Противодействие вредоносному ПО для мобильных устройств на сети оператора связиAndroid honeypot в антифроде

Николай Гончаров, Денис Горчаков

Наглая ложь и статистика

По отчетам антивирусных компаний доля вредоносного ПО для ОС Android среди общего числа мобильных вирусов составляет 95%.Абоненты России лидируют по угрозе заражения своих смартфонов.

Более 50% от всех экземпляров мошеннического ПО для мобильных устройств, выявляемых ими в мире, разработано против абонентов российских операторов. На 2013 г. был известен 1321 уникальный банковский вирус, на конец I квартала 2014 г. их стало уже 2503.

После внедрения Advice of Charge (AoC) для всех контентных услуг наблюдается рост монетизации через системы мобильной коммерции, атаки на пользователей платежных систем и SMS-банкинг.Вирусы для мобильных приобретают функции «больших братьев»: WinLocker, CryptoLocker, руткиты, RAT.

2

Что умеют и делают?

Обход стандартных антифрод-правил: вывод денег со счетов абонентов, в том числе на протяжении длительного периода времени небольшими суммами и случайными значениями.Подписки на контент-услуги (см. предложения «конверта» на форумах, монетизация трафика)Реклама в области уведомлений. Накрутка мобильных посещений в браузере. (черное SEO)«Слив» истории звонков, контактов, SMS.Спам по контактам абонента и не только (массовое распространение, обход закона о противодействии SMS-спаму).Работа с SMS без ведома пользователя – в коде парсеры для банков и платежных систем (мобильная коммерция, SMS-банкинг).Имитация легитимных приложений - фишинг (ввод карты при запуске Google Play, «личные кабинеты», клиенты мобильных банков)

Эстетика и фантастика:Удаленное управление мобильным устройством, в том числе включение микрофона, камеры и прослушивание того, что происходит рядом с абонентом. Организация звонкового DDoS.Антиотладка:Приоритет отрисовки интерфейса. Геолокация. Проверка наличия подключенных сервисов.Модули противодействия вирусам (класс kavf#cker :) ). Получение root’а.

3

Виноват Android!111

В отличие от других мобильных ОС, Android легко позволяет производить установку приложений из недоверенных источников. Остается лишь немного социальной инженерии.Злоумышленники имеют возможность распространять сомнительные программы напрямую через Google Play, пользуясь недостатками процесса модерации. Политика в отношении поддержки актуальности прошивок устройств приводит к серьезной фрагментации. Существующие устройства не получают новую версию ОС, в которой устраняются интерфейсные недостатки и уязвимости, используемые вирусами.

4

Наглая ложь и статистика #2. Реальная фрагментация

Только начиная с Android 4.2 доступен “More control of Premium SMS”, выводящий системный диалог подтверждения отправки SMS на короткий номер.

Только начиная с Android 4.4 приложения не могут скрытно отправлять исходящие SMS на любые номера, все отправленные сообщения пишутся в журнал SMS.

Подавляющее большинство аппаратов не получит обновления до следующей версии Android.

5

Сухие цифры и занятные факты

Ежедневно более 80 000 ссылок на вредоносное и мошенническое ПО из различных источников. Неудивительно, с учетом «партнерок», способных автоматически генерировать .apk-файлы. Уникальных ссылок гораздо меньше, но уже достаточно, чтобы не использовать ручной труд.В ИБ нет ресурсов на разработку мощных алгоритмов машинного обучения, зато есть доступ к сети и инструментарию оператора.

Троянская сеть «Reich»Банковский вирус. Даже на раннем этапе распространения попались более 5 500 абонентов, и ~850 из них реально потеряли деньги через нелегитимные операции по их счетам. SIP-троянПосле установки создавал учетную запись в SIPNet за счет средств абонента. Мог использоваться для звонкового DDoS, но почему-то не стал популярен.ФантастикаДетские ошибки в коде, опечатки. Ключ для расшифровки конфигурации хранится в теле вируса. Монетизация через оплату аккаунтов сервера WoW.Мы не антивирусные аналитики, но где динамические hostname?

6

Mobile Security (malware-C&C hostname)

7

Общая схема комплекса

Комплекс предназначен для анализа поведения клиентов бот-сетей, осуществления перехвата пакетов от центров управления, а также для выявления заражённых абонентских станций и оперативного противодействия вредоносному программному обеспечению, используя инфраструктуру оператора сотовой связи. Основным назначением является автоматизация информационно-аналитической деятельности в бизнес-процессах, которая поможет оператору сотовой связи защитить сеть от угроз, вызванных бот-сетями и предоставить абоненту новую услугу по защите

 

   

   

Стенд мобильных устройств

 

 

 

Server

БД - PostgreSQL WEB-интерфейс

Мобильное приложение

Рабочая станция

оператор 

 

Femtocell

WiFi

WWW

 SMSC

 Клиент SMPP

Эмулятор сервисов

 DPI/DNS/аналитика/выявление/противодействие

Данные по скомпрометированным абонентам

Отчет

Сеть оператора связи

8

Схема по анализу трафика на стороне оператора

9

Платформа противодейст вия

Пунктмониторинга

SGSN

СОРМ

Внешний шлюзоператора

Зеркалированиетрафика

Шлюз – петля

ПАК обработ ки т рафика

GGSN

VPN Каналуправления

АРМОперат оров

Канал управления комплексом

( Выделение подозрительных

сессий)

Комплекс обработки

данных

Сервер с БД С& C

VPN Каналуправления

Принцип работы

Задачей мобильного стенда является:•Получение информации о центрах управления зараженными устройствами.•Получение информации о протоколах и способах коммуникации бот-сетей клиента с управляющим сервером.•Получение информации о способах вывода средств оператора сотовой связи.•Получение информации о наборе чувствительных данных, передаваемых бот-сетям клиентом на управляющий сервер.•Протоколирование данных на сервере.

Задачей дополнительного комплекса обработки данных, установленного на сети оператора, является:•Производить разбор пакетов.•Получать список всех известных сигнатур пакетов, список центров управления, MSISDN скомпрометированных абонентских станций и т.д.•Проверять, не попадает ли один из адресов пакета (destinationIP/host) в запрещённый список.•Проводить анализ тела пакета и смотреть сигнатуру пакета, вытаскивая из него команды. (требуются значительные, дополнительные вычислительные ресурсы).•После того, как комплекс определит, что данная сессия абонента используется бот-сетью, комплекс направит сигнал на динамический маршрутизатор, который перенаправит трафик пользователя на платформу “антивирус”.

Платформа противодействия представляет собой программно-аппаратный комплекс защиты и фильтрации сетей мобильной передачи данных. Он пропускает через себя все пакеты и определяет по сигнатуре, относятся ли они к требуемым или нет. Если пакет идёт от бот-сети – платформа его не пропускает и направляет копию оператору.

10

Разрабатываемое приложение

Android-смартфонПриложения

VK

Opera

Bot

Сниффер

WWW

 Сервер

11

Web-интерфейс

12

Web-интерфейс

13

Web-интерфейс

14

Функциональные особенности

• Мобильное приложение не требует root-прав• Мобильное приложение не оказывает негативного влияния на

производительность и скорость обмена данными• Необходимо устройство с Android 4.0.3+ (API level 14+)• Позволяет проводить анализ всего мобильного трафика• Позволяет анализировать входящие/исходящие SMS- и USSD- сообщения.• Осуществляет привязку трафика к приложениям• Позволяет фильтровать по чёрным/белым спискам• Отображает приложения, имеющие доступ к Internet и SMS• Протоколирует все данные на сервере

15

Roadmap

• Осуществление MitM на SSL/TLS• Расширение чёрных/белых списков• Разработка и реализация поведенческих метрик• Оптимизация алгоритмов автоматического выявления• Отслеживание передачи идентификаторов/чувствительной информации по сети

и SMS• Осуществление вмешательства в команды, получаемые от центра управления• Внедрение дополнительной платформы по анализу трафика на стороне

оператора

16

Николай: goncharovkolya@list.ruДенис: gorchakov.denis@gmail.com

17