Publicación:

Detección conjunta de malware entre usuarios y dispositivos a partir de la validación de firmas digitales y/o la correlación de eventos en dispositivos Android

Resumen en español

Para la detección de software malicioso que compromete aplicaciones en teléfonos inteligentes con sistema operativo Android, los controles convencionales, utilizados entre el año 2012 y hasta el primer semestre del año 2018, requieren de una muestra de malware para realizar la detección. Estos controles de seguridad ejecutan el análisis de aplicaciones en la nube y no localmente en el dispositivo. La mayoría de los controles se limitan a las aplicaciones ofrecidas en la tienda de Google (Play Store) y, para que la neutralización sea efectiva, la mayoría de ellos requiere de habilidades especiales que no todo usuario final de Android posee. En este proyecto se hizo un análisis de estas técnicas, se compararon sus formas de detección y se registraron sus falencias. Con la información obtenida, se diseñó e implementó una aplicación para sistemas operativos Android en dispositivos móviles llamada CAM (Control de Aplicaciones Móviles), para asegurar la integridad de las aplicaciones y revisar si han sido intervenidas con malware, por medio de la validación de firmas digitales y la correlación de eventos. CAM propone una estrategia de corresponsabilidad entre los desarrolladores de aplicaciones para móviles y la comunidad de usuarios del sistema operativo, basada en defensa activa para que la seguridad se convierta en un atributo del sistema y no complemento. La estrategia de corresponsabilidad busca que los desarrolladores y usuarios publiquen bases de datos de listas blancas de los principales eventos operativos de sus aplicaciones, para contrastarlas con la información que generen dichos eventos, con el fin de detectar y mitigar amenazas cibernéticas como el espionaje, la fuga de información, la suplantación de identidad, el robo de contraseñas y el control remoto del dispositivo por medio de troyanos (bots). También pretende brindar educación en materia de ciberseguridad a los usuarios, apoyándose en la entrega de alertas eficientes. Para el desarrollo de este trabajo de grado, se utilizaron los registros estadísticos de dispositivos móviles con sistema operativo Android más usado entre el 2015 y el 2018 y se realizó un laboratorio de máquinas virtuales para simular dichas distribuciones de Android, se examinaron sus principales características y eventos operativos tales como: permisos, firmas y tráfico, se intervino las aplicaciones seleccionadas con el paquete de Meterpreter para Android del framework Metasploit. Para la detección de los indicadores de compromiso en las aplicaciones infectadas se usaron aplicaciones como: Package Info, RL Permissions y Network Connections entre otras. Estos resultados hicieron posible el desarrollo de la plataforma CAM para Android con arquitectura cliente-servidor. La plataforma CAM se encarga de almacenar y correlacionar los eventos operativos validos de las aplicaciones legítimas, en una lista blanca y posteriormente brindar al usuario un informe eficiente que le permita evitar e identificar cuando una aplicación móvil genera una ciber-amenaza en un teléfono inteligente