ALL YOUR MALWARE ARE BELONG TO US! Manu Quintans eCrime & Intelligence Management mquintans@section9security.com @section9sec

PRINT “HELLO,WORLD!”

WHOAMI

Crimeware   Researcher   Vinculado   desde   ya   hace   muchos  años  a  la  escena  underground  como  colaborador  de  grupos  como   DTFZine(SP),   DC4420   (UK),   HackHmes.com,  MalwareIntelligence   ha   desarrollado   su   experiencia   en  d i ferentes   sectores   tecno lóg icos   adqu i r iendo  conocimientos  en  diversas  disciplinas.      En   la  actualidad  se  dedica  a   invesHgar   temas  relacionados  con   Phishing,   Malware,   Hacking,   Botnets   en   el   grupo   de  invesHgación   Malware   Intelligence   y   en   su   aspecto  profesional  es  el  responsable  del  servicio  de  eCrime  para  la  compañía  Suiza  SecHon9  Security.  

MANU QUINTANS eCrime & Intelligence Managment

INDEX /ALL YOUR MALWARE ARE BELONG TO US

HISTORY

HISTORY

MOBILE REVOLUTION!

HISTORY GROWING MARKET

894250,00  

1588005,00  

2093444,00  

1245403,00  

0,00  

500000,00  

1000000,00  

1500000,00  

2000000,00  

2500000,00  

2008   2009   2010   2011  

Mobile  Market  

Cifras  

HISTORY

“La  consultora  Computer  Economics  ha  publicado  un  estudio  en  el  que  afirma  que  las  pérdidas  provocadas  por  el  malware  en  el  mundo  durante  los  úl5mos  10  años  son  de  110.000  millones  de  dólares”  

FRAUD

BASED ON A TRUE HISTORY

MALWARE EVOLUTION Nombre Características Riesgo

AndroidOS.FakePlayer.a

AndroidOS_Droisnake.A

AndroidOS.FakePlayer.b

AndroidOS.FakePlayer.c

Android.Geinimi

Android.HongTouTou

Android.Pjapps

Android.DroidDream

Android.BgServ

Android.Zeahache

Android.Walkinwat

Android.Adsms

Android.Zsone

Android.Spacem

Android.LightDD

Android/DroidKungFu.A

Nombre Características Riesgo

Android.Basebridge

Android.Uxipp

Andr/Plankton-A

Android.Jsmshider

Android.GGTracker

Android.KungFu Variants

AndroidOS_Crusewin.A

AndroidOS_SpyGold.A

DroidDream Light Variant

Android.Smssniffer

Android.HippoSMS

Android.Fokonge

Android/Sndapps.A

Android.Nickispy

Android.Lovetrap

Android.Premiumtext

Android.NickiBot

INSIDE THE BUSINESS IT’S TIME TO CATCH THE BAD GUYS! ;)

INSIDE BUSINESS

Boss  

CAPO  

Soldiers  

CAPO  

Soldiers  

CAPO  

Soldiers  

Underboss  

Consilliere  

Partners  

INSIDE BUSINESS

Boss  

CAPO  

Soldiers  

CAPO  

Soldiers  

CAPO  

Soldiers  

Underboss  

Consilliere  

Partners  

INSIDE BUSINESS

Partners  

BU  Director  

Account  Manager  

Project  Manager   Analyst  

Developer  

Developer   Developer  

TARGET

TARGET

MONEY

MONEY!

MONEY MONEY!

MONEY MONEY! MONEY MONEY!

MONEY MONEY! MONEY MONEY!

MONEY MONEY!

MONEY MONEY!

MONEY MONEY!

YOU!

TARGET

THE WEAKEST LINK!

TARGET VIVIENDO AL LIMITE!

VULNERABILITY VIVIENDO AL LIMITE! (SEGUNDA PARTE)

VULNERABILIDAD  “TOUCH-­‐EVENT  HIJACKING”  PODEMOS  MOSTRAR  AL  USUARIO  UNA  INTERFAZ  TAPADERA.  HACER  COMPRAS,  CLICK  EN  BANNERS  DE  PUBLICIDAD,  INSTALAR  APLICACIONES,  SALTARNOS  LOS  PERMISOS,  O  INCLUSO  ROBAR  CUALQUIER  TIPO  DE  INFORMACIÓN  DEL  TELÉFONO.  

¿CÓMO  FUNCIONA?  A  TRAVÉS  DE  TOASTS  ,  QUE  PERMITEN  PASAR  LOS  EVENTOS  A  LAS  CAPAS  INFERIORES.  

¿QUÉ  VERSIONES  SE  VEN  AFECTADAS?  SEGÚN  GOOGLE  NINGUNA,  ESTA  VULNERABILIDAD  ESTÁ  CORREGIDA.  REMITIÉNDONOS  A  LAS  PRUEBAS,  A  DÍA  DE  HOY  <=  4.0  

VULNERABILITY ¿QUÉ  PIENSA  GOOGLE  DE  TODO  ESTO?  

HA-HA!

PROOF OF CONCEPT (POC)

VULNERABLE

Proof  Of  Concept  (POC)  

SECTION9 SECURITY

ANDROID VULNERABLE

ALL  VERSIONS  

RESULTS

SAY  BYE  BYE!  GUYS!  ALL  YOUR  ANDROID  ARE  PWNED!!!  

RESULTS

CONCLUSIONS

Y RECUERDEN, TENGAN CUIDADO AHÍ FUERA

GRACIAS!!! MANU QUINTANS ECRIME & INTELLIGENCE MANAGEMENT MQUINTANS@SECTION9SECURITY.COM HTTP://WWW.SECTION9SECURITY.COM @SECTION9SEC