevo token, el malware es capaz de ejecutar en backgrounddiferentes tareas que le envíe el atacante
![Page 17: Shuabang Botnet](https://reader034.vdocuments.site/reader034/viewer/2022052508/559c1a7a1a28ab2c598b47c6/html5/thumbnails/17.jpg)
Cuentas para Shuabang sobre Google Play• Esta botnet es un sofisticado
sistema por el que un atacante es capaz de, a través del malware con mínimos privilegios, asociar a dispositivos reales cuentas creadas por el propio atacante.
• Dispone así de un conjunto de cuentas falsas asociadas a teléfonos "reales" y por tanto, válidas de cara a los servicios de Google, lo que les permitirá cometer diferentes tipos de fraude. En concreto la descarga artificial o valoración fraudulenta de apps.
![Page 18: Shuabang Botnet](https://reader034.vdocuments.site/reader034/viewer/2022052508/559c1a7a1a28ab2c598b47c6/html5/thumbnails/18.jpg)
No necesario muchosprivilegios
![Page 19: Shuabang Botnet](https://reader034.vdocuments.site/reader034/viewer/2022052508/559c1a7a1a28ab2c598b47c6/html5/thumbnails/19.jpg)
ShuaBang Botnet:Tokens y víctimas
• Con este esquema de asociación de cuenta y dispositivo real, el atacante se ha podido hacer con una base de datos de 60.000 tokens.
• El ataque se ha centrado en víctimas de Brasil, India y Rusia, aunque está preparado para añadir cualquier país.
![Page 20: Shuabang Botnet](https://reader034.vdocuments.site/reader034/viewer/2022052508/559c1a7a1a28ab2c598b47c6/html5/thumbnails/20.jpg)
ShuaBang Botnet:Asociación de Apps
![Page 21: Shuabang Botnet](https://reader034.vdocuments.site/reader034/viewer/2022052508/559c1a7a1a28ab2c598b47c6/html5/thumbnails/21.jpg)
Shuaban Botnet: Control Panel
![Page 22: Shuabang Botnet](https://reader034.vdocuments.site/reader034/viewer/2022052508/559c1a7a1a28ab2c598b47c6/html5/thumbnails/22.jpg)
Shuaban Botnet: Control Panel
![Page 23: Shuabang Botnet](https://reader034.vdocuments.site/reader034/viewer/2022052508/559c1a7a1a28ab2c598b47c6/html5/thumbnails/23.jpg)
Shuaban Botnet: Facts
- Obtención de 12.567 cuentas de Google
- Entendimiento del sistema de registro de dispositivos
- No documentación oficial
- Poca info en Internet
- Automatizar los procesos
- 100 apps maliciosas en Google Play
- Permisos aparentemente inocuos.
- Ha conseguido gestionar un sistema de tareas
- Gestionar fraude por clic de forma inteligente
- Aprovechar recursos sin tocar cuenta original
- Plataforma en desarrollo
![Page 24: Shuabang Botnet](https://reader034.vdocuments.site/reader034/viewer/2022052508/559c1a7a1a28ab2c598b47c6/html5/thumbnails/24.jpg)
Codename “Path 5”
• ElevenPaths ha podido determinar cómo, desde cuándo y con qué métodos se ha cometido el fraude, además de establecer enlaces entre el atacante y otros grupos de atacantes y recopilar evidencias incriminatorias.
• Basadas en estas correlaciones, ElevenPaths ha podido encontrar cuentas de desarrolladores de Google Play que posiblemente pertenecen al mismo grupo de atacantes.
• Todo esto ha sido posible gracias a Path5, un producto desarrollado por ElevenPaths que permite realizar una detección temprana, investigación y correlación de cualquier tipo de información relativa a aplicaciones de Android, entre otras funcionalidades.
![Page 25: Shuabang Botnet](https://reader034.vdocuments.site/reader034/viewer/2022052508/559c1a7a1a28ab2c598b47c6/html5/thumbnails/25.jpg)
Codename “Path 5”
“Path 5” Big Data
![Page 26: Shuabang Botnet](https://reader034.vdocuments.site/reader034/viewer/2022052508/559c1a7a1a28ab2c598b47c6/html5/thumbnails/26.jpg)
Codename “Path 5”: Demo “yujinhui”
![Page 27: Shuabang Botnet](https://reader034.vdocuments.site/reader034/viewer/2022052508/559c1a7a1a28ab2c598b47c6/html5/thumbnails/27.jpg)
ShuaBang Botnet: Análisis
• Empezamos a ver cosas en común: • El desarrollador siempre usa correos:
• @yeah.net
• @163.com
• Crea certificados diferentes
• Además parece chino
• La app juega con los permisos
• Todo se puede ver con Path5…. Y además podemos hacer una búsqueda compleja….
• developerEmail:*yeah.net* OR developerEmail:*163.com* AND gmtInfo:8 AND permissionName:*ACCOUNTS*
![Page 28: Shuabang Botnet](https://reader034.vdocuments.site/reader034/viewer/2022052508/559c1a7a1a28ab2c598b47c6/html5/thumbnails/28.jpg)
ShuaBang Botnet: Análisis• Referencias a sitios de puntuación de apps en
Chin
• Mismo domino se puede encontrar un adwaremuy agresivo -http://f.apkshare.com/funphoto.apk
![Page 29: Shuabang Botnet](https://reader034.vdocuments.site/reader034/viewer/2022052508/559c1a7a1a28ab2c598b47c6/html5/thumbnails/29.jpg)
ShuaBang Botnet: Análisis
• Para ir más allá de la enumeración de aplicaciones nos planteamos como objetivo identificar al desarrollador.
• Suponemos:
• Único desarrollador
• Único grupo
• Analizando su código, encontramos…..
![Page 30: Shuabang Botnet](https://reader034.vdocuments.site/reader034/viewer/2022052508/559c1a7a1a28ab2c598b47c6/html5/thumbnails/30.jpg)
ShuaBang Botnet: Análisis
![Page 31: Shuabang Botnet](https://reader034.vdocuments.site/reader034/viewer/2022052508/559c1a7a1a28ab2c598b47c6/html5/thumbnails/31.jpg)
ShuaBangBotnet:Análisis
• A partir del certificado es posible hacerse una idea de la posible procedencia del desarrollador.
![Page 32: Shuabang Botnet](https://reader034.vdocuments.site/reader034/viewer/2022052508/559c1a7a1a28ab2c598b47c6/html5/thumbnails/32.jpg)
ShuaBang Botnet: Análisis • Si acudimos al campo de la web del
desarrollador podremos extraer el dominio vinculado con el desarrollador.
• A partir de este dominio con una simple consulta a whois podríamos hacernos una idea de datos de la vida real del desarrollador de estas aplicaciones.
![Page 33: Shuabang Botnet](https://reader034.vdocuments.site/reader034/viewer/2022052508/559c1a7a1a28ab2c598b47c6/html5/thumbnails/33.jpg)
Codename “Path 5”
• Big Data Apps• Archivado
• Indexado
• Metadatos
• Entorno
• Markets• Mobile Devices
• Smart TVs
• WebApps
• Plataforma de análisis
![Page 34: Shuabang Botnet](https://reader034.vdocuments.site/reader034/viewer/2022052508/559c1a7a1a28ab2c598b47c6/html5/thumbnails/34.jpg)
¿Preguntas?
• Chema Alonso
• @chemaalonso
• https://www.elevenpaths.com
• http://www.slideshare.net/elevenpaths/shuabang-con-nuevas-tcnicas-en-google-play