ANALISIS FORENSE AL SISTEMA ANDROID AFECTADO POR EL MALWARE FAKELOOKOUT Y SU SOLUCION

Proyecto de grado presentado por:

Jorge Morelo Madariaga Daniel Betancur lopez

Asesorado por: Manuel Humberto Santander Pelaez

Ante la Universidad UNIVERSIDAD DE SAN BUENAVENTURA

Medellín

Como requisito para Optar al titulo de:

ESPECIALISTA EN SEGURIDAD INFORMATICA

TABLA DE CONTENIDOS

INTRODUCCION  ........................................................................................................................................  1  

1.   INFORMACION GENERAL DEL PROYECTO  ........................................................................  2  

1.1. TÍTULO:  .......................................................................................................................................  2  

1.2.   INTEGRANTES:  ........................................................................................................................  2  

1.3.   TIPO DE INVESTIGACIÓN:  ..................................................................................................  2  

1.4.   TIPO DE PROYECTO:  ............................................................................................................  3  

2.   DESCRIPCION DEL PROBLEMA  ...............................................................................................  4  

3.   JUSTIFICACION.  ..............................................................................................................................  5  

4.   OBJETIVOS  ........................................................................................................................................  8  

4.1.   OBJETIVO GENERAL  ............................................................................................................  8  

4.2.   OBJETIVOS ESPECÍFICOS.  ................................................................................................  8  

5.   MARCO TEORICO  ............................................................................................................................  9  

5.1.   ANALISIS FORENSE  ..............................................................................................................  9  

5.2.   SISTEMA OPERATIVO ANDROID  ...................................................................................  12  

6.   METODOLOGIA DE TRABAJO.  ................................................................................................  17  

7.   IDENTIFICACION  ............................................................................................................................  19  

8.   ADQUISICION DE EVIDENCIA  ..................................................................................................  21  

9.   ANALISIS  ...........................................................................................................................................  24  

9.1.   ANALISIS DEL MALWARE  ................................................................................................  24  

9.2.   ANALISIS DE CAPTURAS DE TRAFICO.  .....................................................................  28  

9.3.   ANALISIS DEL SISTEMA DE ARCHIVOS  .....................................................................  30  

10.   SOLUCION  ....................................................................................................................................  38  

REFERENCIAS  ........................................................................................................................................  42  

 

1    

INTRODUCCION

En la actualidad se esta presentado un gran crecimiento de los dispositivos con

sisitemas operativos Android, por lo que se hace indispensable el estudio al detalle

de sistemas como este, con el fin de poder garantizar la seguridad de los mismos

y de toda la informacion que se encuentra dentro de estos, que en algunos casos

es de tipo empresarial, que si llegan a las manos equivocadas, convierten a las

organizaciones en fragiles y a la vez en blancos de la delincuencia cibernetica.

Por medio de este proyecto, queremos analizar un malware en especifico que roba

información de los dispositivos con sistema operativo Android; pero a su vez

queremos que este trabajo, se convierta en base para otro tipo de investigaciones

de otros malwares que no solo ataquen sistemas Android, sino una gran variedad

de sistemas operativos que ofrece el mercado para dispositivos moviles.

 

2    

1. INFORMACION GENERAL DEL PROYECTO

1.1. TÍTULO:

Analisis forense al sistema Android afectado por el malware fakelookout y su

solucion.

1.2. INTEGRANTES:

Jorge Morelo Madariaga.

Cédula: 77178639 de Aguachica - Cesar

Programa Académico: Especializacion en segurdiad informatica.

Teléfono: (5) 7820692

E-mail mmorelo1@gmail.com

Daniel Betancur López

Cédula: 71262747 de Medellín.

Programa Académico: Especializacion en segurdiad informatica.

Teléfono: (4) 3381166.

E-mail: danielbetancurl@gmail.com

1.3. TIPO DE INVESTIGACIÓN:

Exploratoria X Predictiva

Descriptiva Aplicada

Comparativa Interactiva

Analítica X Confirmatoria

Explicativa X Evaluativo

 

3    

1.4. TIPO DE PROYECTO:

 

Investigación en Ciencia

básica

Investigación aplicada X

Desarrollo tecnológico

 

4    

2. DESCRIPCION DEL PROBLEMA

En la actualidad existen un gran número de Software que proporcionan seguridad

en cuanto a virus, malware, gusanos, troyanos y una gran cantidad de ataques

que pueden recibir los dispositivos móviles, que en nuestro caso será cualquier

dispositivo que tenga el sistema operativo Android. Pero nos concentraremos

especialmente en el estudio detallado de como actúa en malware fakelookout y

que partes del sistema ataca en específico, pudiendo llegar a un detalle de cómo

opera y que tipo de información se pudiese fugar del equipo por el alojamiento de

dicho software malicioso dentro del sistema operativo, mirando a donde se va toda

esa información y de qué manera lo hace.

El sistema Android en la actualidad es víctima de una gran número de ataques

que llegan de todas partes en la red, desde adentro de la misma plataforma por

medio del Play store, que es la tienda de aplicaciones de Android, hasta sitios web

que son visitadas por los usuarios del sistema a diario y muchas veces sin la

intención del descargar ningún software malicioso a sus equipos, simplemente son

víctimas de dichas páginas, y es oportuno, empezar a ubicar todos estos sitios

web, que para nuestro caso lo haremos con malware que es motivo de estudio.

 

5    

3. JUSTIFICACION.

En la actualidad el mundo y sus avances a llevado al hombre a depender un poco

mas de la tecnologia, presentado una gran cantidad de dispositivos que pueden

facilitar a las personas el contacto con el resto del mundo, y por eso centramos

nuestra atencion en la gran cantidad de aparatos que ofrecen cumunicacion

efectiva como lo son los dispositivos moviles, dentro del gran auge de estos

dispositivos, podemos afirmar que el sistema operativo Android, es uno de los que

mas mercado a ganado en los ultimos años, por la gran catidad de dispositivos

que lo portan y las funcionalidades que estos ofrecen, como se puede observar en

la grafica1, los dispositivos con Android son los lideres del mercado, según

estadisticas tomadas desde Enero de 2012 a Enero de 2013 [1].

grafica1. Estadisticas de los sistemas operativos en los dispositivos Android.

 

6    

Debido al gran crecimiento del sistema operativo Android, se da un fenomeno

proporcional a este crecimiento, que es el de crecimiento exponencial de ataques

a dicho sistema, en la actualidad hay un gran numero de malwares que atacan y

roban informacion a estos dispositivos como se puede apreciar en la grafica2, de

igual manera que el crecimiento del sistema Android, crece los ataques al mismo y

todos los esfuerzos de los atacantes se concentraron en este sistema operativo.

[2]

grafica2. Estadistica de creacion de malwares para sistemas moviles.

Dentro de la gran cantidad de malwares que se encuentran para el sistema

operativo Android, nos vamos a centrar en uno llamado Fakelookout el cual sera

nuestro de caso de estudio, el cual es un gusano que se encarga del robo de

informacion sensible del dispositivo como SMS, MMS, videos, archivos, y los

transmite a un servidor FTP remoto. Es por esto que pretendemos hacer un

analisis forense a fondo a dicho gusano con el fin de verificar dentro de los

sitemas de archivos cuales son sus afectaciones y donde se aloja con el fin de

crear una prevencion no solo para este malware sino para todo tipo de malwares

 

7    

que atacan a Andoid, ademas de poder verificar cuales el comportamiento de otro

tipo de gusanos que roben informacion y poder asegurar dichos dispositivos con el

fin de evitar este tipo de ataques.

El analisis forense se a convertido en pieza fundamental de muchas

investigaciones de ataques que provienen de muchas partes y de muchas

maneras, ya que por medio de esta ciencia se puede estudiar al detalle todos los

topicos de un sistema operativo y poder llegar asi al punto exacto de donde se

origina el ataque, hacia adonde se va la informacion y cual es fin especifico del

ataque, y de esta manera contraarrestar todos los ataques no solo a Android sino

a diferentes sistemas operativos y buscar la mejor metodologia para asegurar la

informacion personal y de las organizacones.

 

8    

4. OBJETIVOS

4.1. OBJETIVO GENERAL Realizar un analisis forense al detalle con el fin de llegar al detalle de la afectacion

del gusano Fakeloout y poder mirar como actua, con el fin de poder encontrar una

solucion a dicha afectacion

4.2. OBJETIVOS ESPECÍFICOS.

Verificar los sistmas de archivos de Android con el fin de poder hacer

comparaciones entro un sistema infectado y uno que no ha sido afectado y poder

mirar al detalle cuales son las afectaciones.

Encontrar la mejor metodologia para realizar un analisis forense al sistema

operativo Android y a los dipositivos donde corre este.

Analizar el funcionamiento del sistema operativo Android para poder verificar

cuales son sus vulnerabilidades y evitar todo tipo de ataques a dicho sistema.

 

9    

5. MARCO TEORICO

5.1. ANALISIS FORENSE

Por medio del análisis forense, se pretende encontrar y averiguar todo lo ocurrido

dentro de un sistema al momento de un ataque y verificar que activos de

información fueron modificados durante dicha intrusión, además de quien lo

realizo, con qué fin ingreso o tenía la intención de ingresar, hasta adonde llego y

con que permisos, además de muchas preguntas que pueden surgir en el

momento de un análisis completo de un sistema, y aunque no podríamos afirmar

que existe alguna metodología concreta para realizar dichos análisis si hay

direccionamientos que nos indican cual es la mejor manera de hacerla según las

mejores practicas[3]

Grafica 3. Fases para realizar un análisis forense. El primer paso que debemos seguir es

a. Evaluar: se procede a evaluar todas el ambiente donde se realizara el

análisis, con el fin de poder garantizar que este sea propicio para la

adquisición de evidencia, donde se pueda mantener de principio a fin toda

 

10    

la cadena de custodia tanto de los activos de información física o

electrónica y de los activos físicos donde esta resguardada dicha

información.

b. Adquirir: Se recopila toda la información que servirá de evidencia en el caso

y se procede a almacenar y archivar dicha información, procurando siempre

trabajar en la investigación dentro de copias garantizadas por medio de

hash y no dentro de los originales.

c. Analizar: Se analiza toda la información recopilada y se establece que

alcances se obtuvo dentro el sistema, con el fin de descubrir la afectación

que sufrió en general y buscar garantizar que esto no vuelva a suceder en

el futuro.

d. Informe: se debe realizar un informe detallado de todo lo encontrado en el

análisis, describiendo paso a paso todo el proceso desde que se inició

hasta que se terminó, mostrando los resultados de todo el proceso y los

alcances que se tuvo dentro del mismo.

Existen en la actualidad una gran cantidad de herramientas que permiten hacer

análisis forense a un sinfín de dispositivos o análisis completos a equipos móviles,

de escritorio, portátiles, servidores, etc. Algunos de ellos son [4]:

Herramientas de Cómputo Forense

• Sleuth Kit (Forensics Kit)

• Py-Flag (Forensics Browser)

• Autopsy (Forensics Browser for Sleuth Kit)

• Dumpzilla (Forensics Browser: Firefox, Iceweasel and Seamonkey)

• dcfldd (DD ImagingToolcommand line tool and alsoworkswith AIR)

• foremost (Data Carvercommand line tool)

• Air (ForensicsImaging GUI)

 

11    

• md5deep (MD5 HashingProgram)

• netcat (Command Line)

• cryptcat (Command Line)

• NTFS-Tools

• Hetman software (Recuperador de datos borrados por los criminales)

• qtparted (GUI PartitioningTool)

• regviewer (Windows Registry)

• Viewer

• X-WaysWinTrace

• X-WaysWinHex

• X-WaysForensics

• R-Studio Emergency (BootableRecovery media Maker)

• R-Studio Network Edtion

• R-Studio RS Agent

• Net resident

• Faces

• Encase

• Snort

• Helix

Herramientas para el análisis de discos duros

• AccessDataForensicToolKit (FTK)

• Guidance Software EnCase

Herramientas para el análisis de correos electrónicos

• Paraben

• AccessDataForensicToolKit (FTK)

Herramientas para el análisis de dispositivos móviles

• AccessData Mobile PhoneExaminer Plus (MPE+)

 

12    

Herramientas para el análisis de redes

• E-Detective - DecisionComputerGroup

• SilentRunner - AccessData

Herramientas para filtrar y monitorear el tráfico de una red tanto interna como a internet

• USBDeview

• SilentRunner–AccessData

Además de todas estas herramientas que facilitan mucho el trabajo, es necesario

tener los conocimientos necesarios que garanticen que se hará de la manera más

profesional, con el fin de lograr que los resultados sean exactos y acordes a la

realidad de la situación y no se hayan hecho modificaciones a la información que

sean imposibles de rastrear o determinar, siguiendo unos estrictos controles a la

cadena de custodia de los originales donde está la información, además de que

esta sea preservada y analizada de la manera correcta.

5.2. SISTEMA OPERATIVO ANDROID

Android es un sistema operativo que tiene como base Linux, el cual es

implementado especialmente en teléfonos inteligentes, tabletas y algunos

computadores portátiles y de escritorio, y tiene una cuota muy alta de ventas

dentro del mercado de sistemas móviles.

El sistema Android, está basado en aplicaciones que se pueden conseguir a

través de la tienda oficial Play store, de donde se pueden descargar mas de

700.000 aplicaciones, de las cuales más de la mitad son gratuitas, pero no está

libre de virus y Malwares que se pueden descargar desde la tienda o desde sitios

de terceros. En la actualidad, por su gran apogeo y éxito en ventas, se ha

convertido en uno de los sistemas más atacados por Hackers o personas que

 

13    

desean obtener algún tipo de información que la gente guarda en estos

dispositivos.

Algunas de las características que tiene el sistema operativo en su versión más

resiente son: [5]

Almacenamiento SQLite, una base de datos liviana, que es usada para propósitos de almacenamiento de datos.

Conectividad Android soporta las siguientes tecnologías de conectividad: GSM/EDGE, IDEN, CDMA, EV-DO, UMTS, Bluetooth, Wi-Fi, LTE, HSDPA, HSPA+ y WiMAX.

Mensajería

SMS y MMS son formas de mensajería, incluyendo mensajería de texto y ahora la Android Cloud toDeviceMessaging Framework (C2DM) es parte del servicio de PushMessaging de Android. Toda esta mensajería es almacenada dentro de la partición de data

Navegador web

El navegador web incluido en Android está basado en el motor de renderizado de código abierto WebKit, emparejado con el motor JavaScript V8 de Google Chrome. El navegador por defecto de Ice CreamSandwich obtiene una puntuación de 100/100 en el test Acid3.

Soporte de Java

Aunque la mayoría de las aplicaciones están escritas en Java, no hay una máquina virtual Java en la plataforma. El bytecode Java no es ejecutado, sino que primero se compila en un ejecutable Dalvik y corre en la Máquina Virtual Dalvik. Dalvik es una máquina virtual especializada, diseñada específicamente para Android y optimizada para dipositivos móviles que funcionan con batería y que tienen memoria y procesador limitados. El soporte para J2ME puede ser agregado mediante aplicaciones de terceros como el J2ME MIDP Runner.

 

14    

Soporte para hardware adicional

Android soporta cámaras de fotos, de vídeo, pantallas táctiles, GPS, acelerómetros, giroscopios, magnetómetros, sensores de proximidad y de presión, sensores de luz, gamepad, termómetro, aceleración por GPU 2D y 3D. Toda la información recopilada a partir de estos dispositivos adicionales, es guardada dentro de la partición de data, que puede ser accesada por el malware y ser robada.

Entorno de desarrollo

Incluye un emulador de dispositivos, herramientas para depuración de memoria y análisis del rendimiento del software. El entorno de desarrollo integrado es Eclipse (actualmente 3.4, 3.5 o 3.6) usando el plugin de Herramientas de Desarrollo de Android.

Google Play

Google Play es un catálogo de aplicaciones gratuitas o de pago en el que pueden ser descargadas e instaladas en dispositivos Android sin la necesidad de un PC. Dentro de este catálogo se pueden descargar varios malwares, ya que no existe algún filtro para publicar aplicaciones allí.

Bluetooth

El soporte para A2DF y AVRCP fue agregado en la versión 1.5; el envío de archivos (OPP) y la exploración del directorio telefónico fueron agregados en la versión 2.0; y el marcado por voz junto con el envío de contactos entre teléfonos lo fueron en la versión 2.2. Por medio de este dispositivo se puede sacar mucha información del equipo y de hecho, existen algunos malwares diseñados para trabajar por medio de bluetooth.

Multitarea

Multitarea real de aplicaciones está disponible, es decir, las aplicaciones que no estén ejecutándose en primer plano reciben ciclos de reloj, a diferencia de otros sistemas de la competencia en la que la multitarea es congelada (Como por ejemplo IOS, en el que la multitarea se limita a servicios internos del sistema y no a aplicaciones externas), esto permite que las aplicaciones que contienen malwares, se

 

15    

puedan estar ejecutando en un según plano, y poder pasar desapercibidas mientras se ejecutan otras aplicaciones dentro del dispositivo al mismo tiempo.

Tethering

Android soporta tethering, que permite al teléfono ser usado como un punto de acceso alámbrico o inalámbrico (todos los teléfonos desde la versión 2.2, no oficial en teléfonos con versión 1.6 o inferiores mediante aplicaciones disponibles en Google Play (por ejemplo PdaNet). Para permitir a un PC usar la conexión de datos del móvil android se podría requerir la instalación de software adicional

Desde que salió al mercado Android, ha tenido varias versiones que reciben el

nombre de postres con el consecutivo del abecedario, las cuales son:

- 1.0 Apple pie (torta de manzana)

- 1.1 Banana Bread ( pan de banano )

- 1.5 Cupcake ( mini torta )

- 1.6 Donut ( Dona )

- 2.0 y 2.1 Eclair ( Pastel Francés )

- 2.2 Froyo ( Helado de Yogurt )

- 2.3 Gingerbread ( Pan de Jengibre )

- 3.0, 3.1 y 3.2 HoneyComb ( panal de miel )

- 4.0 Ice CreamSandwich ( Sanduche de helado )

- 4.1 y 4.2 Jelly bean ( frijol dulce )

- 5.0 Key Lime pie ( torta de limón )

Android, en la actualidad es un sistema operativo abierto, por lo que se puede

acceder a su código fuente y lista de incidencias, donde se pueden apreciar los

errores no resueltos y reportar posibles fallas del sistema, aunque esto no significa

que se puede instalar en un dispositivo móvil, ya que los drivers de cada

 

16    

dispositivo son propiedad del fabricante y normalmente no son libres por lo que

faltaría algo muy importante para permitir el funcionamiento pleno del mismo.

 

17    

6. METODOLOGIA DE TRABAJO. En la actualidad el Instituto Nacional de Standards y Tecnología (NIST), publica

guías que nos podrían guiar de manera precisa y hace algunas recomendaciones,

con el fin de estandarizar los procedimientos y metodologías para realizar, en este

caso, análisis forense a teléfonos celulares, en su publicación 800-101, y dentro

de este documento se muestra un modelo procedimental que a continuación

mostraremos:

• Asegurar y evaluar la escena

• Documentar la escena

• Recolección de evidencia

• Empaquetamiento, transporte y almacenamiento

Y proponen los siguientes pasos para realizar el análisis forense:

• Identificación

• Preparación

• Estrategia de aproximación

• Preservación

• Recolección

• Examinar

• Análisis

• Presentación

• Regresar la evidencia

Para nuestro caso en específico, usaremos algunas de estas recomendaciones

para realizar el análisis del malware que se usó para infectar el dispositivo que se

utilizó como caso de estudio y a partir de cada uno de estos puntos, llegaremos a

un conclusión de como actuó el software malicioso adentro del equipo. Los puntos

que usaremos son los siguientes:

 

18    

• Identificar: el primer paso que realizaremos es identificar los escenarios y

los equipos, ademas del sistema operativo y el malware que usaremos

como laboratorio para la afectación del equipo, teniendo en cuenta los

diferentes dispositivos a los que podría infectar y con cual se trabajara al

final.

• Adquirir. Una vez identificados todos los escenarios, se procede a sacar

imágenes del dispositivo sin el malware y con el malware, se debe recoger

toda la información que contenga el dispositivo y sacar todos los hash, con

el fin de garantizar que la información sobre la cual se va a trabajar sea fiel

copia de la original.

• Analizar: Después de tener toda la información completa de los dispositivos,

se procede a analizartoda la información y encontrar evidencias al detalle

entre los 2 archivos, el que está infectado y el que está libre de malware,

con el fin de llegar a conclusiones sobre aspectos básicos y complejos de la

afectación dentro del dispositivo y como opera este adentro y fuera del

mismo aparato.

• Solución: Luego de llegar a conclusiones dentro de todos los hallazgos del

equipo infectado, se buscara una o varias maneras de poder dar solución

oportuna y efectiva de manera preventiva y correctiva a dicho malware u

otros que actúen de la misma manera.

 

19    

7. IDENTIFICACION Se procede a ubicar y descargar una muestra del malware FakeLookout.apk

desde la pagina http://contagiominidump.blogspot.com.es/, la cual nos servirá para

infectar el dispositivo con el cual trabajaremos y posteriormente analizaremos,

esta página es reconocida por la recopilación de diferentes muestras de malware

de Android para uso de investigadores e interesados puedan analizarlas, no se

pretende por medio de esta página, hacer la propagación de las mismas, ya que el

único fin que tiene es académico y poder crear investigación a través de las

mismas como lo es en este caso.

Una vez recopilada la muestra, procedemos a realizar la instalación de la misma

en el dispositivo que usaremos para el caso que es un equipo Samsung Galaxy Y

PRO, con la versión de Android 2.3 Gingerbread

Grafica 4. Dispositivo utilizado en las pruebas

Para la instalación del software malicioso dentro del equipo es usada una

aplicación llamada ADB ( AndroidDebugging Bridge ), la cual es una herramienta

que viene con el SDK ( Software Development Kit ) de Android que permite

acceder y controlar todo el dispositivo móvil desde un computador u otros

dispositivos que estén habilitados para hacerlo.

 

20    

A continuación se puede apreciar la imagen donde se observa el proceso de

instalación del software malicioso dentro del dispositivo

Grafica 5. Proceso instalación en dispositivo móvil.

Luego se puede visualizar como quedo instalado el malware dentro del equipo

como una aplicación que gestiona actualizaciones dentro del sistema operativo

Android, que fácilmente la gente podría acceder.

Grafica 6. Malware instalado

 

21    

8. ADQUISICION DE EVIDENCIA

Luego de haber realizado todo el proceso de instalación del Malware dentro del

dispositivo, obtendremos la mayor cantidad de evidencias que sea posible recoger

con el fin de poder hacer un análisis detallado de todo el proceso.

Lo primero que haremos es capturar un poco de trafico generado por el equipo

con la infección, con el fin deidentificar el tipo de tráfico que se está generando

con el malware y hacia donde lo estaba dirigiendo, para dicho propósito, se utilizó

la herramienta Wireshark, la cual es una herramienta que permite examinar todo el

tráfico que pasa en una red viva o en un archivo de captura .cap, a continuación

podemos apreciar cual fue el esquema implementado para realizar dicha captura.

Grafico 7. Esquema de captura

Una vez adquirida dicha información que resulta muy útil para verificar cual es el

destino y el proceso que hace a través de la red la información robada,

procedemos a realizar unas imágenes, que representan copias fidedignas del

sistema de archivos de la maquina, con el fin de analizar todos los cambios

realizados al interior de los mismos, y estos lo haremos a través de la herramienta

antes mencionada ADB, que nos servirá para conectarnos por medio del puerto

USB de los dispositivos y usaremos el comando dd. A continuación se puede

apreciar una figura del proceso de toma de imágenes.

 

22    

Grafico 8. Toma de imágenes.

Como se puede ver, se encuentran 3 particiones fundamentales dentro del disco

del dispositivo, donde se aloja la información vital que nos servirá para el caso de

estudio, las cuales son:

- System: Esta es la partición del sistema que contiene todo el sistema

operativo, exceptuando el Kernel y el bootloader, que incluye toda la interfaz de

usuario y las aplicaciones preinstaladas en el equipo, por lo que podríamos decir

que formatear esta partición borraría por completo el sistema operativo.

- Data: Esta partición guarda casi toda la información del usuario del sistema

operativo, además de las modificaciones hechas por los mismos, como parte de la

información guardada por los usuario podríamos ver:

• Todas las aplicaciones y los Widgets instalados.

 

23    

• Los contactos y la información adicional de los mismos.

• Información de llamadas.

• Mensajes planos e interactivos.

• E-mails.

• Favoritos del navegador web

• Equipos bluetooth guardados.

• Puntos Wifi

• Fondos de pantalla

• Calendarios

• Asociaciones a cuentas como: google, Facebook, twiteer. Etc.

- Cache: En esta partición se guardan todos los datos que el usuario accede

con frecuencia, con la finalidad de que puedan ser accedidos con mayor facilidad y

la carga de los mismos sea ágil cuando se solicita, y esto hace que las

aplicaciones que son más usadas funcionen más rápido que las que no lo son. La

limpieza de esta partición no afecta en lo absoluto la funcionalidad del sistema

operativo, simplemente pierde su característica de rapidez en el momento de

cargar, pero a medido que usemos el equipo, esta partición se llenara de nuevo.

 

24    

9. ANALISIS

El primer paso que realizaremos dentro del análisis de la información, es la de

verificar que la muestra que tomamos del software malicioso, sea realmente lo que

necesitamos, es por esto que acudimos a la página www.virustotal.com, en donde

se detecta la muestra como maliciosa. Y luego revisaremos las capturas hechas y

verificadas mediante el software Wireshark. A continuación verificaremos los

resultados de los análisis.

9.1. ANALISIS DEL MALWARE

Para empezar podemos apreciar alguna información inicial del malware, como su

tamaño y su nombre dentro de Android

File size: 419.7 KB ( 429800 bytes )

File name: FakeLookout_com.updateszxt.apk

File type: Android

Tags: Apk Android

El siguiente es el análisis de riesgos que trae la instalación del software malicioso:

- El archivo estudiado hace uso de API ( Interfaz de aplicaciones de

programa): dicho software hace uso de las bibliotecas, funciones y procedimientos

de otros software que se encuentra dentro del dispositivo.

- El archivo estudiado hace uso de funciones criptográficas: estas funciones

pueden servir para enviar los archivos encriptados hacia afuera del equipo.

- Permisos que permiten manipular a la aplicación SMS: lo que se permite

por medio de esto, es que la aplicación envíe mensajes de texto desde el equipo.

 

25    

- Permisos que permiten a la aplicación manipular su ubicación: por medio de

esto, se podría saber cuál es la ubicación del equipo desde donde se envía la

información

- Permisos que permiten a la aplicación realizar pagos: de esta manera se

podría manipular los pagos hechos desde el dispositivo hacia diferentes entidades

o la tienda del google.

- Permisos que le permiten a la aplicación, tener acceso a internet: de esta

manera se accede a la web desde donde se hace el robo de toda la información.

- Permisos que le permiten a la aplicación, tener acceso a información

privilegiada: así, es como se accede a la información para sacarla del dispositivo.

Los siguientes son los permisos que se usan por parte de la aplicación para

acceder a los servicios del equipo:

- android.permission.ACCESS_FINE_LOCATION: son los permisos que se

usan para la ubicación por medio de GPS del dispositivo.

- android.permission.SEND_SMS: es el permiso que se usa para enviar

mensajes de texto.

- android.permission.RECEIVE_BOOT_COMPLETED: este permiso permite

a la aplicación arrancar al momento de encender el equipo.

- android.permission.READ_PHONE_STATE: este es el permiso que permite

verificar el estado del teléfono y la identidad.

- android.permission.WRITE_SMS: este permiso permite a la aplicación

escribir mensajes de texto.

- android.permission.ACCESS_NETWORK_STATE: Permite a la

aplicaciones verificar cual es el estado de la red a la cual está conectado.

 

26    

- android.permission.WAKE_LOCK: este permiso evite que el equipo se vaya

a modo hibernación y siga activo.

- android.permission.RECEIVE_SMS: permite que la aplicación reciba

mensajes de texto.

- android.permission.INTERNET: este permiso le da a la aplicación acceso

total a internet.

- android.permission.WRITE_EXTERNAL_STORAGE: le da permiso a la

aplicación de modificar y eliminar información que se encuentre de los dispositivos

de almacenamiento.

- android.permission.GET_ACCOUNTS: permite que la aplicación obtenga

las cuentas que están asociadas a equipo.

- android.permission.READ_SMS: permite que la aplicación lea los mensajes

de texto.

Las siguientes son las gestiones que hace el software maliciosos para obtener

permisos relacionados con las llamadas a los recursos API:

- Leer contactos del dispositivo

- Evitar que entre en modo Hibernación

- Internet

 

27    

Los siguientes son los archivos que aloja la instalación del malware dentro del

dispositivo:

- AndroidManifest.xml: es un archivo binario XML para Android.

- META-INF/CERT.RSA: es un archivo de datos.

- META-INF/CERT.SF: Es un texto ASCII con terminaciones de línea CRLF

(Carrierreturn line Feed)

- META-INF/MANIFEST.MF: Es un texto ASCII con terminaciones de línea

CRLF (Carrierreturn line Feed)

- classes.dex: Archivo que contiene múltiples clases y se ejecuta en la

máquina virtual Dalvik.

- res/drawable/beta_icon.png: Datos de imagen PNG

- res/drawable/icon_v1_1.png: Datos de imagen PNG

- res/drawable/icon_v2_0.png: Datos de imagen PNG

- res/drawable/logo.png: Datos de imagen PNG

- res/drawable/notificacion.png: Datos de imagen PNG

- res/drawable/notificación_gimp.xcf: Datos de imagen de GIMP XCF

- res/drawable/notificación_gimp_2.xcf: Datos de imagen de GIMP XCF

- res/drawable/scanned.png: Datos de imagen PNG

- res/drawable/widget_off.png: Datos de imagen PNG

- res/drawable/widget_on.png: Datos de imagen PNG

- res/layout/server_control_activity.xml: es un archivo binario XML para

Android

- res/layout/widget.xml: es un archivo binario XML para Android

 

28    

- res/layout/widget_provider.xml: es un archivo binario XML para Android

- resources.arsc: archivo de datos.

9.2. ANALISIS DE CAPTURAS DE TRAFICO.

Luego de de verificar el malware dentro del dispositivo, procedemos a verificar las

capturas de trafico realizadas con Wireshark, con el fin mirar hacia donde se va la

información a nivel detallado. A continuación podemos apreciar todas las

solicitudes HTTP que realiza el malware

En esta información recopilada, podemos apreciar que se está accediendo a la

siguiente pagina web: http://thelongislanpress.com/controls.php, donde podríamos

afirmar que está enviando la información robada de los dispositivos a través de la

 

29    

máquina virtual de Android llamada Dalvik, en su versión 1.4.0 y contacta al host

50.63.202.55 en el puerto 80 y recibe una respuesta del servidor con 200 que

significa OK, la cual es una respuesta estándar para peticiones correctas.

Además podemos encontrar algunas advertencias de SNORT y SURICATA:

En estas advertencias podemos apreciar unas alertas que dan aviso de un tráfico

potencialmente malo, un intento por escalar privilegios en el sistema, datos

sensibles son transmitidos por medio de la red, detección de un troyano a través

de la red y la detección de un ataque.

Luego de analizar con Whois la dirección IP a la cual se está haciendo llamados

por medio del software malicioso encontramos que dicha dirección está ubicada

en los Estados Unidos y pertenece a la organización Godaddy.com ubicada en el

 

30    

estado Arizona en la localidad de Scottsdale que comercializa servicios y

alojamiento de páginas Web

OrgName: GoDaddy.com, LLC

OrgId: GODAD

Address: 14455 N Hayden Road

Address: Suite 226

City: Scottsdale

StateProv: AZ

PostalCode: 85260

Country: US

RegDate: 2007-06-01

Updated: 2012-03-15

9.3. ANALISIS DEL SISTEMA DE ARCHIVOS

A continuación se procederá a realizar un análisis completos a los sistema de

archivos que usa el sistema operativo Android, a los cuales se les saco una

imagen que nos pudiera ayudar a realizar dicho análisis, los sistemas de archivos

que se analizaron son los siguientes:

- Efs.img: este es el sistema de archivos que contiene información básica del

dispositivo como Serial, IMEI y MAC.

- Lfs.img: en este sistema de archivos se almacena toda la información de

registros del sistema.

- Cache.img: este sistema de archivos contiene todos los datos volátiles que

se encontraban almacenados en memoria al momento de volcarlos a disco.

- Data.img: contiene todos los datos que se almacenan de manera personal

dentro del dispositivo móvil como las agendas, tareas, llamadas, e información

personal.

 

31    

- System.img: en este sistema de archivos se almacena toda la información

relacionada a la configuración del sistema.

Luego procedemos a sacar cada uno de los hash MD5 de cada uno de los

sistemas de archivos del dispositivo móvil tanto limpio como infectados con el

propósito de verificar si hay modificaciones hechas por el malware dentro de los

sistemas de archivos cuando se pasa de limpio a infectado y de garantizar la

investigación forense de dichos sistemas de archivos.

Grafico 8. MD5 de sistema de archivos

Para nuestro caso en especifico solo procederemos a analizar los cambios hechos

por el software malicioso para el sistema de archivos cache.img, data.img y

efs.img, ya que se puede apreciar que ocurren cambios en el md5 obtenido, y

podríamos afirmar que ocurrieron cambios dentro de ellos, que serán nuestro caso

de estudio, pero para los sistemas de archivos lfs.img y system.img los md5

obtenidos son idénticos en el limpio y el infectado, y de esto deducimos que el

malware instalado no realizo cambio alguno dentro de dichos sistemas de

archivos.

Se realiza el análisis de los sistemas de archivos donde tenemos evidencia que

hubo una modificación como se observo en el cuadro anterior y empezaremos con

el sistema de archivos efs.img donde se guarda la información del dispositivo.

Los siguiente es lo que podemos observar dentro del sistema de archivos.

 

32    

Grafico 9. Sistema de archivos efs.img

Como lo habíamos mencionado dentro den este sistema de archivos solo hay

información que de alguna manera no es relevante para nuestra investigación, por

lo que optaremos por desechar dicha evidencia, ya que esta información es solo

para uso del teléfono y de reconocimiento del mismo, y no representa peligro

alguno al momento de ser extraída del dispositivo móvil.

 

33    

Procederemos a realizar en análisis del sistema de archivos cache.img, y lo

primero que haremos es sacar las líneas de tiempo del sistema de archivos con la

infección y sin la infección, para sacar dicha línea de tiempo, usaremos la

herramienta shedulekit, en la gráfica 10, podemos observar la línea de tiempos

limpia y en la grafica 11. La línea de tiempos de la infectada.

Grafico 10. Línea de tiempo cache limpia

Grafico 11. Línea de tiempo cache infectada

 

34    

En dichas graficas se puede evidenciar que no hay rastros del malware y solo hay

eventos del sistema operativo y de las aplicaciones que Android trae por defecto,

por lo que procedemos a buscar un poco más a fondo de evidencias dentro de

este sistema de archivos con grep.

Grafico 12. Búsqueda de evidencia con grep

Dentro de esta búsqueda no se encontró algo que mostrara la existencia del

malware dentro del sistema de archivos que estamos analizando y se realizo la

búsqueda intentando ubicar controls.php, que es a donde realizar la llamada para

comenzar el robo de información y updateszxt.php, que es el nombre del malware

dentro del sistema Android.

Por último, procedemos a realizar el análisis del sistema de archivos data.img.y de

igual manera sacamos la línea de tiempo tanto del sistema de archivos infectado y

limpio y obtuvimos lo siguiente.

Grafico 12. Línea de tiempo Data limpio

 

35    

Grafico 13. Línea de tiempo Data infectado.

Luego procedemos a realizar búsqueda de evidencias de la existencia de la

infección dentro del sistema de archivos con grep y ubicamos los siguiente

Grafico 14. Búsqueda con de evidencia con grep

Aquí ya podemos evidenciar la existencia de evidencia dentro del sistema de

archivos del llamado al sitio web desde donde se realiza el robo de información, y

procedemos a buscar un poco más a fondo y realizamos la búsqueda de igual

manera con grep de updateszxt, que es el nombre que toma el malware dentro del

sistema y obtuvimos lo siguiente:

 

36    

Grafico 15. Búsqueda de evidencia con grep

Grafico 16. Evidencia con FTKimager.

 

37    

Ya pudimos ubicar dentro de esta partición, suficiente evidencia de la ubicación

del malware dentro de Android en el sistema de archivos data.img, que es donde

dicho software malicioso, realiza la mayor parte de los cambios y que podríamos

considerar relevantes para la investigación, aunque no podríamos afirmar que el

malware realice una gran cantidad de cambios, ya que solo hace referencia a los

archivos de instalación y a todos los que hacen referencia a data.img, ya que

dicho malware no está diseñado o su fin no es el de destruir a o hacer algún daño

irremediable a la maquina, lo único que pretende se realizar el robo de información

del dispositivo, enviándolo a un servidor ubicado en los Estados Unidos.

 

38    

10. SOLUCION

Existen varias maneras de poder evitar que el software malicioso diseñado para el

sistema operativo Android, pueda ingresar al dispositivo móvil, y la principal y que

se usa de manera preventiva es la instalación de un programa antivirus, que

aunque no en todas las ocasiones es exitoso, si se convierte en una barrera para

para toda clase de software que no cumpla con unas características mínimas de

seguridad, entre los principales software antivirus que existen para android están:

- AVG: es un antivirus gratuito, que lastimosamente contiene publicidad,

ofrece los siguientes escudos:

• Escáner de malware

• Protección contra robo

• Escudo de navegación web

• Filtro de mensajes Web

• Filtro de mensajes SMS

• Gestor de proceso

- Kaspersky: es una suite gratuita, pero las mejores opciones de protección

son de pago, los escudos que ofrece son:

• Antivirus en la nube

• Antirrobo

• Filtro de llamadas y SMS

• Opciones de privacidad

- NQ: es un antivirus clásico diseñado para dispositivos móviles y sus

funciones son las siguientes:

• Escáner antivirus

• Protección Web

• Supervisión del trafico

 

39    

• Optimización de memoria

• Copias de seguridad

• Localizador de teléfono

• Protección anti-escuchas

- Comodo: es un excelente antivirus gratuito que permite las siguientes

funciones:

• Escáner anti-malware

• Bloqueo de llamadas y SMS

• Espacio de datos privados

• Gestor de procesos

• Gestor de aplicaciones

- Norton: Es un antivirus gratis pero la versión lite solo tiene el 50% de las

funciones, las cuales son:

• Escáner antivirus en la nube

• Bloqueo de llamadas y SMS

• Función contra robos

• Protección Web

- Bit defender: tiene un interfaz muy elegante y se ofrece en versión de

prueba con las siguientes protecciones:

• Escáner de aplicaciones y archivos

• Auditoria de aplicaciones

• Escudo de navegación Web

• Protección antirrobo

• Visor de eventos

- Avast: es una de las suites gratuitas mejores del mercado de antivirus que

ofrece las siguientes características:

• Escáner de aplicaciones y tarjeta SD

 

40    

• Asesor de privacidad

• Administrador de aplicaciones

• Escudo de navegación Web

• Filtro de llamadas y SMS

• Firewall

• Antirrobo

- Lookout: fue uno de los primeros antivirus en aparecer para Android, y es

de excelente calidad al momento de detener malwares, tiene las siguientes

características:

• Escáner antivirus

• Programador de tareas

• Localizador por GPS

• Sistema antirrobo

• Copias de seguridad

• Navegación segura

• Asesor de privacidad

- Mobishield: es uno de los antivirus exclusivos para dispositivos móviles y es

mejor en determinadas funciones que otros antivirus, sus funciones son las

siguientes:

• Escáner antivirus con y sin nube

• Gestor de procesos y aplicaciones

• Copia de seguridad de datos

• Transfiere datos entre móviles Android, Nokia, IOS y

Blackberry

• Funcione antirrobo

• Localizador por GPS

- F-secure: es una alternativa sólida pero no una de las mejores, sus

funciones son:

 

41    

• Antivirus en tiempo real

• Protección de navegación Web

• Antirrobo con bloqueo

• Localizador por GPS

• Contactos seguros

Entre otras de las alternativas para hacer el manejo preventivo al ataque e

malwares a android, está el de solo hacer compras y descargas de aplicaciones a

la tiende de aplicaciones Play Store y no de tiendas alternativas que pueden

ofrecer muchos de las aplicaciones que se cobran dentro del play store, de

manera gratuita, lo cual puede causar una sospecha de descarga maliciosa.

Aunque la tienda de aplicaciones de Android no tiene algún filtro para que un

desarrollador pueda subir aplicaciones, a diferencia de otros sistemas operativos

como el de Apple dentro de su dispositivo IPhone, el cual se demora en dar

respuesta positiva para que un desarrollador pueda subir una aplicación a la

tienda de aplicaciones, se sugiere hacer las descargas desde esta tienda, y de

igual manera se hace una recomendación para instalar un software dentro del

dispositivo móvil que haga la función de supervisor de aplicaciones, que muchos

antivirus ofrecen, y solo instalar aplicaciones que ofrezcan calificación

sobresaliente dentro de Play Store.

Llegado el caso que aplicación se instale dentro del dispositivo, se hacen las

siguientes recomendaciones: se debe desinstalar la aplicación maliciosa del

dispositivo móvil, y borrar la cache que haya generado, de esta manera se podría

afirmar que aplicación ya existe dentro del equipo, y en el peor de los casos y que

tengamos la duda y no se sepa cuál es exactamente la aplicación maliciosa dentro

del dispositivo, se puede proceder a hacer una restauración del todo el equipo a la

configuración entregada por fabrica, y empezar con las recomendaciones hechas

en la primera parte de esta solución.

 

42    

REFERENCIAS

[1] Top 8 mobile operating systems from Jan 2012 to Jan 2013 ,http://gs.statcounter.com/#mobile_os-ww-monthly-201201-201301

[2] Estadisticas de creacion de malwares para sistemas moviles ,http://www.viruslist.com/sp/analysis?pubid=207271195

[3] La informática y análisis forenses, Things Up Security http://www.thingsupsecurity.com/2013/03/la-informatica-o-analisis-forense.html

[4]Ernesto Martínez de Carvajal Hedrich, Informática Forense 44 casos reales, pág. 180 (2012)

[5] Características y especificaciones actuales, http://es.wikipedia.org/wiki/Android