PDF de programación - ¿Malware? in Google Play

elevenpaths.com



elevenpaths.com



01

Mobile malware is coming!
… érase una vez, en abril de 2013…



elevenpaths.com



4

01

Mobile malware is coming!



elevenpaths.com



5

01

Mobile malware is coming!



elevenpaths.com



6

01

Mobile malware is coming!
Pero Android es Linux, y no existe malware para Linux, ¿no es cierto?



• Adrian Ludwig, jefe de seguridad de Android en la Virus Bulletin de Berlin 2013:
Con datos sobre la mesa, desmontó el supuesto "mito" de que Android se infecta
mucho con malware.


• Decía que los reportes sobre malware en Andorid no reflejan la realidad. Puede

haber mucho ahí fuera, pero no llega a instalarse.


• Entre sus afirmaciones, destaca que solo el 0.001% de las instalaciones de apps

en Android son capaces de evadir las defensas multicapa de Android.

elevenpaths.com



7

01

Mobile malware is coming!
Pero Android es Linux, y no existe malware para Linux, ¿no es cierto?

• Ludwig quiere recalcar que las defensas de Android son eficaces. Y probablemente

sea cierto. Lo importante es…

• ¿Limita eso las infecciones como para que dejen de considerarse un problema?

• ¿Le importa siquiera a la industria del malware en Android?

• ¿Hace que desciendan los niveles de infección o que se dediquen menos esfuerzos

a crear malware nuevo para esta plataforma?

• Se pueden disponer de buenas defensas en seguridad y ser esclavo del malware.

Que se lo pregunten a Windows…

• Ludwig no distingue entre la eficiencia en números de sus herramientas y los niveles

de infección. Decir que solo un 0.12% de las aplicaciones que ellos detectan como
malware llegan a ser instaladas, no ofrece ningún dato sobre el porcentaje real de
infecciones en los sistemas Android. Y pueden llegar a ser cifras muy dispares.
¿Detectas todo? ¿Cuánto es ese 0.12 en números absolutos?

• Ej: Spam. ¿Es o no un problema?

elevenpaths.com



8

01

Mobile malware is coming!
Pero Android es Linux, y no existe malware para Linux, ¿no es cierto?

• También parten, como siempre, de la supuesta fiabilidad de la detección
de apps como maliciosas. No todo lo indetectado es benigno. ¿Cuántas
no detectadas como malware eluden las capas de seguridad? No se
sabe.

• Kindsight Security Labs afirman que más de un 1% de los Android están

infectados. Y eso solo donde operan. En países como China o Rusia el
ratio es muy superior al resto del mundo. Si preguntamos a las casas
antivirus, las cifras sin duda se elevarán.


elevenpaths.com



9

01

Mobile malware is coming!
¿A quién creer?



• El jefe de seguridad de Android obvia que al malware/adware que envía SMS a

números premium, roba información, hace fraude por click, o que muestra
publicidad constantemente (los más populares), no les importa estar encerrados en
una sandbox, y mucho menos tiene como objetivo dañar el teléfono (debe
mantener vivo a su anfitrión para monetizar la infección). Estas medidas les resultan
simplemente irrelevantes.

• Ni siquiera menciona otros aspectos, como la cantidad de adware/malware que se
cuela en Google Play y elude sus propias defensas…. (por no hablar de lo que existe
ahí fuera).

• Y esa cantidad de adware/malware que se cuela indica que los atacantes no

renuncian a una producción masiva... y si no lo hacen es porque les es rentable.

• De ahí se deduce un panorama diferente al que pinta Ludwig. Los atacantes

consiguen beneficios con esta producción creciente, mantienen un ratio de infección
que compensa sus esfuerzos, obvian o eluden las medidas de seguridad impuestas.

elevenpaths.com



10

01

Mobile malware is coming!
¿Y si buscamos adware/malware en Google Play?

• Qué podremos encontrar:

• Malware y aplicaciones "espía“
• Programas que "parecen" otros, pero no lo son realmente.
• Programas estafa
• Programas que, en Google Play son presentados como réplicas casi exactas

de otros…

• RATs…

• En resumen:

• Mucho adware.
• Bastante malware.
• Mucha… porquería.
• … y casi cualquier cosa, literalmente.



elevenpaths.com



11

01

Mobile malware is coming!
Con esta premisa, comenzó la investigación…



elevenpaths.com



12

01

Mobile malware is coming!
Estrategias

• Estaba claro que algo raro ocurría en Google Play.
• Las apps que se plagiaban iban y venían constantemente, y no me

resultaba muy difícil encontrarlas…

• ¿Cómo conseguían que los demás lo encontraran? ¿Qué estrategias

seguían?

elevenpaths.com



13

01

Mobile malware is coming!
Rentabilidad

• Hay quienes subían decenas de apps de este tipo a diario… ¿Es

rentable el negocio?

• Crean cuentas a diario (a veces hasta dos y tres diferentes) lo que

supone una inversión de 20 euros cada una.

• Las apps (y las cuentas) son retiradas entre 48 horas y una semana

después de ser subidas. Dependiendo de su sutileza, a veces
permanecen más tiempo.

• Cada instalación o clic posterior suelen ganar unos céntimos. Cuando

más agresiva la publicidad, más le pagan por cada instalación.

• Esta estrategia es seguida por decenas de desarrolladores a diario,

desde hace mucho tiempo.


elevenpaths.com



14

01

Mobile malware is coming!
Rentabilidad

elevenpaths.com



15

01

Mobile malware is coming!
Cómo llegan a las víctimas

elevenpaths.com



16

01

Mobile malware is coming!
Es fácil crear apps si sabes cómo

elevenpaths.com



17

01

Mobile malware is coming!
Pero… ¿para qué están los permisos?

elevenpaths.com



18

01

Mobile malware is coming!
¿Qué hacen y por qué?



• .

elevenpaths.com



19

01

Mobile malware is coming!
¿Y qué más puedo encontrar?

elevenpaths.com



20

01

Mobile malware is coming!
¿Y qué más puedo encontrar?



• .

elevenpaths.com



21

01

Mobile malware is coming!
Hasta mediados de 2014…



• Pero en 214, Google, tras años de investigación…



elevenpaths.com



22

01

Mobile malware is coming!
Y a partir de ahí, el panorama cambia



• .

elevenpaths.com



23

01

Mobile malware is coming!
Y a partir de ahí, el panorama cambia

elevenpaths.com



24

01

Mobile malware is coming!
¿Y los estudios que dicen que hay tanto malware en GP… qué pasa con ellos?

Siempre digo que definir malware no es trivial para empezar. La única manera de estar seguros es

reversear la app. Y no se pueden reversear manualmente millones de apps. Además, el
malware más importante es el que no se ha descubierto todavía.



elevenpaths.com



25

elevenpaths.com



26

01

Mobile malware is coming!
True but… what is malware, anyway?

Estos estudios están muy bien pero creo que la vida real es diferente.
• Lo que hacen es tener una muy buena solución detectano malware muy

específico….

• … porque son muy dependiente del conjunto de malware con el que

entrenan la inteligencia. (Confían en VirusTotal or ContagioDump…), así
que son buenos detectando ese tipo de malware….

• … y se olvidan del adware, por ejemplo…
• … siempre confían en los permisos…
• … y trabajan con un conjunto muy pequeño.



elevenpaths.com



27

01

Mobile malware is coming!
Choosing the malware set

Y es que VirusTotal es excelente, pero debe entenderse cómo utilizarlo.

a) Comparar antivirus en general ya sabemos que es una mala idea. Tan solo lee

por qué en su página.


b) Catalogar muestras de malware como malware porque son “muy detectadas”.

¿Qué significa eso exactamente?

• ¿Cuál es el umbral adecuado?? VT>5, VT>10, VT>15?
• Engines are growing in VT…
• If we use reputation of the engine as a factor… what is “reputation”? Vary famous?
• Do we really take into account that some Avs simply do not work with Android?
• Do we really penalize engines that detect “a lot”, so much that they may be false positives?

Setting as goodware samples with 0 detections: Depending of the freshness of the sample,
samples are not detected by signatures.



elevenpaths.com



28

01

Mobile malware is coming!
Choosing the malware set

So far, for sure we just have “numbers” and subjective “quality” of

engines… Did you know…?



elevenpaths.com



29

01

Mobile malware is coming!
Choosing the malware set

So far, for sure we just have “numbers” and subjective “quality” of

engines… Did you know…?
• Virustotal sends the samples to all AV houses.
• From an AV standpoint, the first criteria for a quick detecting such a

flood of malware is, precisely… VirusTotal.

• Later, when they can (time rules) they may create a rule or analyze the

sample.

• So, for some antivirus, VT is their first source, and… if researchers

apply this criteria… this criteria is, in some way, feeding back itself.



elevenpaths.com



30

01

Mobile malware is coming
What about adware?

Adware for Android may be very aggressive. Such aggressive that it could steal data,

Adware is a tricky matter.

or flood you with popups since the telephone turns on.

Antiviruses



Google Play

•

• Android programmers use SDK to inject
ads and have some revenues. They may
configure this SDK so it is more or less
aggressive.

They usually mark this SDK as ADWARE. It
does not matter how the programmer
have configured this ads to work into the
app.

They want to detect a lot, and get rid of
ads for the user

•

• Google Play IS OK WITH ADS, much more

than Avs or even users. What may be
wrong for an AV, is still ok with Google
Play.


• Google Play wants to make money from

this ads. But Google Play does not want to
be “so OK that it bothers the user”…

So, AFTER some complains, investigations,
or any other criteria, it removes them.

•

So, basically, there is a gray zone, and a conflict of interests.

elevenpaths.com



31

01

Mobile malware is coming!
True but… what is malware, a