Комплекс предназначен для анализа поведения клиентов бот-сетей, осуществления перехвата пакетов от центров управления, а также для выявления заражённых абонентских станций и оперативного противодействия вредоносному программному обеспечению, используя инфраструктуру оператора сотовой связи. Основным назначением является автоматизация информационно-аналитической деятельности в бизнес-процессах, которая поможет оператору сотовой связи защитить сеть от угроз, вызванных бот-сетями и предоставить абоненту новую услугу по защите.

1. Противодействие вредоносному ПО для
мобильных устройств на сети оператора
связи
Android honeypot в антифроде
Николай Гончаров, Денис Горчаков

2. Наглая ложь и статистика
По отчетам антивирусных компаний доля вредоносного ПО для ОС Android среди общего числа
мобильных вирусов составляет 95%.
Абоненты России лидируют по угрозе заражения своих смартфонов.
Более 50% от всех экземпляров мошеннического ПО для мобильных устройств, выявляемых ими в
мире, разработано против абонентов российских операторов.
На 2013 г. был известен 1321 уникальный банковский вирус, на конец I квартала 2014 г. их стало уже
2503.
После внедрения Advice of Charge (AoC) для всех контентных услуг наблюдается рост монетизации
через системы мобильной коммерции, атаки на пользователей платежных систем и SMS-банкинг.
Вирусы для мобильных приобретают функции «больших братьев»: WinLocker, CryptoLocker, руткиты,
RAT.
2

3. Что умеют и делают?
Обход стандартных антифрод-правил: вывод денег со счетов абонентов, в том числе на протяжении длительного периода
времени небольшими суммами и случайными значениями.
Подписки на контент-услуги (см. предложения «конверта» на форумах, монетизация трафика)
Реклама в области уведомлений. Накрутка мобильных посещений в браузере. (черное SEO)
«Слив» истории звонков, контактов, SMS.
Спам по контактам абонента и не только (массовое распространение, обход закона о противодействии SMS-спаму).
Работа с SMS без ведома пользователя – в коде парсеры для банков и платежных систем (мобильная коммерция, SMS-
банкинг).
Имитация легитимных приложений - фишинг (ввод карты при запуске Google Play, «личные кабинеты», клиенты мобильных
банков)
Эстетика и фантастика:
Удаленное управление мобильным устройством, в том числе включение микрофона, камеры и прослушивание того, что
происходит рядом с абонентом. Организация звонкового DDoS.
Антиотладка:
Приоритет отрисовки интерфейса. Геолокация. Проверка наличия подключенных сервисов.
Модули противодействия вирусам (класс kavf#cker :) ). Получение root’а.
3

4. Виноват Android!111
В отличие от других мобильных ОС, Android легко позволяет производить установку приложений из
недоверенных источников. Остается лишь немного социальной инженерии.
Злоумышленники имеют возможность распространять сомнительные программы напрямую через Google Play,
пользуясь недостатками процесса модерации.
Политика в отношении поддержки актуальности прошивок устройств приводит к серьезной фрагментации.
Существующие устройства не получают новую версию ОС, в которой устраняются интерфейсные недостатки и
уязвимости, используемые вирусами.
4

5. Наглая ложь и статистика #2. Реальная фрагментация
Только начиная с Android 4.2
доступен “More control of Premium
SMS”, выводящий системный
диалог подтверждения отправки
SMS на короткий номер.
Только начиная с Android 4.4
приложения не могут скрытно
отправлять исходящие SMS на
любые номера, все отправленные
сообщения пишутся в журнал SMS.
Подавляющее большинство
аппаратов не получит обновления
до следующей версии Android.
5

6. Сухие цифры и занятные факты
Ежедневно более 80 000 ссылок на вредоносное и мошенническое ПО из различных источников. Неудивительно, с учетом
«партнерок», способных автоматически генерировать .apk-файлы. Уникальных ссылок гораздо меньше, но уже достаточно,
чтобы не использовать ручной труд.
В ИБ нет ресурсов на разработку мощных алгоритмов машинного обучения, зато есть доступ к сети и инструментарию
оператора.
Троянская сеть «Reich»
Банковский вирус. Даже на раннем этапе распространения попались более 5 500 абонентов, и ~850 из них реально потеряли
деньги через нелегитимные операции по их счетам.
SIP-троян
После установки создавал учетную запись в SIPNet за счет средств абонента. Мог использоваться для звонкового DDoS, но
почему-то не стал популярен.
Фантастика
Детские ошибки в коде, опечатки. Ключ для расшифровки конфигурации хранится в теле вируса. Монетизация через оплату
аккаунтов сервера WoW.
Мы не антивирусные аналитики, но где динамические hostname?
6

7. Mobile Security (malware-C&C hostname)
7

8. Общая схема комплекса
Стенд мобильных устройств
Мобильное
приложение
Server
Рабочая
станция
оператор
БД - PostgreSQL WEB-интерфейс
Femtocell
WiFi
WWW
SMSC
Эмулятор сервисов
Клиент
SMPP
Сеть оператора связи
DPI/DNS/аналитика/выявление/противодействие
Данные по
скомпрометированным
абонентам
Отчет
Комплекс предназначен для анализа поведения клиентов бот-сетей, осуществления перехвата пакетов от центров управления, а также для
выявления заражённых абонентских станций и оперативного противодействия вредоносному программному обеспечению, используя
инфраструктуру оператора сотовой связи. Основным назначением является автоматизация информационно-аналитической деятельности в
бизнес-процессах, которая поможет оператору сотовой связи защитить сеть от угроз, вызванных бот-сетями и предоставить абоненту новую
услугу по защите
8

9. Схема по анализу трафика на стороне оператора
9
Платформа противодейст вия
Канал управления
комплексом
(Выделение
подозрительных
Пункт
сессий)
мониторинга
SGSN
СОРМ
Внешний шлюз
оператора
ПАК обработ ки т рафика
Зеркалирование
трафика
Шлюз – петля
GGSN
VPN Канал
управления
АРМ Операт оров
Комплекс
обработ ки
данных
Сервер с БД С& C
VPN Канал
управления

10. Принцип работы
Задачей мобильного стенда является:
•Получение информации о центрах управления зараженными устройствами.
•Получение информации о протоколах и способах коммуникации бот-сетей клиента с управляющим сервером.
•Получение информации о способах вывода средств оператора сотовой связи.
•Получение информации о наборе чувствительных данных, передаваемых бот-сетям клиентом на управляющий сервер.
•Протоколирование данных на сервере.
Задачей дополнительного комплекса обработки данных, установленного на сети оператора, является:
•Производить разбор пакетов.
•Получать список всех известных сигнатур пакетов, список центров управления, MSISDN скомпрометированных абонентских станций и т.д.
•Проверять, не попадает ли один из адресов пакета (destinationIP/host) в запрещённый список.
•Проводить анализ тела пакета и смотреть сигнатуру пакета, вытаскивая из него команды. (требуются значительные, дополнительные
вычислительные ресурсы).
•После того, как комплекс определит, что данная сессия абонента используется бот-сетью, комплекс направит сигнал на динамический
маршрутизатор, который перенаправит трафик пользователя на платформу “антивирус”.
Платформа противодействия представляет собой программно-аппаратный комплекс защиты и фильтрации сетей мобильной передачи
данных. Он пропускает через себя все пакеты и определяет по сигнатуре, относятся ли они к требуемым или нет. Если пакет идёт от бот-сети –
платформа его не пропускает и направляет копию оператору.
10

11. Разрабатываемое приложение
Android-смартфон
Приложения
VK
Opera
Bot
Сниффер
WWW
Сервер
11

12. Web-интерфейс
12

13. Web-интерфейс
13

14. Web-интерфейс
14

15. Функциональные особенности
• Мобильное приложение не требует root-прав
• Мобильное приложение не оказывает негативного влияния на
производительность и скорость обмена данными
• Необходимо устройство с Android 4.0.3+ (API level 14+)
• Позволяет проводить анализ всего мобильного трафика
• Позволяет анализировать входящие/исходящие SMS- и USSD- сообщения.
• Осуществляет привязку трафика к приложениям
• Позволяет фильтровать по чёрным/белым спискам
• Отображает приложения, имеющие доступ к Internet и SMS
• Протоколирует все данные на сервере
15

16. Roadmap
• Осуществление MitM на SSL/TLS
• Расширение чёрных/белых списков
• Разработка и реализация поведенческих метрик
• Оптимизация алгоритмов автоматического выявления
• Отслеживание передачи идентификаторов/чувствительной информации по сети
и SMS
• Осуществление вмешательства в команды, получаемые от центра управления
• Внедрение дополнительной платформы по анализу трафика на стороне
оператора
16

17. Николай: goncharovkolya@list.ru
Денис: gorchakov.denis@gmail.com
17