ElevenPaths con triple representación en el congreso eCrime 2015

El antiphishing working group organiza el eCrime 2015 ese año en Barcelona, del 26 al 29 de mayo. Este simposio sobre investigación en el eCrime, reúne a profesionales que hayan realizado una investigación interesante en este campo durante 2015. ElevenPaths participa con tres propuestas diferentes.

Join the phishing dots to detect suspicious mobile apps

Carlos Díaz presenta este estudio donde se presenta cómo, con ayuda de Tacyt y Sinfonier, es sencillo encontrar aplicaciones en Google Play que hagan referencia a otras aplicaciones diferentes en ubicaciones alternativas, que representan potenciales “downloaders” o “adware”. El objetivo es presentar visualmente las relaciones existentes entre estos programas “incrustados”, las apps de GP que los referencian y los desarrolladores. Analizando el aspecto de estos grafos un analista puede identificar patrones de apps embebidas que pueden ser potencialmente maliciosas.

Oh! la BIOS

David Barroso, CTO de ElevenPaths, hablará sobre la BIOS, ese componente que todos conocemos pero que desconocemos su funcionamiento. En teoría, el sitio ideal para ejecutar código malicioso puesto que es lo primero que se ejecuta cuando se arranca un ordenador. El lugar perfecto para almacenar código malicioso porque (casi) nadie va a mirar si hay algo raro… Aunque desde hace casi 10 años existen investigaciones públicas de infecciones de BIOS, no ha sido hasta que se hiciese realmente popular con la polémica de #BadBIOS, y posteriormente los documentos de Snowden, cuando realmente ha surgido una preocupación por el tema. Desde hace muchos años existen grupos de investigación en varios países que están investigando cómo tomar el control de la BIOS (o UEFI en los equipos más recientes) y Snowden ha demostrado que existen naciones que están utilizando activamente estas investigaciones en operaciones CNE.

Chasing Shuabang in App Stores

También presentaremos en detalle la investigación que llevamos a cabo en el laboratorio a finales de 2014, en la que se descubrió un modelo de malware completamente nuevo alojado en Google Play. Se trataba de Shuabang. ElevenPaths detectó decenas de apps maliciosas alojadas en Google Play destinadas al Shuabang, o BlackASO (Black Hat App Store Optimization). Las apps maliciosas vinculaban cuentas falsas con el dispositivo real de la víctima, consiguiendo así cuentas muy creíbles. Con estas cuentas, el atacante enviaba tareas a las víctimas para que descargasen nuevas aplicaciones. La cuenta del usuario permanecía a salvo, no así sus datos personales sobre el teléfono. El ataque necesitaba de una base de datos de más de 12.000 cuentas de Gmail para poder completarse, y supuso una verdadera novedad en el mundo del malware para Android.