Publicación:

Detección de amenazas informáticas de tipo Malware Bancario o Ransomware Móvil hacia dispositivos Android, integrando IOC en una técnica semiautomatizada y con base en comportamientos analizados de incidentes.

Resumen en español

En la Actualidad el uso de dispositivos móviles se ha arraigado de tal manera que dependemos y depositamos toda la información relevante en ellos, por lo anterior es de vital importancia asegurar y cuidar el activo más valioso, la información personal en estos dispositivos. Algunas de las amenazas hacia los dispositivos móviles como los Smartphone se ve reflejado en ataques como el robo de información o el cifrado malicioso, ejecutado a través de malware de tipo Ransomware, por lo cual, para lograr proteger la información lo primero es determinar si un comportamiento es anormal dentro del dispositivo ya sea real o sospechoso o si se trata de un incidente de seguridad o no. Por lo anterior, en este proyecto de grado de maestría se hizo una identificación de amenazas (Ransomware) usando indicadores de compromiso IoC y proponiendo diferentes medidas de control para la reducción de posibles impactos negativos. Por esta razón, el proyecto se desarrolló en varias fase, en la Fase 1 se realizara el estudio de las distribuciones de Android que se usaran ara el desarrollo de esta tesis, enfocándonos en el mayor uso, adicional fue necesario determinar el estado del sistema antes de la ocurrencia de un evento de seguridad para cuando se presente el evento, mediante la caracterización de los Malware bancarios para dispositivos móviles tipo Android en sus dos últimas versiones más usadas, y realizando la caracterización de estos malware por medio de los IoC y así poder comparar en línea la afectación de algún proceso del teléfono haciendo una revisión de múltiples variables como lo son aumento del tráfico de red, alto consumo de CPU o de memoria RAM, lentitud en la respuesta de procesos, ejecución de aplicaciones extrañas, cambios en los archivos de configuración, que en conjunto permiten detectar o inferir que algo extraño está ocurriendo y de forma paralela empezar a perfilar una respuesta acorde con la tipología del evento., después de verificar el estado del sistema se procede a caracterizar los diferentes Indicadores de compromiso para dispositivos móviles. En la Fase 2 se determinó un Mecanismo de clasificación de acuerdo al nivel de impacto de las amenazas al dispositivo Móvil con lo cual se realiza una construcción propia de una tabla de clasificación. En la Fase 3 se realizó la construcción de una herramienta semiautomatizada, que, con baja intervención del usuario, se pudo detectar, clasificar y proponer una remediación básica en tiempo real algunos tipos de malware que quiera afectar un dispositivo. Seguidamente, se conoció la afectación que un Malware realiza en un dispositivo y para esto se tienen los Indicadores de Compromiso o IoC, los cuales describen de forma clara y precisa el actuar y afectación de diferentes códigos maliciosos, luego de tener identificado claramente el actuar de cada código malicioso, se procedió a cargar los IOC a la herramienta semiautomatizada, la cual basada en comportamientos de los procesos del Android en sus dos últimas versiones, se encargara automáticamente de contener la amenaza. En la Fase 4 se realizó la validación del proceso de detección, clasificación y control, así se determinó si esta herramienta logra la protección dispositivos móviles que son usados para las labores diarias, con ello lograr una acción de protección activa y en línea que permita reducir en tiempo real posibles riesgos. Palabras clave: Android, Ataques Informáticos, Incidente de Seguridad, IOC, Malware Bancario, Ransomware, Semiautomatizada, Smartphone.