Seguimos compartiendo con ustedes sobre lo que sucede en Berlin, en el marco de la Virus Bulletin 2013, para mantenerlos informados acerca de las últimas tendencias e investigaciones dentro del mundo de los antivirus y la lucha contra los códigos maliciosos. Sí, vamos a hablar de mobile.
Durante el día de hoy, uno de las temáticas principales fue el mundo mobile. Saber y compartir qué es lo que está pasando en el mundo del malware para dispositivos móviles nos permite estar un paso adelante en cuanto a técnicas de análisis y protección. La primera charla del segundo día de Virus Bulletin estuvo a cargo de Rowland Yu, de la compañía Sophos, quien presentó “GinMaster : a case study in Android malware” una amenaza para Android capaz de filtrar información del usuario y enviar datos acerca de qué aplicaciones el usuario instala o deja de instalar en su dispositivo.
La segunda charla de mobile estuvo a cargo de Samir Mody, de K7 Computing con su charla “I am not the D’r.0,1d you are looking for”. Compartiendo con nosotros algunas de las técnicas que los cibercriminales utilizan para ofuscar el código de sus amenazas en Android. Uno de los temas principales era acerca de cómo ofuscar el archivos clases.dex, uno de los principales archivos dentro de un APK, es decir, de una aplicación de Android.
Entre las técnicas y herramientas que comentó Samir a lo largo de su charla, hizo mención a Proguard, una herramienta diseñada para proteger aplicaciones legítimas. Sin embargo también puede ser utilizada por los cibercriminales para hacer que el análisis de sus códigos maliciosos sea más complejo y dificultar las tareas de ingeniería inversa. Algunas de las técnicas que se abarcaron incluyen la inserción de NOPS dentro del bytecode de la aplicación, la implementación de saltos condicionales e incluso la utilización de Move & Binop.
Invoke, finalmente viene para la utilización de lo que en programación se conoce como reflection, en donde de manera dinámica se buscar un método dentro de una clase, para luego invocarlo y que se ejecute. Esta última técnica, era utilizada en Boxer, el troyano SMS sobre el cual hemos publicado un artículo y afectó a varios países de Latinoamérica.
La tercera charla del primer set de la conferencia fue un poco peculiar, ya que fue la primera vez en las 23 ediciones de Virus Bulletin que la presentación se hizo a través de una video conferencia, desde Pakistan. En esta oportunidad, especialistas de nexGIN RC, compartieron su investigación “The Droid Knight: a silent guardian for the Android kernel, hunting for rogue smartphone malware applications”.
En el marco de sus tesis, presentaron un framework para Android que realiza un análisis dinámico de las aplicaciones instaladas en el dispositivo con el objetivo de poder detectar falsas soluciones de seguridad. A lo largo de su investigación, utilizaron diferentes métodos y ecuaciones matemáticas para determinar, mediante las llamadas a funciones y el entrenamiento de su sistema, capacidades de detección de aplicaciones maliciosas. Los puntos centrales de su investigación eran la detección de malware en tiempo real, la clasificación de malware basados en capacidades y un sistema de votos para la identificación de potenciales amenazas.
Como pueden ver, el segundo día de la conferencia arrancó con todo y estuvo bien orientado al mundo de los dispositivos móviles y las amenazas que atentan contra la privacidad del usuario. Nosotros seguiremos compartiendo con ustedes todas las novedades desde esta 23era edición de Virus Bulletin en la maravillosa ciudad de Berlin y conversando acerca de las últimas investigaciones para enfrentar a los códigos maliciosos en plataformas móviles, sobre todo, Android.
Pablo Ramos
Security Researcher
