Diseccionar aplicaciones de Android en busca de funcionalidades de Ransomware.

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone

Ransomware es un tipo de malware que se instala de forma encubierta en un ordenador o un teléfono movil, sin el conocimiento del usuario, después restringe el acceso al sistema informático infectado y exige que el usuario pague un rescate a los operadores del malware, para eliminar la restricción. El ataque del ransomware consiste en cifrar archivos de forma sistemática, en el disco del sistema, que se convierten en inaccesibles, si no se paga el rescate. Otros ataques pueden simplemente bloquear los mensajes del sistema y la visualización de un mensaje para convencer al usuario a pagar.

heldroid-filter

El ransomware normalmente se propaga como un troyano, cuya carga útil se disfraza como un archivo aparentemente legítimo, por ejemplo, como archivo descargado o explotando una vulnerabilidad de software. El ransomware intenta leer y luego cifrar los archivos, creando un identificador para cada archivo con el que interactúa. No importa qué algoritmo de cifrado utilice, este es un concepto mas a bajo nivel, en función de cómo el núcleo del sistema operativo interactúa con el hardware del sistema.

HelDroid es una herramienta para hacer frente al análisis de ransomware en aplicaciones Android. Lo que hace en pocas palabras es encontrar pistas en el bytecode de aplicaciones Android, que indican la presencia de código utilizado para implementar las características típicas de ransomware.

Las pistas que busca HelDroid para detectar si es un ransomware son:

  • Uso de rutinas de cifrado sin intervención del usuario.
  • Bloquear la pantalla y hacer que el dispositivo quede inutilizable.
  • Mostrar mensajes amenazantes en la pantalla para pedir un rescate.
  • Abuso de la API de administración de dispositivos para el bloqueo o limpieza sin supervisión.

Esta herramienta se centra en las rutinas que están vinculadas al abuso de la API de Android para la implementación de ransomware. El enfoque de HelDroid es casi 100% de análisis estático de archivos APK, es decir, no ejecuta la muestra a menos que sea necesario. Por un lado esto hace las cosas más sencillas, por otro lado, no trata el comportamiento de ransomware expresado dinámicamente.

HelDroid analiza cada APK Android para decidir si se trata de una muestra de ransomware empleamos tres, detectores independientes, que pueden ejecutarse en paralelo:

  • Detector de texto amenazante.
  • Detector de cifrado.
  • Detector de bloqueo.

Cada detector busca un indicador específico de comportamiento de ransomware. El detector de texto amenazante analiza texto para detectar tentativas de mensajes amenazantes. Si el resultado de esta clasificación es positivo, pero los otros no lo son, etiqueta la muestra como scareware. Esto significa que la aplicación se limita a mostrar algún texto amenazador para convencer a la víctima de hacer alguna acción. Si también es marcado por el detector de cifrado o el detector de bloqueo, esto significa que la aplicación está realizando activamente una acción en el dispositivo infectado, en este caso, se etiqueta la muestra como ransomware.

Hay que tener en cuenta que si el detector de texto amenazante no se activa, la muestra es descartada y no puede ser considerado como ransomware o scareware. Aunque estos tres detectores podrían combinarse de otras maneras (por ejemplo, incluyendo la ponderación), en esta herramienta  han considerado que la presencia de un texto amenazador es obligatorio para que el ransomware alcance su meta.

Fuente:http://www.gurudelainformatica.es

 

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone