“Find And Call” Smartphone Malware Analysis

Posted on July 11, 2012 by Simon Roses

[Español] La semana pasada Kaspersky publicó un artículo sobre un nuevo malware que afectaba a iPhone y Android, y esta App estaba disponible en sus mercados oficiales. Al ser el primer malware que aparece en el iPhone Market he pensado que seria interesante examinarla, así que una vez obtenidas copias de ambas Apps hemos procedido a su análisis.

[English] Last week Kaspersky published an article about a new malware affecting Android and iPhone, and this App was available in their official markets. This is the first malware that appears in the iPhone Market, so I thought it would be interesting to examine it, once obtained copies of both Apps we have proceeded to their analysis.

Este software malicioso de origen ruso recolecta la lista de contactos de nuestro dispositivo y la envía a un servidor sin que el usuario lo haya consentido. Si miramos la Fig. 1 podemos ver parte de la información recogida en su versión Android como nombres, números de teléfono, correos y webs, facebook, skype, etc. Desde luego una buena cantidad de informacion PII.

This malicious software of Russian origin collects the list of contacts of our device and sends it to a server without user consent. If we look at the Fig. 1 we can see part of the information recollected in the Android version such as names, phone numbers, emails and websites, facebook, skype, etc. A good amount of PII.

br> Fig. 1 – Información recolectada en Android / Information collected on Android

En la Fig. 2 tenemos el código que envía toda esta información al servidor.

In Fig. 2. we have the code that sends this information to the server

br> Fig. 2 – Enviado al servidor / Submit information to server

La Fig. 3 es la versión maliciosa para iPhone donde hemos buscado la función encargada de recoger y enviar la información.

Fig. 3 is the malicious version for iPhone where we searched for the function responsible for collecting and submitting the information

br> Fig. 3 – Versión iPhone del malware / iPhone malware version

La Fig. 4 tenemos la función desensamblada para el disfrute del lector :)

Fig. 4 we have the function disassembled for the enjoyment of the reader :)

br> Fig. 4 – Función sendPhoneBook desensamblada / sendPhoneBook function disassembled

Como se puede apreciar es un código bastante sencillo pero lo interesante en mi opinión es que la App estaba disponible tanto para IPhone como Android en sus respectivos mercados poniendo de manifiesto lo relajados que son Apple y Google con la seguridad de las Apps.

Cierto es que muchas Apps hacen lo mismo que esta y siguen en los Markets, y que con el tiempo se irán identificando.

As you can appreciate it is a fairly simple code but the interesting thing to me is that the App was available for iPhone and Android in their respective markets becoming apparent how relaxed Apple and Google Apps Security are.

It is true that many Apps do the same and remain in the Markets but eventually they will be identified.

Como curiosidad resaltar que esta App sufre de varias vulnerabilidades como las contraseñas almacenadas en texto claro y canales inseguros ya que toda la información y contraseñas son enviadas mediante HTTP así como otras vulnerabilidades, todo un desastre de desarrollo seguro ;)

En mi opinión es sólo cuestión de tiempo que comencemos a ver malware multiplataforma para iPhone, Android y Windows Phone.

Qué opinas de la seguridad en los Markets?

As a curiosity, just highlight that this App suffers from several vulnerabilities such as passwords stored in clear text and insecure channels since all information and passwords are sent using HTTP as well as other vulnerabilities, a disaster of secure development ;)

In my opinion it is only a matter of time before we begin to see cross-platform malware for iPhone, Android and Windows Phone.

What do you think of security in the Markets?

— Simon Roses Femerling

Posted in Hacking, Security, Technology | Tagged , , , , , , , | Leave a comment

Oh No AIX Security

Posted on July 5, 2012 by Simon Roses

[Español] Pues sí, estimados lectores, recientemente tuve que auditar entornos AIX (ya sabéis, esos UNIX propietarios de IBM), por lo que he pensado que sería interesante exponer una serie de consejos sobre cómo auditarlos.

[English] True, my dear readers, recently I had to perform an audit on AIX systems (you know, those proprietary IBM UNIX), so I thought it would be interesting to expose a series of tips on how to audit them.

Guías de seguridad AIX recomendadas: / Recommended AIX security guides:

AIX Security Expert
AIX Version 6.1: Security
Securing an IBM Aix Server
Hardening your AIX Security
Santosh Gupta’s passion for AIX

Algunos mis consejos para una rápida revisión:

• Revisar los permisos en el directorio /etc • Revisar y desactivar los servicios innecesarios en /etc/inted.conf, /etc/inittab, /etc/rc.nfs y /etc/rc.tcpip • Ejecutar el comando oslevel para obtener la versión • Ejecutar el comando instfix –I | grep ML para ver los parches instalados • Aunque parezca mentira recientemente salió una vulnerabilidad en Sendmail (CVE-2012-2200) • Revisar las políticas de seguridad y permisos de Java • El fichero /etc/motd tiene que incluir un mensaje corporativo • Determinar si se instaló con TCB, ejecutando: tcbck –y ALL • Buscar programas con SETUID / SETGID: find / ( -perm -004000 –o perm -002000 ) –type f -ls • Establecer el umask a los usuarios en /etc/security/user • Mirar en los directorios de /root y usuarios por certificados privados • Si tienes licencia de Nessus o Nexpose serán tus amigos, o Metasploit si eres más atrevido ;)

Some my tips for a quick review: • Review the permissions on /etc directory • Check and disable unnecessary services in /etc/inittab, /etc/rc.nfs, /etc/inted.conf and /etc/rc.tcpip • Execute the oslevel command to obtain the version • Execute the command instfix – I | grep ML to see installed patches • Oddly enough recently a vulnerability in Sendmail (CVE-2012-2200) was released • Review the security policies and permissions of Java • The /etc/motd file must include a corporate message • Determine if system was installed with TCB, run: tcbck – y ALL • Look for programs with SETUID / SETGID: find / \( -perm -004000 –o perm -002000 \) –type f –ls • Set the umask for users in /etc/security/user file • Look in /root and users directories for private certificates / keys • If you have a license for Nessus or Nexpose they are your friends, or Metasploit if you’re more daring ;)

Si sabemos Shell Scripting podemos automatizar prácticamente todo el proceso por lo que nuestra labor será más fácil, segura y rápida.

¿Y tú qué utilizas para auditar AIX?

If we know Shell Scripting we can automatize the entire process by which our work will be easier, safer and faster. What do you use for AIX audits?

— Simon Roses Femerling

Posted in Hacking, Pentest, Security | Tagged , , , , , , , | Leave a comment

Network Intelligence Analysis

Posted on June 20, 2012 by Simon Roses

Analizar tráfico de red es realmente apasionante y para este post he pensado que sería un tema de interés para los lectores. El tráfico aquí analizado es más a modo de hobby cuando estoy en redes públicas/abiertas como hoteles, cafés y aeropuertos :) Tiempo ha pasado desde que trabajaba como analista de IDS pero es un servicio que ofrecemos en VULNEX en materia de ciber seguridad.

Analyzing network traffic is really exciting and for this post I thought it would be an interesting topic to readers. The traffic analyzed here is more as a hobby when I’m in public/open networks as hotels, cafes and airports  Time has passed since I worked as an IDS analyst but it is a service that we offer at VULNEX in cyber security services.

Algunas de las herramientas que utilizo para mis análisis son: • NetworkMinerWiresharkXpicoSnort • Y herramientas exclusivas de VULNEX

Some of the tools that I use for my analysis are: • NetworkMinerWiresharkXpicoSnort • And custom VULNEX tools

Posted in Hacking, Pentest, Security, Technology | Tagged , , , , , , , , , | Leave a comment