Smartphone Security Malware und Sicherheit für Android 1

1

Smartphone Security

Malware und Sicherheit für Android

2

Zur Person

Sebastian Bachmann Android Malware Analyst

– Analyse von Android Software– Reverse Engineering– Dynamische & Statische Analyse– Pflegen der Signaturendatenbank für Android

Seit Februar 2012 bei IKARUS

© 2013 IKARUS Security Software GmbH

3

Agenda

Android Basics Malware für Android Schaden Vektoren Bedrohungsanalyse Number Crunching & aktuelle Trends Demo IKARUS mobile.security


4

Das Android System

In der Basis Linux Eigene Laufzeitumgebung für Programme (Dalvik)

oder nativer Code (ARM, MIPS, x86, …)


5

Das Android System

Interne Sicherheit durch Linux UIDs Jede App bekommt eine eigene UID & GID Shared IDs für Entwickler sind möglich

(Beispiel: Mediaplayer und Encoderlib)


6

Berechtigungen

Jede App muss Berechtigungen anfordern um Systemdienste zu verwenden

Eine Berechtigung entspricht meist einer Linux GID

140 Berechtigungen von Android + Herstellerspezifische

Zum Teil zu ungenau definiert


7

Android IPC System

Interprozesskommunikation gelöst durch „Intents“

App kann Receiver oder Provider stellen Broadcasts vs spezieller Aufruf

– Broadcast „BOOT_COMPLETED“– Speziell „Chrome: öffne http://www.ikarus.at“

GUI einer App kann über MAIN Intent abgerufen werden

Intents können nicht zur Laufzeit angefordert werden

Benötigen unter Umständen Berechtigung


8

Open Source

Android ist Open Source Gerätetreiber sind jedoch meist Closed-Source Open Source bringt weitere Vorteile in Richtung

Sicherheit– lesbar für alle (sowohl für White- als auch Blackhats)– Bugfixes können schneller umgesetzt werden– Größere Entwicklergemeinde

Open Source kaum Anreiz Systeme zu „hacken“ „Security by obscurity“ vs „open system“


9

Android Sicherheit

Auf den ersten Blick sieht Android sehr sicher aus Apps müssen

– Berechtigung haben– Oder in der richtigen Gruppe sein

Dazu kommt:– Normalerweise keine Installation außerhalb von Google

Play– Honeycomb startet Apps nicht mehr automatisch nach

der Installation– Strengere Kontrollen durch Google– App muss Zertifikat enthalten

Trotzdem gibt es Malware für Android!


10

Venn


http://www.xkcd.com/1180

11

Exploits und 0Days

0day == unbekannter Exploit Anzahl der 0days auf Android unbekannt „Statistisch 2-3 Fehler pro 1000 LOC“

– Android >1 Million LOC >2k Softwarefehler? Exploits reichen von SQL Injection bis zu Browser

Exploits Mehr als 90% aller Angriffe basieren auf

bekannten Lücken


12

Fakeinstaller / Trojaner

Tarnen und Täuschen Spektrum von plumper Täuschung über kopierte

Apps Ausnutzen von bekannten Namen und Logos Einziger Hinweis sind oft nur die angeforderten

Berechtigungen

vs


13

Rootkits

Erlangen Rootrechte auf dem Gerät Installieren nativen Code Nativer Code sendet SMS oder Mails Der Code wird mit root-Rechten ausgeführt! Typisch für Botnetze & Spyware


14

Spyware

Motto: Unentdeckt bleiben zB als Payload eines Trojaners Daher sehr oft „App bundled“

– zB Spiel + integrierte Spyware professionelle Spionage Software vs „Datenkrake“ Erkennung oft sehr schwer


15

Adware

Finanzierung von Gratisapps Schätzungen gehen von >50%

Adware im Google Play Store aus Hunderte Adware Netze

– sehr viele Legitime– einige schwarze Schafe

Infektionsweg durch Adware? Methoden

– Bannerwerbung– Icons– Browsertheft– Pushnachrichten


16

Adware

Push Werbung als Marketingstrategie– Es kann die Werbung in der App aktualisiert werden– Die Werbung kann personalisiert werden

Zur Personalisierung werden Daten benötigt– IMEI dient zur Device Authentifizierung– GPS Daten– Telefonnummer (Land)– Display Daten– Allgemeine Geräte Informationen

Kann man dem Adnetwork Provider vertrauen– … dass die Daten sicher behandelt werden?– … dass Standortdaten nicht länger gespeichert bleiben?


17

Adware

Adware verhält sich oft wie ein Botnetz Erste Variante von Plankton unterstütze

dynamisches Laden von .dex Files Adware mit C&C Struktur Chinesische Adware läd im Hintergrund Apps

herunter– Installiert diese– Bewertet sie mit 5 Sternen– Deinstalliert die App

Keine Dokumentation dieser Funktionen!


20

Malware Today

„malware as a business“– Entwickler sind längst keine „Spaßvögel“ mehr sondern

hochbezahlte Programmierer die im Untergrund arbeiten– Auch geschulte Anwender werden überlistet– Sicherheitslücken werden kombiniert und ganze Exploit

Kits entwickelt– USSD bleibt PoC – da man kein Geld verdient

Trojaner, Wurm und Virus gibt es kaum noch Stichwort: Social Engineering, Spear Phising


21

Schaden für den Benutzer …

Schaden kann nie direkt klassifiziert werden sondern richtet sich nach dem Benutzer

Pushwerbung?– Für viele Menschen kein Schaden!– Nervige Werbung, Datenlogging

Gesperrte SIM Karte? / Premium SMS?– Finanzieller Schaden

SPAM sendende Rootkits?– Rechtliches Problem / Finanzieller Schaden

Spyware?– Leak von IMEI bis hin zu Industriespionage /

Überwachung


22

… ist Nutzen für den Entwickler

Pushwerbung– Werbung, Provisionen, Malwarevertrieb (?)

Gesperrte SIM Karte– KEIN Nutzen! Daher sind USSD Attacken nicht ITW!

Premium SMS– Wieviel SMS kann Ihr Handy pro Minute senden? Do the

Math! SPAM Rootkits

– Blaue Pillen, Abzockseiten, … Spyware

– Bewegungsprofil = Einbruch im Urlaub?– Überwachung, Online Banking, Zugangsdaten erbeuten,

…© 2013 IKARUS Security Software GmbH

23

Risikobewertung

Eintrittswahrscheinlichkeit

Schaden

Nutzen


25

Ursachen für Malware

Android möchte eine offene Plattform bieten Regulierungen sollen kaum vorgenommen

werden Premium SMS == neumodischen Dialer Geringe Sensibilisierung der Gesellschaft Verbreitungswege sind noch offen All-in-One Geräte

– Computer + UMTS + GSM + hohe Verfügbarkeit Extrem hohe Anzahl an Geräten (=potentielle

Opfer)


26

Anwender

Faktor Mensch ist nicht zu unterschätzen! Ein großer Teil von Malware benötigt manuelle

Aktionen Fast jede Malware sagt durch ihre Berechtigung

schon etwa aus was sie machen will ( zu ungenau!)

Es ist trendy viele Apps installiert zu haben Blackbox: Doch was macht die App da eigentlich

wirklich? Verständnis: „Die App braucht das Internet doch

sicher zum aktualisieren“


27

Malware über den Tellerrand

Aber nicht nur Android hat mit Malware zu kämpfen

Jedes System wird früher oder später angegriffen Auch Industriesteueranlagen, Embedded

Systems, Telefone, … sind von Malware betroffen „Staatstrojaner“: hohes Budget, die besten

Entwickler, alle Möglichkeiten – Folge: Stuxnet, Flame, …


28

Apple iOS

bisher nur 2 Fälle von Malware im AppStore Aber PUA ebenfalls stark präsent Strikte Regulierung durch Apple seit Einführung Apps können nur über AppStore bezogen werden Allerdings: Jailbreaked iPhones

– Viele Fälle von Malware bekannt– Exploits für Jailbreaked iPhones– Es gibt wieder einen offenen, unkontrollierten Channel


29

Windows Mobile

Meinung über Sicherheit gespalten Sicherheitsvorkehrungen lassen sich zum Teil

umgehen Erste Malware innerhalb von wenigen Wochen

gefunden Plattform noch zu wenig verbreitet Roter Oktober Malware installiert Spyware vom

PC aus und nutzt dabei spezielle Windows Mobile Lücken


30

RIM BlackBerry

Sichere Plattform, großes Ziel von RIM Trotzdem Malware, jedoch meist sehr speziell Betriebsspionage? Geringe Bekanntheit von Malware hat 3 Schlüsse:

– Es gibt einfach keine– Sie wird nicht von den Findern veröffentlicht– Sie wird teuer verkauft und durch NDA geschützt


31

Nokia Symbian

Erste Handy Malware wurde für Symbian entwickelt

Dann große Welle an Symbian Schadsoftware Einführung von Sicherheitsmaßnahmen Diese wurden jedoch schnell überwunden


32

Vektoren

Malware

Tauschbörsen

Secondary Markets

Google Play

Drive By Download

Spezielle Downloadseite

In App Download

PC Malware

Andere


33

Vektoren

Jede Technologie bietet einen neuen Angriffsvektor– NFC, Bluetooth, Joyn, Facebook, …

Angreifer muss wissen welches Ziel er verfolgt:– Breite Masse angreifen Erfolgsrate <30% ist schon

ausreichend– Einzelnes Ziel Erfolgsrate >95% muss gewährleistet

sein! Infektion ist fast immer möglich, limitiert durch

Zeit & Geld Social Engineering immer stärkere Komponente Wandel von SPAM Mails zum Browser Exploit


34

Rooted Phones

Erlauben es Programme als Superuser (root) auszuführen

Spezielle App soll Missbrauch verhindern

Lösung für Malware Entwickler:Anbieten einer legitimen App, welche die notwendigen Scripts bundled (zB Tether App)

Rooting stellt ein enormes Risiko dar da Sicherheitsfeatures komplett umgangen werden!


35

Customized ROMs

Erlaubt große Anzahl an neuen Features Performancesteigerung durch weglassen von

Google Services Bringt oftmals eigene Sicherheitsfeatures mit Können Sie einem Download trauen? Rooting erforderlich (kann aber abgeschaltet

werden) Möglichkeit eigenes Firmen-Android zu entwickeln Problem der Wartbarkeit

– Hardwareunterstützung– Softwaresupport


36

Noch mehr Probleme…

Technische Sicherheitslücken werden oft als einziges Problem von technischen Geräten wahrgenommen

Nicht-technische Sicherheitsprobleme– Verlorenes Smartphone (Data leakage)– Gestohlenes Tablet (Data leakage)– Gelöschte SD Karte (Data loss / data corruption)– Defektes Gerät (Data loss / data corruption)– …

Gestohlene Geräte werden einfach weiter verwendet.Neuinstallation des Systems in den wenigsten Fällen!


37

Zum Beispiel: Data Leakage

Daten werden an unbekannte Dritte weitergegeben

Zustimmung in AGB Überwachung von Personen möglich

– Genaue Standortprofile– Gesprächsprotokolle

Betriebsspionage Staatliche Überwachung

– Ägypten setzte FinSpy ein– Deutschland entwickelt „Bundestrojaner“

Rechtliche Grauzone!


38

Bedrohungsszenario

In einer Firma werden Android Smartphones für die Mitarbeiter eingesetzt. So sollen Kontakte, E-Mails und andere Dienste auch Mobil besser verfügbar sein.Den Mitarbeitern wird nicht gestattet die Geräte privat zu verwenden. Ein Mitarbeiter hat noch ein altes Gerät, möchte aber nicht auf die Vorzüge eines Smartphones verzichten und verwendet das Gerät auch Privat.Weil das Gerät noch kein WLAN-Tethering unterstütz, wird es gerooted um eine Tetheringsoftware zu installieren.Das Smartphone wird auch verwendet um Online Banking TANs anzufordern, für Facebook und Online Spiele.Bei einem Kunden lässt er das Gerät am Tisch liegen, während sie beim Mittagessen sind.


39

Bedrohungsszenario

Eines der Heruntergeladenen Spiele bringt einen Online Banking Trojaner mit

Es werden mehrere Buchungen vom Konto durchgeführt und das Konto somit weit überzogen

Auf Facebook wird ein Link zu einem vermeintlichen Update für Android verbreitet

Dieses Update ist in Wirklichkeit eine App welche im Hintergrund an alle Kontakte SPAM Mails versendet

Durch den Root zugriff können SMS Trojaner die Nachrichten ohne eine Berechtigung anzufordern senden

Beim Kunden installiert jemand unentdeckt einen Datenlogger und legt das Gerät wieder zurück

Die (Firmen-)Daten vom werden an den Angreifer gesendet


42

Bedrohungsanalyse

Die gleichen Bedrohungen wie beim PC (Trojaner, Adware, Spyware, …)

Zusätzlicher Faktor der Mobilität All-in-One – was machen sie alles mit ihrem Smartphone? Großes Angriffsspektrum durch viele Vektoren Always On – ermöglicht dauerhaften Internetzugriff Ein Smartphone hat annähernd die selbe Uptime wie ein

Server! Einschränkungen in der Technik wollen vom Benutzer

beseitigt werden Sehr hohes Vertrauen in die Technik „Es ist doch nur ein Telefon“


43

Android Malware 2012

1837% Anstieg 2011 zu 2012 von Mobile Malware Extremer Anstieg an PUA

1.2011

3.2011

5.2011

7.2011

9.2011

11.2011

1.2012

3.2012

5.2012

7.2012

9.2012

11.20120

100020003000400050006000700080009000

Samples Moving average (Samples)Ohne Adware


44

Android Malware 2012Families that steal personal information 51,3 %

Families that send premium rated SMS messages 30,1 %

Families with characteristics of a Botnet 23,5 %

Families that contain Root-Exploits 18,3 %

Families downloaded from the Google-Play Market 11,3 %

Families that install additional applications 10,4 %

Families that steal location related data 8,7 %

Potentially unwanted applications 7,8 %

Online-Banking Trojans 3,5 %

Sample Set: 43.000 Malware Apps

Knapp 5000 Apps waren imGoogle Play Store erhältlich!

Frage: Malware = ???

http://forensics.spreitzenbarth.de/2013/01/02/android-malware-summary-2012


45

10 Fragen für den Benutzer

Lese ich alle Berechtigungen und weiß was sie bedeuten? Sind die App Bewertungen gut, gibt es schlechte

Kommentare? Wie hoch ist die Anzahl der Downloads? Mache ich regelmäßige Updates von Apps und Android? Ist mein Virenscanner aktuell? Habe ich automatische Scanvorgänge aktiviert? Habe ich Premium Nummern bei meinem Provider

sperren lassen? Ist das USB-Debugging auf meinem Gerät deaktiviert? Ist mein Gerät nicht gerootet / jailbreaked? Habe ich die installation von unbekannten Anwendungen

verboten?


46

10 Schritte für die Administration

Sicherung des schwächsten Gliedes Oberflächliche Lösungen / Workarounds

vermeiden Fehlermeldungen absichern Minimale Berechtigungen Berechtigungsgruppen nach Aufgaben KISS Vermeidung von Security by obscurity Überprüfung von allem, doppelt Sicherheit muss Nutzbar sein Awareness für die Benutzer schaffen© 2013 IKARUS Security Software GmbH

47

Android Security at a glance

Android bringt viele Sicherheitsfeatures mit Malware versucht diesen gezielt auszuweichen Der Benutzer wird oft bei der Installation

getäuscht Statistiken zeigen stark erhöhtes Aufkommen in

2012 Prognose für 2013: mehr Exploits, bessere

Vertreibswege– „Entwicklerkindergarten“ - jetzt kommt die Volksschule

Werbung ist nicht gleich Werbung Bedrohungen sind vielfältig Man kann sich schützen!© 2013 IKARUS Security Software GmbH

48

Demo

Der Benutzer läd sich auf einer Filesharing Seite die neue Version von „Angry Birds“ herunter


49

Demo

Diese wird nun installiert

Es sind dabei keine Berechtigungen angegeben


50

Demo

Die Anwendung wurde erfolgreich installiert


51

Demo

Nach dem starten stellt der User fest, dass es kein Angry Birds ist

Stattdessen hat er nur einen Downloader heruntergeladen

Ein Klick auf den Herunterladen Button und…


52

Demo

… eine SMS erreicht den Anwender


53

Demo

Wie kann eine App ohne Berechtigungen so etwas machen?– Ausnutzen eines Exploits– Die SMS wurde nie von einem anderen Gerät gesendet– SMS wurde von der App nur ins Postfach gespeichert

Im Worst Case versucht der Anwender nun das vermeintliche Abo zu kündigen

More Sophistication ( = Social Engineering):– SMS nach zufälliger Zeit senden– Nach einiger Zeit Mahnungen senden– Echtes Angry Birds installieren


54

IKARUS mobile.security

Virenscanner

SMS-Fernsteuerun

g

SMS-Blacklist


Adware

Scanner

URL-Filter

Kommt mittelfristig

55

Hauptfeature: Virenscanner

Was wird gescannt?– Installierte Apps– Dateien auf der Speicherkarte

Wann wird gescannt?– Manuell gestartet– Automatisch in geplanten Intervallen– Automatisch nach App-Installationen und

wichtigen Änderungen auf Speicherkarte Was geschieht mit Infektionen?

– Werden in Liste erfasst– Können vom Benutzer gelöscht werden– Können an IKARUS geschickt werden („in

unserem Labor kostenlos analysieren“)


56

Extra-Features: SMS Fernsteuerung für den Fall „Handy gestohlen

oder verlegt“:– User schickt von anderem Handy SMS mit Passwort

und Kommando-Code an eigene Telefonnummer– Orten: Handy ermittelt Position via GPS oder

Netzwerk und schickt diese in Antwort-SMS zurück– Löschen: Handy auf Werkszustand zurücksetzen

(Schadensbegrenzung bei Diebstahl oder Verlust)– Sperren: Gesamtes Handy wird mit Passwortabfrage

blockiert– Alarm: Sperren mit zusätzlichem Alarmsignal-Sound.

SMS-Blacklist:– Telefonnummer in Liste eintragen, wahlweise direkt

aus Adressbuch– SMS von eingetragenen Nummern werden

„verschluckt“

Jetzt neu: mit Notruf-

Möglichkeit!


57

Technische Einschränkungen Android: offenes System, aber kein

Sonderstatus für unsere App Kein vollständiger Dateisystem-Zugriff. Anrufe blockieren schon ab 2.1 auf

vernünftige Weise möglich Oftmals User-Zustimmung über nicht

selbst gestaltbare System-Dialoge nötig:– App als „Geräte-Administrator“ festlegen für

„Löschen“-Fernkontrollkommando– App als „Standard-Homescreen“ festlegen

für Sperren und Alarm– Bestätigung bei App-Deinstallationen nach

Virenfunden Nicht mit Windows-Desktopanwendung

vergleichbar!


58

Rooting als Lösung

Durch Root Rechte könnten alle Probleme beseitigt werden

Jedoch Gefahr von Missbrauch Nicht geeignet für den Endanwender Funktioniert nicht auf jedem Gerät

Daher kein Rooting!


62

Künftige Weiterentwicklung

Neue Features:– URL-Filter– Adware Scanner– QR-Code-Scanner für Aktivierungscodes– Tablet Layout


63

URL-Filter

Browser-Zugriff auf bestimmte URLs blockieren Bereits als Proof of Concept vorhanden Grundidee: IKARUS stellt URL-Blacklist zur

Verfügung, App überwacht Browser-History und leitet bei bösen URLs auf Warn-Seite weiter

Kein lückenloser Schutz!


64

Bedrohungsminimierung

Virenscanner zum finden von bekannter Malware SMS Feature bei verlorenem Gerät URL Scanner gegen Webbasierte Angriffen Adware Scanner gegen PUA Verwenden von Android Boardmitteln statt

Schaffung von Sicherheitslücken durch Rooting


66

Q & A


Sebastian [email protected]

IKARUS Security Software GmbH

Documents

Smartphone Security Malware und Sicherheit für Android 1