viernes, marzo 06, 2020

Gremlin Botnets: El club de los poetas muertos [Parte 1 de 6]

Ayer en la RootedCON tuve la oportunidad de compartir con la audiencia una investigación que habíamos realizado en ElevenPaths durante el año 2015 y que en su momento decidí que lo mejor no era publicarla. Hoy en día, cinco años después, con mucho cambiando en el ecosistema, y con mayor concienciación de todo el ecosistema, pensé que era buen momento para compartir todo lo que estudiamos y descubrimos en aquel entonces.

Figura 1: El club de los poetas muertos [Parte 1 de 6]

Es cierto, que mucho de lo que hemos hecho quedó reflejado en pequeños artículos de este blog - pero no la parte final -, más muchos detalles de qué descubrimos que plasmó nuestro compañero en el libro de Malware en Android: Discovering, Reversing & Fonrensics que os recomiendo encarecidamente que os leáis. No, que os estudiéis a fondo, si queréis entender todas este mundo del cibrecrimen en forma de apps móviles para Android, que publicó nuestro compañero Miguel Ángel del Moral - que fue uno de los investigadores del equipo que construyo Tacyt junto a Sergio de los Santos - después de haber realizado todas estas investigaciones.

Figura 2: Malware en Android: Discovering, Reversing & Forensics

Pero como sabéis, a mí me gusta explicar de dónde viene todo, ya que las "ideas felices" no surgen por casualidad, y se trata de ir dar creando muchos puntos con cosas que vas haciendo hasta que un día, años después, eres capaz de juntarlos hacia atrás. Y esta es la historia de esta investigación, donde se unieron muchos puntos hasta acabar en lo que compartimos ayer en la RootedCON.

1.- La FOCA es una Botnet en el año 2010 y usa esteganografía

A finales del año 2010, después de haber dado ya la vuelta al mundo varias veces hablando de nuestra querida FOCA, y de que hubiera ya cientos de miles de instalaciones de nuestra app en sistemas Windows de todo el mundo, se me ocurrió hacer una inocentada el día 28 de Diciembre, como suelo hacer para ver si pillo a alguno "Despistao".  La inocentada fue, nada más y nada menos, que la FOCA era Botnet, y tuvo su aquel.
Lo cierto es que FOCA tenía una función de Call-Back Home que nos permitía saber quién la tenía instalada en su equipo. No es que la pusiéramos a propósito, y lo cierto es que nunca utilizamos esos datos, pero si alguien usaba la FOCA versión gratuita, nuestra herramienta se conectaba a nuestros servidores y descargaba un anuncio de nuestros servicios en Informática 64. Era una forma de monetizar de alguna forma el trabajo y esfuerzo que pusimos a esta herramienta.
Con estos anuncios nosotros podíamos saber desde qué dirección IP nos estaba llegando la solicitud, y por tanto, información de "más o menos" quién estaba utilizando nuestra herramienta. No, no os asustéis, como os digo no nos importó nunca eso, y nos valía con saber que el gran Kevin Mitnick fuera uno de los embajadores más entusiastas de nuestra FOCA, y poner algunos anuncios para promocionar nuestros servicios.

Figura 5: Idea de controlar una FOCA Botnet

Pero para ese día se me ocurrió la idea de hacer creer a la gente que en las imágenes de los anuncios habíamos metido comandos ocultos para realizar operaciones en los equipos en los que estaba instalada la FOCA. Es decir, para convertir cualquiera o todas las FOCAs a la vez, en una herramienta para controlar los equipos instalados.


Figura 6: Esteganografía en la web


La idea de usar un canal de esteganografía en este escenario ficticio no llegó por casualidad. Había asistido a conferencias de Jordi Serra y de Alfonso Muñoz por aquella época y ellos estaban trabajando tanto en nuevos "Cover-Chanels" usando Esteganografía cómo en nuevos métodos de Estegonálisis, y me tenían entusiasmado con la potencia que ofrecía esto en el mundo del malware y el cibercrimen. Os dejo una charla que dio en el año 2008 (¡hace 12 años!) el gran Alfonso Muñoz en un evento que hicimos en Informática 64 sobre estos temas y que estimuló estas idea.

Figura 7: Esteganografía y Estegoanálisis

De hecho, conseguí que entre los dos hicieran un texto sobre ello que tenéis en 0xWord, y años más tarde Alfonso Muñoz hizo un estudio en ElevenPaths sobre las imágenes utilizadas en las apps móviles para poder tener una visión de qué grado de posibilidades existían de que se usaran las técnicas de comunicación con esteganografía en imágenes de una forma similar al panel de control de la FOCA Botnet.

Figura 8: Estegoanálisis de 1.5 M imágenes en APKs

Utilizando diferentes métodos de estegonálisis, y utilizando las imágenes que era posible extraer de nuestra plataforma de ciberinteligencia Tacyt que contenía todas las APKs abiertas y disponibles, los resultados que ofreció es que era posible que existieran comunicaciones de este tipo en ciertas apps, pero, como os imagináis, de difícil detección sin un estegoanálisis y reversing más profundo.

2.- El cibercrimen y las Gremlin Apps en Android

Durante los años 2014 y 2015, periodo donde hicimos toda la investigación y desarrollo de la plataforma Tacyt - que daría luego soporte a la solución para gestión de la seguridad de las apps en empresas mASAPP -, el mundo del cibercrimen estuvo bastante activo, y vimos muchas campañas de apps maliciosas con modelos de negocios muy claros basados en Fake Antivirus, Click Fraud, en SMS Premiums (SMSers) , campañas de Black ASO (Shuabang), Adware, e incluso en Dialers (JSDialers).

Figura 9: Apps usadas en la campaña de JSDialers

Utilizando Tacyt nosotros hicimos muchas investigaciones de las que os fui hablando por aquí. Algunas con mucho impacto. En los artículos enlazados tenéis muchas referencias del tipo de apps que vimos en aquellos tiempos, y os he dejado una charla que hice en aquel tiempo en Argentina donde utilizaba Tacyt para explicar cómo se puede usar este Big Data para encontrar a los cibercriminales,


Figura 10: Investigar cibercriminales en Android con Tacyt


Investigar a los cibercriminales por medio de parámetros tan curiosos como los API Keys nos permitía localizar a los grupos a pesar de que estos cambiaran las apps, y vimos entonces cómo comenzaban a utilizar lo que se llamó Gremlin Apps.

Figura 11: Una app normal que será maliciosa como el Cute the Rope Christmas

Es decir, apps que al principio son apps no maliciosas y más tarde, debido a un estímulo externo, se convierten en maliciosas. En este caso se podemos ver que una app turca era para algo distinto, y cuando se activó la campaña pasó a ser del Cut the Rope Christmas. Por supuesto, maliciosa.

Figura 12: Se volvió un Gremlin malo

Por supuesto, el riesgo a la hora de instalar una app, no es solo que el desarrollador sea malvado desde el origen y haya hecho algo que parezca goodware al principio pero que se va a volver malware. Puede suceder algo mucho más sistemático en el mundo del cibercrimen, como que se dediquen a comprar apps en venta, y el código cambie de las manos de un desarrollador que no tiene intenciones maliciosas a las manos de un cibercriminal. Pero eso lo vemos en la siguiente parte.

Saludos Malignos!

*********************************************************************************
- Gremlin Botnets: El club de los poetas muertos [Parte 1 de 6]
- Gremlin Botnets: El club de los poetas muertos [Parte 2 de 6]
- Gremlin Botnets: El club de los poetas muertos [Parte 3 de 6]
- Gremlin Botnets: El club de los poetas muertos [Parte 4 de 6]
- Gremlin Botnets: El club de los poetas muertos [Parte 5 de 6]
- Gremlin Botnets: El club de los poetas muertos [Parte 6 de 6]
*********************************************************************************

Autor: Chema Alonso (Contactar con Chema Alonso)


1 comentario:

Unknown dijo...

Gracias por compartir

Entrada destacada

ESET te consigue 100 Tempos de MyPublicInbox para consultar con los expertos de seguridad informática @eset_es @mypublicinbox1

La compañía de seguridad ESET , especializada en soluciones de seguridad personal y empresarial, ha puesto activa una campaña de concienciac...

Entradas populares