L’home dibuixat

Rubber Ducky és un ordinador integrat en un dispositiu USB, amb una notable capacitat per a la programació d'scripts i tota mena de funcionalitats per a ser una plataforma d'atac als dispositius on es connecta.

En aquest vídeo es mostra com utilitzar-lo amb un telèfon Android.

No sabia que es podia connectar un teclat a un telèfon… i era funcional!

Les versions d'Android amb un percentatge major d'usuaris són encara 2.x. Les raons? Des de dispositius que no es poden actualitzar per culpa dels fabricants fins a l'excés de versions publicades per Google en un període de temps molt curt (Android 1.5, agost del 2009; Android 1.6, setembre del 2009;  Android 2.0, octubre del 2009; Android 2.2, maig del 2010; Android 2.3, desembre del 2010; Android 3.x, febrer del 2011; Android 4.0, octubre del 2011; Android 4.1, juliol del 2012):

Distribució de les diverses versions d'Android

Aquesta disparitat, evidentment, afecta a la incorporació de les noves funcions a les aplicacions. En aquest cas no ens trobem amb un exemple de peix que es mossega la cua, sinó més aviat de sobreabundància de versions en un període de temps molt curt.

Ara per ara només és un prototip, però la idea promet. És un telèfon Android que fa servir una pantalla de tinta electrònica (la mateixa que fan servir els lectors d'eBooks). Avantatges: es pot utilitzar sense problemes fins i tot al carrer quan fa sol i la pantalla consumeix molt poca energia, amb la qual cosa la bateria dóna una autonomia de fins a una setmana!

Els inconvenients: el refresc de pantalla és diferent al que estem aconstumats

[ThreatPost] «Research Shows Serious Problems With Android App SSL Implementations». Analitzades 13.500 aplicacions gratuïtes disponibles a Google Play per tal d'estudiar l'ús que fan dels protocols SSL/TLS. El resultat, un 17% de les aplicacions que fan crides a URL amb HTTPS fan ús d'una implementació errònia del protocol, fent que siguin vulnerables a atacs d'interceptació.

L'estudi complet és «Why Eve and Mallory Love Android: An Analysis of Android SSL (In)Security»

Many Android apps have a legitimate need to communicate over the Internet and are then responsible for protecting potentially sensitive data during transit. This paper seeks to better understand the potential security threats posed by benign Android apps that use the SSL/TLS protocols to protect data they transmit. Since the lack of visual security indicators for SSL/TLS usage and the inadequate use of SSL/TLS can be exploited to launch Man-in-the-Middle (MITM) attacks, an analysis of 13,500 popular free apps downloaded from Google's Play Market is presented.

We introduce MalloDroid, a tool to detect potential vulnerability against MITM attacks. Our analysis revealed that 1,074 (8.0%) of the apps examined contain SSL/TLS code that is potentially vulnerable to MITM attacks. Various forms of SSL/TLS misuse were discovered during a further manual audit of 100 selected apps that allowed us to successfully launch MITM attacks against 41 apps and gather a large variety of sensitive data.

Una completa anàlisi de SMSZombie, un troià per a Android especialitzat en robar informació relacionada amb l'accés a sistemes de banca electrònica a partir de la lectura dels missatges de text. Explica la tècnica utilitzada per amagar als usuaris els permisos necessaris per a executar l'aplicació i com aprofita la funcionalitat de Live Wallpapers per tal de fer operacions malèvoles cada dos segons.

Està disponible el codi font comentat del troià.

Informe «Mobile Threat Report Q2» de F-Secure, sobre l'estat de la seguretat als dispositius mòbils, especialment en els basats en sistema operatiu Android.

Every quarter, Android malware continues to grow in number, and q2 2012 is no exception. we received a total of 5033 malicious Android application package files (APKs), most of which are coming from third-party Android markets. This amount is a 64% increase compared to the number in the previous quarter. Out of this amount, we identified 19 new families and 21 new variants of existing families. A high concentration of these new variants is coming from FakeInst and OpFake, two families that are found to be related. Malware in these two families share a lot of similarities that in some instances, they can be classified as one family. In general, the new variants retain the same malicious behavior as found in the previous ones, only improving on the method used in defeating anti-virus technology in order to avoid detection.

After a while on the scene, Android malware has begun to explore new methods of infection as evidenced by NotCompatible.A and Cawitt.A. In May 2012, the first Android malware to use the drive-by download method was spotted in the wild, detected as Trojan-Proxy:Android/NotCompatible.A. A simple visit to a malicious website could render a device infected, if the device is configured to allow installations from unknown sources. when visiting a specially crafted website, the device will automatically download an application from the site. This application is then shown in the notification menu, waiting for the user to install it. To convince the user into installing it, the malware relies on social engineering tactics, naming the application as “com.Security.Update’ and the filename as “Update.Apk.” Once infected, the device is turned into a proxy or becomes part of a bot network.

In addition to drive-by download, another infection method discovered in this quarter is the utilization of Twitter as a bot mechanism. Cawitt.A for instance, accesses a Twitter account (possibly set up by the malware) to obtain a server address, from which it communicates with and receives further command from. Upon receiving instructions, this malware sends out SMS messages to certain numbers, and forwards data on the device’s International Mobile Equipment Identity (IMEI) number, phone number, and Android ID to the aforementioned server.

Aside from the continuing growth of Android malware and the discovery of new infection methods, the second quarter also reveals a trend in regionally-based attack. In Spain for instance, we tend to get a lot of reports on banking-related attacks. This quarter, SmsSpy.F which is related to Zitmo, is a fairly popular case being reported. The malware appears to be specifically targeting users who perform an online banking transaction and need the Mobile Transaction Authorization Number (mTAN). It arrives as an SMS message, notifying the user to download a security application from the provided link.

Bouncer és el sistema utilitzat per Google per detectar l'existència de malware dins les aplicacions disponibles a la botiga online Google Play. Poca cosa se'n sabia d'ell, excepte que simulava el comportament «normal» d'un usuari i detectava si l'aplicació realitzava operacions rares (com connectar-se a algun lloc sospitós per transferir informació sensible).

Ara, en una conferència de seguretat, s'han presentat alguns detalls del funcionament d'aquests sistema de control d'aplicacions: s'executa en una màquina virtual QEMU i totes les peticions que realitza s'originen d'un bloc d'adreces IP que sempre és el mateix… i que només analitza l'aplicació durant cinc minuts; és a dir, que la forma més senzilla de saltar-se el Bouncer és iniciar les accions malèvols a partir del sisè minut d'execució. I per a demostrar-ho:

During a presentation at Black Hat, Trustwave's Nicholas Percoco and Sean Schulte explained that they had created “SMS Blocker,” which appeared to be like any other SMS blocker app on the market, but was also capable of harvest information such as contacts, SMS messages, photos; launching DoS attacks; and even force a web page to load.

Més detalls al bloc d'un dels autors de l'estudi («Dissecting the Android Bouncer») i a la presentació amb el mateix títol.