Sistema de análisis forenses para Android

Los teléfonos móviles se han convertido en un elemento imprescindible para la mayoría de los españoles y es que, hoy en día, ya nadie puede pasar un día entero sin consultar su dispositivo. Android se ha convertido en el sistema operativo líder a nivel mundial y con él operan el 72% de los terminales. En el caso de España, 9 de cada 10 dispositivos tienen el sistema operativo de Google, lo que los ha convertido en un objetivo prioritario para los ciberdelincuentes.

Durante el presente año 2017 se ha apreciado una migración de los malwares bancarios hacia los terminales móviles Android. Los ciberdelincuentes saben que cada día, crece el número de personas que sustituyen su ordenador por su teléfono móvil o tablet. En los últimos meses, se han localizado distintos malwares con afectación a entidades bancarias españolas entre los que destacan Marcher, Maza-bot y Charger. Todos ellos tienen un funcionamiento similar: buscan una sobreposición sobre una aplicación legítima mostrando un phishing. A pesar de que las entidades bancarias envían mensajes de texto a los móviles de sus clientes con las OTP’s (contraseñas de un solo uso), estos malwares tienen implementadas diferentes soluciones que logran su objetivo: leer la clave OTP remotamente.

La tecnología avanza sin descanso en 2 sentidos: hacia la innovación para mejorar en el desarrollo de nuestra sociedad, y, por otro lado, hacia la sofisticación de la ciberdelincuencia, como consecuencia de la proliferación de dispositivos conectados a la red en los últimos años. Por este motivo, GoNetFPI, especializada en el análisis de fraude y provisión de inteligencia, ha convertido la innovación constante en una obligación para estar a la vanguardia de la seguridad en lo que a temas de fraude se refiere.

En este panorama, de amenazas sofisticadas y en constante crecimiento, es donde toman especial relevancia los Android Forensics Analytics, análisis en profundidad de los dispositivos a través de los cuáles se puede saber si ha estado expuesto a un ataque o vulnerabilidad y que permite tomar las medidas oportunas para evitar incidentes futuros. Sólo durante el primer trimestre de este año se ha superado la cifra de 1,85 millones de nuevas amenazas, es decir, un nuevo malware cada 4,2 segundos, lo que supone un 72% más que en el primer trimestre de 2016* Siempre que un dispositivo tenga un comportamiento anómalo o exista la mínima sospecha de que ha podido ser infectado es muy importante realizar un análisis forense remoto que permitirá proteger al

Equipo frente:

-Incidentes de código malicioso

-Incidentes de acceso no autorizado

-Incidentes por uso inapropiado

-Filtración de documentos confidenciales

-Comportamientos anómalos de los sistemas

-Destrucción de datos

-Futuros ataques

A ataques contra la propiedad intelectual:

A ataques contra el derecho a la intimidad

-Fraude informático

Además, en caso de un procedimiento judicial ante el ataque, el informe realizado en el forense remoto

Puede ser utilizado como evidencia.

¿Cómo se hace un forense remoto? ¿Podré disponer de mi dispositivo?

1) Identificación del incidente y recopilación de evidencias por parte del usuario afectado.

2) Garantizar la cuarentena del equipo hasta que el forense complete el análisis. Es importante no utilizar el equipo, para conservar las huellas que ha podido dejar el incidente, analizarlo y extraer información que será  de gran utilidad para prevenir futuros ataques.

3) Búsqueda y análisis de evidencias por parte del forense. Para esto se instala un software proporcionado siempre por el analista y que permite obtener todas las evidencias ocultas en el equipo. En el caso de Android, uando la aplicación está instalada, el usuario debe abrirla manualmente

y conectar el cargador al dispositivo, como se muestra en el ejemplo. En ese momento se realiza una conexión con el servidor forense sin que

el usuario tenga que intervenir más. De hecho, es conveniente que el

usuario no realice ninguna acción mientras se realiza el análisis forense que suele durar poco más

de 3 horas. No obstante, el dispositivo se encuentra totalmente operativo mientras se realiza el

mismo.

4) Dictamen del análisis y elaboración del informe forense.

5) Tras finalizar el proceso basta con desinstalar la aplicación del dispositivo.

¿Qué hacer para saber si tu terminal está infectado?

Dependiendo del tipo de malware que haya infectado nuestro terminal, éste actuará de una forma u

otra. Si es de tipo bancario, normalmente nos suele solicitar los datos de nuestras tarjetas de crédito o

de nuestras cuentas bancarias. Desconfía siempre que veas pantallas mal diseñadas en tu dispositivo o

cuando notes una superposición de pantallas entre las aplicaciones de tipo bancario.

Consejos para evitarlo

Aunque los ataques son cada vez más sofisticados, siempre existen conductas que nos permiten

evitarlos. Estos consejos te ayudarán a mantener tu dispositivo libre de malware:

-Instala siempre sólo apps de sitios oficiales, en el caso de Android

-Desconfía de las aplicaciones que te soliciten permisos excesivos.

-Instala sólo las aplicaciones que vayas a utilizar.

-Es muy importante mantener actualizadas las aplicaciones y el software del fabricante.

-No está de más usar un antivirus en tu dispositivo. Los tienes gratuitos y la instalación es inmediata.

-Cuidado con las páginas de dudosa legalidad, como pueden ser webs para ver el futbol online, -Descargas de torrents o sitios con calificación para adultos

-Y, por supuesto, sentido común. Desconfiar de cualquier cosa que nos resulte sospechosa ofuera de lo normal.

Cada día son más los riesgos que afectan a todo tipo de dispositivos móviles, principalmente a los utilizados como medios de pago, temática que centrará mañana en Madrid la intervención de GoNetFPI en el Secure Payments & ID Congress 2017, el mayor evento para profesionales de empresas privadas y entidades públicas que buscan soluciones para garantizar a clientes y usuarios la seguridad de sus conexiones y transacciones. Los TPVs, temática que centrará la mesa redonda que tendrá lugar mañana en el congreso, se han convertido en objetivo de este tipo de incidentes, ataques dirigidos a su infraestructura para la  búsqueda en la memoria de patrones, redes bancarias, tarjetas y transacciones para poder vender posteriormente esa información en la llamada “Deep Web”. La ciberdelincuencia conoce todos los controles que estos dispositivos deben pasar y busca nuevas vulnerabilidades y técnicas de ataques para modificar los terminales en su propio beneficio. Por este motivo, la innovación continua se ha convertido en una máxima para GoNetFPI

*Datos extraídos del Informe presentado por GData

Contacte con nosotros