documento proyecto de grado -...
Post on 29-Oct-2019
6 Views
Preview:
TRANSCRIPT
ANALISIS FORENSE AL SISTEMA ANDROID AFECTADO POR EL MALWARE FAKELOOKOUT Y SU SOLUCION
Proyecto de grado presentado por:
Jorge Morelo Madariaga Daniel Betancur lopez
Asesorado por: Manuel Humberto Santander Pelaez
Ante la Universidad UNIVERSIDAD DE SAN BUENAVENTURA
Medellín
Como requisito para Optar al titulo de:
ESPECIALISTA EN SEGURIDAD INFORMATICA
TABLA DE CONTENIDOS
INTRODUCCION ........................................................................................................................................ 1
1. INFORMACION GENERAL DEL PROYECTO ........................................................................ 2
1.1. TÍTULO: ....................................................................................................................................... 2
1.2. INTEGRANTES: ........................................................................................................................ 2
1.3. TIPO DE INVESTIGACIÓN: .................................................................................................. 2
1.4. TIPO DE PROYECTO: ............................................................................................................ 3
2. DESCRIPCION DEL PROBLEMA ............................................................................................... 4
3. JUSTIFICACION. .............................................................................................................................. 5
4. OBJETIVOS ........................................................................................................................................ 8
4.1. OBJETIVO GENERAL ............................................................................................................ 8
4.2. OBJETIVOS ESPECÍFICOS. ................................................................................................ 8
5. MARCO TEORICO ............................................................................................................................ 9
5.1. ANALISIS FORENSE .............................................................................................................. 9
5.2. SISTEMA OPERATIVO ANDROID ................................................................................... 12
6. METODOLOGIA DE TRABAJO. ................................................................................................ 17
7. IDENTIFICACION ............................................................................................................................ 19
8. ADQUISICION DE EVIDENCIA .................................................................................................. 21
9. ANALISIS ........................................................................................................................................... 24
9.1. ANALISIS DEL MALWARE ................................................................................................ 24
9.2. ANALISIS DE CAPTURAS DE TRAFICO. ..................................................................... 28
9.3. ANALISIS DEL SISTEMA DE ARCHIVOS ..................................................................... 30
10. SOLUCION .................................................................................................................................... 38
REFERENCIAS ........................................................................................................................................ 42
1
INTRODUCCION
En la actualidad se esta presentado un gran crecimiento de los dispositivos con
sisitemas operativos Android, por lo que se hace indispensable el estudio al detalle
de sistemas como este, con el fin de poder garantizar la seguridad de los mismos
y de toda la informacion que se encuentra dentro de estos, que en algunos casos
es de tipo empresarial, que si llegan a las manos equivocadas, convierten a las
organizaciones en fragiles y a la vez en blancos de la delincuencia cibernetica.
Por medio de este proyecto, queremos analizar un malware en especifico que roba
información de los dispositivos con sistema operativo Android; pero a su vez
queremos que este trabajo, se convierta en base para otro tipo de investigaciones
de otros malwares que no solo ataquen sistemas Android, sino una gran variedad
de sistemas operativos que ofrece el mercado para dispositivos moviles.
2
1. INFORMACION GENERAL DEL PROYECTO
1.1. TÍTULO:
Analisis forense al sistema Android afectado por el malware fakelookout y su
solucion.
1.2. INTEGRANTES:
Jorge Morelo Madariaga.
Cédula: 77178639 de Aguachica - Cesar
Programa Académico: Especializacion en segurdiad informatica.
Teléfono: (5) 7820692
E-mail mmorelo1@gmail.com
Daniel Betancur López
Cédula: 71262747 de Medellín.
Programa Académico: Especializacion en segurdiad informatica.
Teléfono: (4) 3381166.
E-mail: danielbetancurl@gmail.com
1.3. TIPO DE INVESTIGACIÓN:
Exploratoria X Predictiva
Descriptiva Aplicada
Comparativa Interactiva
Analítica X Confirmatoria
Explicativa X Evaluativo
3
1.4. TIPO DE PROYECTO:
Investigación en Ciencia
básica
Investigación aplicada X
Desarrollo tecnológico
4
2. DESCRIPCION DEL PROBLEMA
En la actualidad existen un gran número de Software que proporcionan seguridad
en cuanto a virus, malware, gusanos, troyanos y una gran cantidad de ataques
que pueden recibir los dispositivos móviles, que en nuestro caso será cualquier
dispositivo que tenga el sistema operativo Android. Pero nos concentraremos
especialmente en el estudio detallado de como actúa en malware fakelookout y
que partes del sistema ataca en específico, pudiendo llegar a un detalle de cómo
opera y que tipo de información se pudiese fugar del equipo por el alojamiento de
dicho software malicioso dentro del sistema operativo, mirando a donde se va toda
esa información y de qué manera lo hace.
El sistema Android en la actualidad es víctima de una gran número de ataques
que llegan de todas partes en la red, desde adentro de la misma plataforma por
medio del Play store, que es la tienda de aplicaciones de Android, hasta sitios web
que son visitadas por los usuarios del sistema a diario y muchas veces sin la
intención del descargar ningún software malicioso a sus equipos, simplemente son
víctimas de dichas páginas, y es oportuno, empezar a ubicar todos estos sitios
web, que para nuestro caso lo haremos con malware que es motivo de estudio.
5
3. JUSTIFICACION.
En la actualidad el mundo y sus avances a llevado al hombre a depender un poco
mas de la tecnologia, presentado una gran cantidad de dispositivos que pueden
facilitar a las personas el contacto con el resto del mundo, y por eso centramos
nuestra atencion en la gran cantidad de aparatos que ofrecen cumunicacion
efectiva como lo son los dispositivos moviles, dentro del gran auge de estos
dispositivos, podemos afirmar que el sistema operativo Android, es uno de los que
mas mercado a ganado en los ultimos años, por la gran catidad de dispositivos
que lo portan y las funcionalidades que estos ofrecen, como se puede observar en
la grafica1, los dispositivos con Android son los lideres del mercado, según
estadisticas tomadas desde Enero de 2012 a Enero de 2013 [1].
grafica1. Estadisticas de los sistemas operativos en los dispositivos Android.
6
Debido al gran crecimiento del sistema operativo Android, se da un fenomeno
proporcional a este crecimiento, que es el de crecimiento exponencial de ataques
a dicho sistema, en la actualidad hay un gran numero de malwares que atacan y
roban informacion a estos dispositivos como se puede apreciar en la grafica2, de
igual manera que el crecimiento del sistema Android, crece los ataques al mismo y
todos los esfuerzos de los atacantes se concentraron en este sistema operativo.
[2]
grafica2. Estadistica de creacion de malwares para sistemas moviles.
Dentro de la gran cantidad de malwares que se encuentran para el sistema
operativo Android, nos vamos a centrar en uno llamado Fakelookout el cual sera
nuestro de caso de estudio, el cual es un gusano que se encarga del robo de
informacion sensible del dispositivo como SMS, MMS, videos, archivos, y los
transmite a un servidor FTP remoto. Es por esto que pretendemos hacer un
analisis forense a fondo a dicho gusano con el fin de verificar dentro de los
sitemas de archivos cuales son sus afectaciones y donde se aloja con el fin de
crear una prevencion no solo para este malware sino para todo tipo de malwares
7
que atacan a Andoid, ademas de poder verificar cuales el comportamiento de otro
tipo de gusanos que roben informacion y poder asegurar dichos dispositivos con el
fin de evitar este tipo de ataques.
El analisis forense se a convertido en pieza fundamental de muchas
investigaciones de ataques que provienen de muchas partes y de muchas
maneras, ya que por medio de esta ciencia se puede estudiar al detalle todos los
topicos de un sistema operativo y poder llegar asi al punto exacto de donde se
origina el ataque, hacia adonde se va la informacion y cual es fin especifico del
ataque, y de esta manera contraarrestar todos los ataques no solo a Android sino
a diferentes sistemas operativos y buscar la mejor metodologia para asegurar la
informacion personal y de las organizacones.
8
4. OBJETIVOS
4.1. OBJETIVO GENERAL Realizar un analisis forense al detalle con el fin de llegar al detalle de la afectacion
del gusano Fakeloout y poder mirar como actua, con el fin de poder encontrar una
solucion a dicha afectacion
4.2. OBJETIVOS ESPECÍFICOS.
Verificar los sistmas de archivos de Android con el fin de poder hacer
comparaciones entro un sistema infectado y uno que no ha sido afectado y poder
mirar al detalle cuales son las afectaciones.
Encontrar la mejor metodologia para realizar un analisis forense al sistema
operativo Android y a los dipositivos donde corre este.
Analizar el funcionamiento del sistema operativo Android para poder verificar
cuales son sus vulnerabilidades y evitar todo tipo de ataques a dicho sistema.
9
5. MARCO TEORICO
5.1. ANALISIS FORENSE
Por medio del análisis forense, se pretende encontrar y averiguar todo lo ocurrido
dentro de un sistema al momento de un ataque y verificar que activos de
información fueron modificados durante dicha intrusión, además de quien lo
realizo, con qué fin ingreso o tenía la intención de ingresar, hasta adonde llego y
con que permisos, además de muchas preguntas que pueden surgir en el
momento de un análisis completo de un sistema, y aunque no podríamos afirmar
que existe alguna metodología concreta para realizar dichos análisis si hay
direccionamientos que nos indican cual es la mejor manera de hacerla según las
mejores practicas[3]
Grafica 3. Fases para realizar un análisis forense. El primer paso que debemos seguir es
a. Evaluar: se procede a evaluar todas el ambiente donde se realizara el
análisis, con el fin de poder garantizar que este sea propicio para la
adquisición de evidencia, donde se pueda mantener de principio a fin toda
10
la cadena de custodia tanto de los activos de información física o
electrónica y de los activos físicos donde esta resguardada dicha
información.
b. Adquirir: Se recopila toda la información que servirá de evidencia en el caso
y se procede a almacenar y archivar dicha información, procurando siempre
trabajar en la investigación dentro de copias garantizadas por medio de
hash y no dentro de los originales.
c. Analizar: Se analiza toda la información recopilada y se establece que
alcances se obtuvo dentro el sistema, con el fin de descubrir la afectación
que sufrió en general y buscar garantizar que esto no vuelva a suceder en
el futuro.
d. Informe: se debe realizar un informe detallado de todo lo encontrado en el
análisis, describiendo paso a paso todo el proceso desde que se inició
hasta que se terminó, mostrando los resultados de todo el proceso y los
alcances que se tuvo dentro del mismo.
Existen en la actualidad una gran cantidad de herramientas que permiten hacer
análisis forense a un sinfín de dispositivos o análisis completos a equipos móviles,
de escritorio, portátiles, servidores, etc. Algunos de ellos son [4]:
Herramientas de Cómputo Forense
• Sleuth Kit (Forensics Kit)
• Py-Flag (Forensics Browser)
• Autopsy (Forensics Browser for Sleuth Kit)
• Dumpzilla (Forensics Browser: Firefox, Iceweasel and Seamonkey)
• dcfldd (DD ImagingToolcommand line tool and alsoworkswith AIR)
• foremost (Data Carvercommand line tool)
• Air (ForensicsImaging GUI)
11
• md5deep (MD5 HashingProgram)
• netcat (Command Line)
• cryptcat (Command Line)
• NTFS-Tools
• Hetman software (Recuperador de datos borrados por los criminales)
• qtparted (GUI PartitioningTool)
• regviewer (Windows Registry)
• Viewer
• X-WaysWinTrace
• X-WaysWinHex
• X-WaysForensics
• R-Studio Emergency (BootableRecovery media Maker)
• R-Studio Network Edtion
• R-Studio RS Agent
• Net resident
• Faces
• Encase
• Snort
• Helix
Herramientas para el análisis de discos duros
• AccessDataForensicToolKit (FTK)
• Guidance Software EnCase
Herramientas para el análisis de correos electrónicos
• Paraben
• AccessDataForensicToolKit (FTK)
Herramientas para el análisis de dispositivos móviles
• AccessData Mobile PhoneExaminer Plus (MPE+)
12
Herramientas para el análisis de redes
• E-Detective - DecisionComputerGroup
• SilentRunner - AccessData
Herramientas para filtrar y monitorear el tráfico de una red tanto interna como a internet
• USBDeview
• SilentRunner–AccessData
Además de todas estas herramientas que facilitan mucho el trabajo, es necesario
tener los conocimientos necesarios que garanticen que se hará de la manera más
profesional, con el fin de lograr que los resultados sean exactos y acordes a la
realidad de la situación y no se hayan hecho modificaciones a la información que
sean imposibles de rastrear o determinar, siguiendo unos estrictos controles a la
cadena de custodia de los originales donde está la información, además de que
esta sea preservada y analizada de la manera correcta.
5.2. SISTEMA OPERATIVO ANDROID
Android es un sistema operativo que tiene como base Linux, el cual es
implementado especialmente en teléfonos inteligentes, tabletas y algunos
computadores portátiles y de escritorio, y tiene una cuota muy alta de ventas
dentro del mercado de sistemas móviles.
El sistema Android, está basado en aplicaciones que se pueden conseguir a
través de la tienda oficial Play store, de donde se pueden descargar mas de
700.000 aplicaciones, de las cuales más de la mitad son gratuitas, pero no está
libre de virus y Malwares que se pueden descargar desde la tienda o desde sitios
de terceros. En la actualidad, por su gran apogeo y éxito en ventas, se ha
convertido en uno de los sistemas más atacados por Hackers o personas que
13
desean obtener algún tipo de información que la gente guarda en estos
dispositivos.
Algunas de las características que tiene el sistema operativo en su versión más
resiente son: [5]
Almacenamiento SQLite, una base de datos liviana, que es usada para propósitos de almacenamiento de datos.
Conectividad Android soporta las siguientes tecnologías de conectividad: GSM/EDGE, IDEN, CDMA, EV-DO, UMTS, Bluetooth, Wi-Fi, LTE, HSDPA, HSPA+ y WiMAX.
Mensajería
SMS y MMS son formas de mensajería, incluyendo mensajería de texto y ahora la Android Cloud toDeviceMessaging Framework (C2DM) es parte del servicio de PushMessaging de Android. Toda esta mensajería es almacenada dentro de la partición de data
Navegador web
El navegador web incluido en Android está basado en el motor de renderizado de código abierto WebKit, emparejado con el motor JavaScript V8 de Google Chrome. El navegador por defecto de Ice CreamSandwich obtiene una puntuación de 100/100 en el test Acid3.
Soporte de Java
Aunque la mayoría de las aplicaciones están escritas en Java, no hay una máquina virtual Java en la plataforma. El bytecode Java no es ejecutado, sino que primero se compila en un ejecutable Dalvik y corre en la Máquina Virtual Dalvik. Dalvik es una máquina virtual especializada, diseñada específicamente para Android y optimizada para dipositivos móviles que funcionan con batería y que tienen memoria y procesador limitados. El soporte para J2ME puede ser agregado mediante aplicaciones de terceros como el J2ME MIDP Runner.
14
Soporte para hardware adicional
Android soporta cámaras de fotos, de vídeo, pantallas táctiles, GPS, acelerómetros, giroscopios, magnetómetros, sensores de proximidad y de presión, sensores de luz, gamepad, termómetro, aceleración por GPU 2D y 3D. Toda la información recopilada a partir de estos dispositivos adicionales, es guardada dentro de la partición de data, que puede ser accesada por el malware y ser robada.
Entorno de desarrollo
Incluye un emulador de dispositivos, herramientas para depuración de memoria y análisis del rendimiento del software. El entorno de desarrollo integrado es Eclipse (actualmente 3.4, 3.5 o 3.6) usando el plugin de Herramientas de Desarrollo de Android.
Google Play
Google Play es un catálogo de aplicaciones gratuitas o de pago en el que pueden ser descargadas e instaladas en dispositivos Android sin la necesidad de un PC. Dentro de este catálogo se pueden descargar varios malwares, ya que no existe algún filtro para publicar aplicaciones allí.
Bluetooth
El soporte para A2DF y AVRCP fue agregado en la versión 1.5; el envío de archivos (OPP) y la exploración del directorio telefónico fueron agregados en la versión 2.0; y el marcado por voz junto con el envío de contactos entre teléfonos lo fueron en la versión 2.2. Por medio de este dispositivo se puede sacar mucha información del equipo y de hecho, existen algunos malwares diseñados para trabajar por medio de bluetooth.
Multitarea
Multitarea real de aplicaciones está disponible, es decir, las aplicaciones que no estén ejecutándose en primer plano reciben ciclos de reloj, a diferencia de otros sistemas de la competencia en la que la multitarea es congelada (Como por ejemplo IOS, en el que la multitarea se limita a servicios internos del sistema y no a aplicaciones externas), esto permite que las aplicaciones que contienen malwares, se
15
puedan estar ejecutando en un según plano, y poder pasar desapercibidas mientras se ejecutan otras aplicaciones dentro del dispositivo al mismo tiempo.
Tethering
Android soporta tethering, que permite al teléfono ser usado como un punto de acceso alámbrico o inalámbrico (todos los teléfonos desde la versión 2.2, no oficial en teléfonos con versión 1.6 o inferiores mediante aplicaciones disponibles en Google Play (por ejemplo PdaNet). Para permitir a un PC usar la conexión de datos del móvil android se podría requerir la instalación de software adicional
Desde que salió al mercado Android, ha tenido varias versiones que reciben el
nombre de postres con el consecutivo del abecedario, las cuales son:
- 1.0 Apple pie (torta de manzana)
- 1.1 Banana Bread ( pan de banano )
- 1.5 Cupcake ( mini torta )
- 1.6 Donut ( Dona )
- 2.0 y 2.1 Eclair ( Pastel Francés )
- 2.2 Froyo ( Helado de Yogurt )
- 2.3 Gingerbread ( Pan de Jengibre )
- 3.0, 3.1 y 3.2 HoneyComb ( panal de miel )
- 4.0 Ice CreamSandwich ( Sanduche de helado )
- 4.1 y 4.2 Jelly bean ( frijol dulce )
- 5.0 Key Lime pie ( torta de limón )
Android, en la actualidad es un sistema operativo abierto, por lo que se puede
acceder a su código fuente y lista de incidencias, donde se pueden apreciar los
errores no resueltos y reportar posibles fallas del sistema, aunque esto no significa
que se puede instalar en un dispositivo móvil, ya que los drivers de cada
16
dispositivo son propiedad del fabricante y normalmente no son libres por lo que
faltaría algo muy importante para permitir el funcionamiento pleno del mismo.
17
6. METODOLOGIA DE TRABAJO. En la actualidad el Instituto Nacional de Standards y Tecnología (NIST), publica
guías que nos podrían guiar de manera precisa y hace algunas recomendaciones,
con el fin de estandarizar los procedimientos y metodologías para realizar, en este
caso, análisis forense a teléfonos celulares, en su publicación 800-101, y dentro
de este documento se muestra un modelo procedimental que a continuación
mostraremos:
• Asegurar y evaluar la escena
• Documentar la escena
• Recolección de evidencia
• Empaquetamiento, transporte y almacenamiento
Y proponen los siguientes pasos para realizar el análisis forense:
• Identificación
• Preparación
• Estrategia de aproximación
• Preservación
• Recolección
• Examinar
• Análisis
• Presentación
• Regresar la evidencia
Para nuestro caso en específico, usaremos algunas de estas recomendaciones
para realizar el análisis del malware que se usó para infectar el dispositivo que se
utilizó como caso de estudio y a partir de cada uno de estos puntos, llegaremos a
un conclusión de como actuó el software malicioso adentro del equipo. Los puntos
que usaremos son los siguientes:
18
• Identificar: el primer paso que realizaremos es identificar los escenarios y
los equipos, ademas del sistema operativo y el malware que usaremos
como laboratorio para la afectación del equipo, teniendo en cuenta los
diferentes dispositivos a los que podría infectar y con cual se trabajara al
final.
• Adquirir. Una vez identificados todos los escenarios, se procede a sacar
imágenes del dispositivo sin el malware y con el malware, se debe recoger
toda la información que contenga el dispositivo y sacar todos los hash, con
el fin de garantizar que la información sobre la cual se va a trabajar sea fiel
copia de la original.
• Analizar: Después de tener toda la información completa de los dispositivos,
se procede a analizartoda la información y encontrar evidencias al detalle
entre los 2 archivos, el que está infectado y el que está libre de malware,
con el fin de llegar a conclusiones sobre aspectos básicos y complejos de la
afectación dentro del dispositivo y como opera este adentro y fuera del
mismo aparato.
• Solución: Luego de llegar a conclusiones dentro de todos los hallazgos del
equipo infectado, se buscara una o varias maneras de poder dar solución
oportuna y efectiva de manera preventiva y correctiva a dicho malware u
otros que actúen de la misma manera.
19
7. IDENTIFICACION Se procede a ubicar y descargar una muestra del malware FakeLookout.apk
desde la pagina http://contagiominidump.blogspot.com.es/, la cual nos servirá para
infectar el dispositivo con el cual trabajaremos y posteriormente analizaremos,
esta página es reconocida por la recopilación de diferentes muestras de malware
de Android para uso de investigadores e interesados puedan analizarlas, no se
pretende por medio de esta página, hacer la propagación de las mismas, ya que el
único fin que tiene es académico y poder crear investigación a través de las
mismas como lo es en este caso.
Una vez recopilada la muestra, procedemos a realizar la instalación de la misma
en el dispositivo que usaremos para el caso que es un equipo Samsung Galaxy Y
PRO, con la versión de Android 2.3 Gingerbread
Grafica 4. Dispositivo utilizado en las pruebas
Para la instalación del software malicioso dentro del equipo es usada una
aplicación llamada ADB ( AndroidDebugging Bridge ), la cual es una herramienta
que viene con el SDK ( Software Development Kit ) de Android que permite
acceder y controlar todo el dispositivo móvil desde un computador u otros
dispositivos que estén habilitados para hacerlo.
20
A continuación se puede apreciar la imagen donde se observa el proceso de
instalación del software malicioso dentro del dispositivo
Grafica 5. Proceso instalación en dispositivo móvil.
Luego se puede visualizar como quedo instalado el malware dentro del equipo
como una aplicación que gestiona actualizaciones dentro del sistema operativo
Android, que fácilmente la gente podría acceder.
Grafica 6. Malware instalado
21
8. ADQUISICION DE EVIDENCIA
Luego de haber realizado todo el proceso de instalación del Malware dentro del
dispositivo, obtendremos la mayor cantidad de evidencias que sea posible recoger
con el fin de poder hacer un análisis detallado de todo el proceso.
Lo primero que haremos es capturar un poco de trafico generado por el equipo
con la infección, con el fin deidentificar el tipo de tráfico que se está generando
con el malware y hacia donde lo estaba dirigiendo, para dicho propósito, se utilizó
la herramienta Wireshark, la cual es una herramienta que permite examinar todo el
tráfico que pasa en una red viva o en un archivo de captura .cap, a continuación
podemos apreciar cual fue el esquema implementado para realizar dicha captura.
Grafico 7. Esquema de captura
Una vez adquirida dicha información que resulta muy útil para verificar cual es el
destino y el proceso que hace a través de la red la información robada,
procedemos a realizar unas imágenes, que representan copias fidedignas del
sistema de archivos de la maquina, con el fin de analizar todos los cambios
realizados al interior de los mismos, y estos lo haremos a través de la herramienta
antes mencionada ADB, que nos servirá para conectarnos por medio del puerto
USB de los dispositivos y usaremos el comando dd. A continuación se puede
apreciar una figura del proceso de toma de imágenes.
22
Grafico 8. Toma de imágenes.
Como se puede ver, se encuentran 3 particiones fundamentales dentro del disco
del dispositivo, donde se aloja la información vital que nos servirá para el caso de
estudio, las cuales son:
- System: Esta es la partición del sistema que contiene todo el sistema
operativo, exceptuando el Kernel y el bootloader, que incluye toda la interfaz de
usuario y las aplicaciones preinstaladas en el equipo, por lo que podríamos decir
que formatear esta partición borraría por completo el sistema operativo.
- Data: Esta partición guarda casi toda la información del usuario del sistema
operativo, además de las modificaciones hechas por los mismos, como parte de la
información guardada por los usuario podríamos ver:
• Todas las aplicaciones y los Widgets instalados.
23
• Los contactos y la información adicional de los mismos.
• Información de llamadas.
• Mensajes planos e interactivos.
• E-mails.
• Favoritos del navegador web
• Equipos bluetooth guardados.
• Puntos Wifi
• Fondos de pantalla
• Calendarios
• Asociaciones a cuentas como: google, Facebook, twiteer. Etc.
- Cache: En esta partición se guardan todos los datos que el usuario accede
con frecuencia, con la finalidad de que puedan ser accedidos con mayor facilidad y
la carga de los mismos sea ágil cuando se solicita, y esto hace que las
aplicaciones que son más usadas funcionen más rápido que las que no lo son. La
limpieza de esta partición no afecta en lo absoluto la funcionalidad del sistema
operativo, simplemente pierde su característica de rapidez en el momento de
cargar, pero a medido que usemos el equipo, esta partición se llenara de nuevo.
24
9. ANALISIS
El primer paso que realizaremos dentro del análisis de la información, es la de
verificar que la muestra que tomamos del software malicioso, sea realmente lo que
necesitamos, es por esto que acudimos a la página www.virustotal.com, en donde
se detecta la muestra como maliciosa. Y luego revisaremos las capturas hechas y
verificadas mediante el software Wireshark. A continuación verificaremos los
resultados de los análisis.
9.1. ANALISIS DEL MALWARE
Para empezar podemos apreciar alguna información inicial del malware, como su
tamaño y su nombre dentro de Android
File size: 419.7 KB ( 429800 bytes )
File name: FakeLookout_com.updateszxt.apk
File type: Android
Tags: Apk Android
El siguiente es el análisis de riesgos que trae la instalación del software malicioso:
- El archivo estudiado hace uso de API ( Interfaz de aplicaciones de
programa): dicho software hace uso de las bibliotecas, funciones y procedimientos
de otros software que se encuentra dentro del dispositivo.
- El archivo estudiado hace uso de funciones criptográficas: estas funciones
pueden servir para enviar los archivos encriptados hacia afuera del equipo.
- Permisos que permiten manipular a la aplicación SMS: lo que se permite
por medio de esto, es que la aplicación envíe mensajes de texto desde el equipo.
25
- Permisos que permiten a la aplicación manipular su ubicación: por medio de
esto, se podría saber cuál es la ubicación del equipo desde donde se envía la
información
- Permisos que permiten a la aplicación realizar pagos: de esta manera se
podría manipular los pagos hechos desde el dispositivo hacia diferentes entidades
o la tienda del google.
- Permisos que le permiten a la aplicación, tener acceso a internet: de esta
manera se accede a la web desde donde se hace el robo de toda la información.
- Permisos que le permiten a la aplicación, tener acceso a información
privilegiada: así, es como se accede a la información para sacarla del dispositivo.
Los siguientes son los permisos que se usan por parte de la aplicación para
acceder a los servicios del equipo:
- android.permission.ACCESS_FINE_LOCATION: son los permisos que se
usan para la ubicación por medio de GPS del dispositivo.
- android.permission.SEND_SMS: es el permiso que se usa para enviar
mensajes de texto.
- android.permission.RECEIVE_BOOT_COMPLETED: este permiso permite
a la aplicación arrancar al momento de encender el equipo.
- android.permission.READ_PHONE_STATE: este es el permiso que permite
verificar el estado del teléfono y la identidad.
- android.permission.WRITE_SMS: este permiso permite a la aplicación
escribir mensajes de texto.
- android.permission.ACCESS_NETWORK_STATE: Permite a la
aplicaciones verificar cual es el estado de la red a la cual está conectado.
26
- android.permission.WAKE_LOCK: este permiso evite que el equipo se vaya
a modo hibernación y siga activo.
- android.permission.RECEIVE_SMS: permite que la aplicación reciba
mensajes de texto.
- android.permission.INTERNET: este permiso le da a la aplicación acceso
total a internet.
- android.permission.WRITE_EXTERNAL_STORAGE: le da permiso a la
aplicación de modificar y eliminar información que se encuentre de los dispositivos
de almacenamiento.
- android.permission.GET_ACCOUNTS: permite que la aplicación obtenga
las cuentas que están asociadas a equipo.
- android.permission.READ_SMS: permite que la aplicación lea los mensajes
de texto.
Las siguientes son las gestiones que hace el software maliciosos para obtener
permisos relacionados con las llamadas a los recursos API:
- Leer contactos del dispositivo
- Evitar que entre en modo Hibernación
- Internet
27
Los siguientes son los archivos que aloja la instalación del malware dentro del
dispositivo:
- AndroidManifest.xml: es un archivo binario XML para Android.
- META-INF/CERT.RSA: es un archivo de datos.
- META-INF/CERT.SF: Es un texto ASCII con terminaciones de línea CRLF
(Carrierreturn line Feed)
- META-INF/MANIFEST.MF: Es un texto ASCII con terminaciones de línea
CRLF (Carrierreturn line Feed)
- classes.dex: Archivo que contiene múltiples clases y se ejecuta en la
máquina virtual Dalvik.
- res/drawable/beta_icon.png: Datos de imagen PNG
- res/drawable/icon_v1_1.png: Datos de imagen PNG
- res/drawable/icon_v2_0.png: Datos de imagen PNG
- res/drawable/logo.png: Datos de imagen PNG
- res/drawable/notificacion.png: Datos de imagen PNG
- res/drawable/notificación_gimp.xcf: Datos de imagen de GIMP XCF
- res/drawable/notificación_gimp_2.xcf: Datos de imagen de GIMP XCF
- res/drawable/scanned.png: Datos de imagen PNG
- res/drawable/widget_off.png: Datos de imagen PNG
- res/drawable/widget_on.png: Datos de imagen PNG
- res/layout/server_control_activity.xml: es un archivo binario XML para
Android
- res/layout/widget.xml: es un archivo binario XML para Android
28
- res/layout/widget_provider.xml: es un archivo binario XML para Android
- resources.arsc: archivo de datos.
9.2. ANALISIS DE CAPTURAS DE TRAFICO.
Luego de de verificar el malware dentro del dispositivo, procedemos a verificar las
capturas de trafico realizadas con Wireshark, con el fin mirar hacia donde se va la
información a nivel detallado. A continuación podemos apreciar todas las
solicitudes HTTP que realiza el malware
En esta información recopilada, podemos apreciar que se está accediendo a la
siguiente pagina web: http://thelongislanpress.com/controls.php, donde podríamos
afirmar que está enviando la información robada de los dispositivos a través de la
29
máquina virtual de Android llamada Dalvik, en su versión 1.4.0 y contacta al host
50.63.202.55 en el puerto 80 y recibe una respuesta del servidor con 200 que
significa OK, la cual es una respuesta estándar para peticiones correctas.
Además podemos encontrar algunas advertencias de SNORT y SURICATA:
En estas advertencias podemos apreciar unas alertas que dan aviso de un tráfico
potencialmente malo, un intento por escalar privilegios en el sistema, datos
sensibles son transmitidos por medio de la red, detección de un troyano a través
de la red y la detección de un ataque.
Luego de analizar con Whois la dirección IP a la cual se está haciendo llamados
por medio del software malicioso encontramos que dicha dirección está ubicada
en los Estados Unidos y pertenece a la organización Godaddy.com ubicada en el
30
estado Arizona en la localidad de Scottsdale que comercializa servicios y
alojamiento de páginas Web
OrgName: GoDaddy.com, LLC
OrgId: GODAD
Address: 14455 N Hayden Road
Address: Suite 226
City: Scottsdale
StateProv: AZ
PostalCode: 85260
Country: US
RegDate: 2007-06-01
Updated: 2012-03-15
9.3. ANALISIS DEL SISTEMA DE ARCHIVOS
A continuación se procederá a realizar un análisis completos a los sistema de
archivos que usa el sistema operativo Android, a los cuales se les saco una
imagen que nos pudiera ayudar a realizar dicho análisis, los sistemas de archivos
que se analizaron son los siguientes:
- Efs.img: este es el sistema de archivos que contiene información básica del
dispositivo como Serial, IMEI y MAC.
- Lfs.img: en este sistema de archivos se almacena toda la información de
registros del sistema.
- Cache.img: este sistema de archivos contiene todos los datos volátiles que
se encontraban almacenados en memoria al momento de volcarlos a disco.
- Data.img: contiene todos los datos que se almacenan de manera personal
dentro del dispositivo móvil como las agendas, tareas, llamadas, e información
personal.
31
- System.img: en este sistema de archivos se almacena toda la información
relacionada a la configuración del sistema.
Luego procedemos a sacar cada uno de los hash MD5 de cada uno de los
sistemas de archivos del dispositivo móvil tanto limpio como infectados con el
propósito de verificar si hay modificaciones hechas por el malware dentro de los
sistemas de archivos cuando se pasa de limpio a infectado y de garantizar la
investigación forense de dichos sistemas de archivos.
Grafico 8. MD5 de sistema de archivos
Para nuestro caso en especifico solo procederemos a analizar los cambios hechos
por el software malicioso para el sistema de archivos cache.img, data.img y
efs.img, ya que se puede apreciar que ocurren cambios en el md5 obtenido, y
podríamos afirmar que ocurrieron cambios dentro de ellos, que serán nuestro caso
de estudio, pero para los sistemas de archivos lfs.img y system.img los md5
obtenidos son idénticos en el limpio y el infectado, y de esto deducimos que el
malware instalado no realizo cambio alguno dentro de dichos sistemas de
archivos.
Se realiza el análisis de los sistemas de archivos donde tenemos evidencia que
hubo una modificación como se observo en el cuadro anterior y empezaremos con
el sistema de archivos efs.img donde se guarda la información del dispositivo.
Los siguiente es lo que podemos observar dentro del sistema de archivos.
32
Grafico 9. Sistema de archivos efs.img
Como lo habíamos mencionado dentro den este sistema de archivos solo hay
información que de alguna manera no es relevante para nuestra investigación, por
lo que optaremos por desechar dicha evidencia, ya que esta información es solo
para uso del teléfono y de reconocimiento del mismo, y no representa peligro
alguno al momento de ser extraída del dispositivo móvil.
33
Procederemos a realizar en análisis del sistema de archivos cache.img, y lo
primero que haremos es sacar las líneas de tiempo del sistema de archivos con la
infección y sin la infección, para sacar dicha línea de tiempo, usaremos la
herramienta shedulekit, en la gráfica 10, podemos observar la línea de tiempos
limpia y en la grafica 11. La línea de tiempos de la infectada.
Grafico 10. Línea de tiempo cache limpia
Grafico 11. Línea de tiempo cache infectada
34
En dichas graficas se puede evidenciar que no hay rastros del malware y solo hay
eventos del sistema operativo y de las aplicaciones que Android trae por defecto,
por lo que procedemos a buscar un poco más a fondo de evidencias dentro de
este sistema de archivos con grep.
Grafico 12. Búsqueda de evidencia con grep
Dentro de esta búsqueda no se encontró algo que mostrara la existencia del
malware dentro del sistema de archivos que estamos analizando y se realizo la
búsqueda intentando ubicar controls.php, que es a donde realizar la llamada para
comenzar el robo de información y updateszxt.php, que es el nombre del malware
dentro del sistema Android.
Por último, procedemos a realizar el análisis del sistema de archivos data.img.y de
igual manera sacamos la línea de tiempo tanto del sistema de archivos infectado y
limpio y obtuvimos lo siguiente.
Grafico 12. Línea de tiempo Data limpio
35
Grafico 13. Línea de tiempo Data infectado.
Luego procedemos a realizar búsqueda de evidencias de la existencia de la
infección dentro del sistema de archivos con grep y ubicamos los siguiente
Grafico 14. Búsqueda con de evidencia con grep
Aquí ya podemos evidenciar la existencia de evidencia dentro del sistema de
archivos del llamado al sitio web desde donde se realiza el robo de información, y
procedemos a buscar un poco más a fondo y realizamos la búsqueda de igual
manera con grep de updateszxt, que es el nombre que toma el malware dentro del
sistema y obtuvimos lo siguiente:
36
Grafico 15. Búsqueda de evidencia con grep
Grafico 16. Evidencia con FTKimager.
37
Ya pudimos ubicar dentro de esta partición, suficiente evidencia de la ubicación
del malware dentro de Android en el sistema de archivos data.img, que es donde
dicho software malicioso, realiza la mayor parte de los cambios y que podríamos
considerar relevantes para la investigación, aunque no podríamos afirmar que el
malware realice una gran cantidad de cambios, ya que solo hace referencia a los
archivos de instalación y a todos los que hacen referencia a data.img, ya que
dicho malware no está diseñado o su fin no es el de destruir a o hacer algún daño
irremediable a la maquina, lo único que pretende se realizar el robo de información
del dispositivo, enviándolo a un servidor ubicado en los Estados Unidos.
38
10. SOLUCION
Existen varias maneras de poder evitar que el software malicioso diseñado para el
sistema operativo Android, pueda ingresar al dispositivo móvil, y la principal y que
se usa de manera preventiva es la instalación de un programa antivirus, que
aunque no en todas las ocasiones es exitoso, si se convierte en una barrera para
para toda clase de software que no cumpla con unas características mínimas de
seguridad, entre los principales software antivirus que existen para android están:
- AVG: es un antivirus gratuito, que lastimosamente contiene publicidad,
ofrece los siguientes escudos:
• Escáner de malware
• Protección contra robo
• Escudo de navegación web
• Filtro de mensajes Web
• Filtro de mensajes SMS
• Gestor de proceso
- Kaspersky: es una suite gratuita, pero las mejores opciones de protección
son de pago, los escudos que ofrece son:
• Antivirus en la nube
• Antirrobo
• Filtro de llamadas y SMS
• Opciones de privacidad
- NQ: es un antivirus clásico diseñado para dispositivos móviles y sus
funciones son las siguientes:
• Escáner antivirus
• Protección Web
• Supervisión del trafico
39
• Optimización de memoria
• Copias de seguridad
• Localizador de teléfono
• Protección anti-escuchas
- Comodo: es un excelente antivirus gratuito que permite las siguientes
funciones:
• Escáner anti-malware
• Bloqueo de llamadas y SMS
• Espacio de datos privados
• Gestor de procesos
• Gestor de aplicaciones
- Norton: Es un antivirus gratis pero la versión lite solo tiene el 50% de las
funciones, las cuales son:
• Escáner antivirus en la nube
• Bloqueo de llamadas y SMS
• Función contra robos
• Protección Web
- Bit defender: tiene un interfaz muy elegante y se ofrece en versión de
prueba con las siguientes protecciones:
• Escáner de aplicaciones y archivos
• Auditoria de aplicaciones
• Escudo de navegación Web
• Protección antirrobo
• Visor de eventos
- Avast: es una de las suites gratuitas mejores del mercado de antivirus que
ofrece las siguientes características:
• Escáner de aplicaciones y tarjeta SD
40
• Asesor de privacidad
• Administrador de aplicaciones
• Escudo de navegación Web
• Filtro de llamadas y SMS
• Firewall
• Antirrobo
- Lookout: fue uno de los primeros antivirus en aparecer para Android, y es
de excelente calidad al momento de detener malwares, tiene las siguientes
características:
• Escáner antivirus
• Programador de tareas
• Localizador por GPS
• Sistema antirrobo
• Copias de seguridad
• Navegación segura
• Asesor de privacidad
- Mobishield: es uno de los antivirus exclusivos para dispositivos móviles y es
mejor en determinadas funciones que otros antivirus, sus funciones son las
siguientes:
• Escáner antivirus con y sin nube
• Gestor de procesos y aplicaciones
• Copia de seguridad de datos
• Transfiere datos entre móviles Android, Nokia, IOS y
Blackberry
• Funcione antirrobo
• Localizador por GPS
- F-secure: es una alternativa sólida pero no una de las mejores, sus
funciones son:
41
• Antivirus en tiempo real
• Protección de navegación Web
• Antirrobo con bloqueo
• Localizador por GPS
• Contactos seguros
Entre otras de las alternativas para hacer el manejo preventivo al ataque e
malwares a android, está el de solo hacer compras y descargas de aplicaciones a
la tiende de aplicaciones Play Store y no de tiendas alternativas que pueden
ofrecer muchos de las aplicaciones que se cobran dentro del play store, de
manera gratuita, lo cual puede causar una sospecha de descarga maliciosa.
Aunque la tienda de aplicaciones de Android no tiene algún filtro para que un
desarrollador pueda subir aplicaciones, a diferencia de otros sistemas operativos
como el de Apple dentro de su dispositivo IPhone, el cual se demora en dar
respuesta positiva para que un desarrollador pueda subir una aplicación a la
tienda de aplicaciones, se sugiere hacer las descargas desde esta tienda, y de
igual manera se hace una recomendación para instalar un software dentro del
dispositivo móvil que haga la función de supervisor de aplicaciones, que muchos
antivirus ofrecen, y solo instalar aplicaciones que ofrezcan calificación
sobresaliente dentro de Play Store.
Llegado el caso que aplicación se instale dentro del dispositivo, se hacen las
siguientes recomendaciones: se debe desinstalar la aplicación maliciosa del
dispositivo móvil, y borrar la cache que haya generado, de esta manera se podría
afirmar que aplicación ya existe dentro del equipo, y en el peor de los casos y que
tengamos la duda y no se sepa cuál es exactamente la aplicación maliciosa dentro
del dispositivo, se puede proceder a hacer una restauración del todo el equipo a la
configuración entregada por fabrica, y empezar con las recomendaciones hechas
en la primera parte de esta solución.
42
REFERENCIAS
[1] Top 8 mobile operating systems from Jan 2012 to Jan 2013 ,http://gs.statcounter.com/#mobile_os-ww-monthly-201201-201301
[2] Estadisticas de creacion de malwares para sistemas moviles ,http://www.viruslist.com/sp/analysis?pubid=207271195
[3] La informática y análisis forenses, Things Up Security http://www.thingsupsecurity.com/2013/03/la-informatica-o-analisis-forense.html
[4]Ernesto Martínez de Carvajal Hedrich, Informática Forense 44 casos reales, pág. 180 (2012)
[5] Características y especificaciones actuales, http://es.wikipedia.org/wiki/Android
top related