a journey through ios malware landscape
play

A Journey through iOS Malware Landscape Evolu;on & - PowerPoint PPT Presentation

Dec 01, 2023 •174 likes •659 views

A Journey through iOS Malware Landscape Evolu;on & Characteriza;on Laura Garca 1 & Ricardo J. Rodrguez 2 1 Planet Earth 2 University of Zaragoza, Spain >whoami Laura Garca

  1. ¡ A ¡Journey ¡through ¡iOS ¡Malware ¡ Landscape ¡ Evolu;on ¡& ¡Characteriza;on ¡ ¡ Laura García 1 & Ricardo J. Rodríguez 2 1 Planet Earth 2 University of Zaragoza, Spain

  2. >whoami ¡ Laura ¡García ¡ Ricardo ¡J. ¡Rodríguez ¡ • • Computer ¡Science ¡Engineering ¡ PhD ¡in ¡Computer ¡Science ¡ • • Master's ¡Degree ¡in ¡Computer ¡Security ¡ Assistant ¡Professor ¡at ¡University ¡of ¡Zaragoza ¡ • • ^Cyber^ ¡Security ¡/ ¡Pentester ¡ ¡ Performance ¡analysis ¡and ¡op;miza;on ¡of ¡large ¡and ¡ • Web ¡and ¡mobile ¡app ¡security, ¡vulnerability ¡ complex ¡systems, ¡program ¡binary ¡analysis, ¡cri;cal ¡ assessment, ¡network ¡security, ¡system ¡hardening ¡ infrastructures ¡security ¡ • and ¡incident ¡response ¡ bitbucket.org/rjrodriguez ¡ • • github.com/laincode ¡ ¡ rjrodriguez@unizar.es ¡ • laura@mlw.re ¡ ¡

  3. 1. ¡Introduc,on ¡

  4. 1. ¡Introduc;on ¡(I) ¡

  5. 1. ¡Introduc;on ¡(II) ¡

  6. 1. ¡Introduc;on ¡(III) ¡ • Android ¡OS ¡clearly ¡beats ¡the ¡market ¡ • Consequently, ¡there ¡exist ¡a ¡large ¡set ¡of ¡ malware ¡for ¡Android ¡ – Last ¡report ¡from ¡Forbes: ¡97% ¡target ¡at ¡Android ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ h^p://www.forbes.com/sites/gordonkelly/2014/03/24/report-­‑97-­‑of-­‑mobile-­‑malware-­‑is-­‑on-­‑android-­‑this-­‑is-­‑the-­‑ easy-­‑way-­‑you-­‑stay-­‑safe/#768449637d53 ¡ • 238 ¡in ¡2012 ¡to ¡804 ¡in ¡2013 ¡(...) ¡

  7. 1. ¡Introduc;on ¡(IV) ¡ • Keep ¡an ¡eye ¡on ¡this ¡table: ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡h^p://forensics.spreitzenbarth.de/android-­‑malware/ ¡ ¡ – 200 ¡families ¡(roughly) ¡ – Bots, ¡PUPs, ¡fraud, ¡… ¡ • Tons ¡of ¡tools ¡& ¡defence ¡ mechanisms ¡proposed ¡ – As ¡well ¡as ¡taxonomies ¡ ¡

  8. 1. ¡Introduc;on ¡(V) ¡ • What ¡about ¡iOS ¡malware? ¡ h^ps://www.theiphonewiki.com/wiki/Malware_for_iOS ¡ ¡ – Few ¡(known) ¡families ¡(~35) ¡ – Less ¡a^en;on ¡from ¡the ¡academia. ¡How ¡come? ¡ • Market ¡share: ¡the ¡higher ¡the ¡number ¡of ¡devices, ¡the ¡greater ¡the ¡ probability ¡of ¡success ¡of ¡infec;on ¡ • Security ¡models ¡differ ¡ ¡ – Permission-­‑based ¡approach ¡(differ ¡on ¡granularity) ¡+ ¡plasorm ¡protec;on ¡ mechanisms ¡(ASLR, ¡DEP) ¡ – Unlike ¡Android, ¡iOS ¡relies ¡also ¡on ¡market ¡protec;on ¡

  9. 1. ¡Introduc;on ¡(VI) ¡ • Apple ¡vetng ¡process ¡ – Apps ¡must ¡comply ¡a ¡set ¡of ¡rules ¡before ¡deployment ¡to ¡ final ¡users ¡(thr. ¡official ¡markets) ¡ • Effec;ve, ¡but… ¡ – XCodeGhost: ¡trojanized ¡official ¡SDK ¡ ¡ • 39 ¡malware ¡apps ¡into ¡the ¡App ¡Store ¡during ¡last ¡year ¡ – Other: ¡enterprise/ad-­‑hoc ¡provisioning, ¡private ¡APIs ¡ abuse, ¡compromised ¡iCloud ¡accounts ¡

  10. 1. ¡Introduc;on ¡(VII) ¡ • Taxonomy ¡and ¡classifica;on ¡of ¡35 ¡iOS ¡malware ¡ families ¡(2009 ¡to ¡2015), ¡regarding: ¡ – Affected ¡devices ¡ – Distribu;on ¡channels ¡ – Infec;on ¡ – A^ack ¡goals ¡ – A^ack ¡vector ¡

  11. 2. ¡On ¡iOS ¡Security ¡Model ¡

  12. 2. ¡On ¡iOS ¡Security ¡Model ¡(I): ¡ iOS ¡architecture ¡ • Secure ¡boot ¡chain ¡ ¡ – Integrity ¡of ¡low-­‑level ¡code ¡ ¡ – Execu;on ¡upon ¡a ¡valid ¡device ¡ • Boot ¡ROM ¡ – Immutable ¡code ¡ – Contains ¡Apple ¡Root ¡CA ¡pk ¡ • Used ¡to ¡verify ¡LLB ¡signature ¡

  13. 2. ¡On ¡iOS ¡Security ¡Model ¡(II): ¡ iOS ¡architecture ¡ • Low-­‑Level ¡Bootloader ¡(LLB) ¡ – Verifies ¡and ¡executes ¡iBoot ¡ • iBoot ¡ – Verifies ¡and ¡executes ¡iOS ¡kernel ¡ • iOS ¡Kernel ¡ – Verifies ¡and ¡executes ¡full ¡iOS ¡ – Loads ¡OS ¡+ ¡user ¡par;;on ¡ • NOTE: ¡firmware ¡is ¡signed ¡

  14. 2. ¡On ¡iOS ¡Security ¡Model ¡(III): ¡ iOS ¡architecture ¡ • Different ¡app ¡security ¡layers ¡ – Apple-­‑issued ¡cer;ficate ¡ • Every ¡app ¡is ¡signed ¡by ¡developers ¡using ¡a ¡cer;ficate ¡issued ¡by ¡Apple, ¡ ayer ¡iden;ty ¡verifica;on ¡thr. ¡iOS ¡Dev ¡Program ¡ – App ¡sandbox: ¡isolated, ¡non-­‑privileged ¡user ¡“mobile” ¡ – Data ¡Protec;on ¡ • Data ¡file ¡associated ¡with ¡a ¡specific ¡class ¡file, ¡defining ¡access ¡ granularity ¡ – Others: ¡ASLR, ¡DEP ¡

  15. 2. ¡On ¡iOS ¡Security ¡Model ¡(IV): ¡ vetng ¡process ¡ • App ¡Review ¡Guidelines ¡ (h^ps://developer.apple.com/app-­‑store/review/guidelines/) ¡ • Ensures ¡apps... ¡ – Are ¡reliable ¡ – Perform ¡as ¡expected ¡ – Free ¡of ¡any ¡offensive ¡material ¡ • Set ¡of ¡over ¡100 ¡rules, ¡covering ¡aspects ¡as ¡func;onality, ¡ meta-­‑data, ¡loca;on, ¡adver;sing, ¡etc. ¡

  16. 2. ¡On ¡iOS ¡Security ¡Model ¡(V): ¡ vetng ¡process ¡ • Reasons ¡to ¡reject ¡submi^ed ¡apps: ¡ – Crash ¡on ¡execu;on ¡ – Inclusion ¡of ¡undocumented/hidden ¡features ¡ – Use ¡of ¡private ¡APIs ¡ – Data ¡read ¡or ¡write ¡out ¡of ¡boundaries ¡ – Download ¡any ¡external ¡code ¡ • Bypassing ¡examples: ¡ – trojanized ¡SDK, ¡obfuscate ¡private ¡APIs, ¡abuse ¡of ¡inter-­‑app ¡interac;on ¡ services ¡

  17. 3. ¡Features ¡of ¡iOS ¡malware ¡

  18. 3. ¡Features ¡of ¡iOS ¡malware ¡(I) ¡ Who ¡are ¡targe*ng ¡at ¡individuals? ¡ • On-­‑sale ¡malware ¡ – For ¡sale ¡to ¡the ¡public ¡(any ¡of ¡you ¡folks!) ¡ • State-­‑sponsored ¡malware ¡ – Government/state ¡intelligence ¡agencies ¡ • Underground ¡malware ¡ – Cybercriminals ¡-­‑-­‑ ¡aka ¡ malware ¡in-­‑the-­‑wild ¡ ¡

  19. 3. ¡Features ¡of ¡iOS ¡malware ¡(II) ¡ 15+4+16 ¡malware ¡families, ¡from ¡2009 ¡to ¡2015 ¡

  20. 3. ¡Features ¡of ¡iOS ¡malware ¡(III) ¡

  21. 4. ¡Classifica,on ¡of ¡iOS ¡malware ¡

  22. 4. ¡Classifica;on ¡of ¡iOS ¡malware ¡(I) ¡ Classifica;on ¡a ¡total ¡of ¡ 35 ¡malware ¡families ¡according ¡to ¡the ¡next ¡features: ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡

  23. 4. ¡Classifica;on ¡of ¡iOS ¡malware ¡(II) ¡

  24. 4. ¡Classifica;on ¡of ¡iOS ¡malware ¡(III) ¡ Devices ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ Few ¡work ¡on ¡non-­‑jailbroken ¡devices ¡ • ¡ ¡ ¡ Many ¡of ¡them ¡require ¡jailbroken ¡devices ¡ • ¡ Jailbreaking ¡increases ¡the ¡likelihood ¡to ¡be ¡infected ¡ • Cydia ¡ allows ¡ anyone ¡ to ¡ run ¡ a ¡ third-­‑party ¡ repository ¡ • and ¡distribute ¡any ¡soyware ¡ Mostly ¡spyware ¡tools ¡require ¡jailbroken ¡devices ¡ • “Finding ¡may ¡ secretly ¡jailbreak ¡ the ¡target's ¡device” ¡ • -­‑The ¡Million ¡Dollar ¡ iOS ¡9 ¡Bug ¡Bounty -­‑ ¡ Some ¡malware ¡run ¡old ¡iOS ¡versions, ¡but ¡do ¡not ¡work ¡ • on ¡current ¡ones ¡ ¡ ¡ ¡ ¡

  25. 4. ¡Classifica;on ¡of ¡iOS ¡malware ¡(IV) ¡ Distribu,on ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ • On-­‑sale ¡malware ¡ ¡ ¡ ¡ • Cydia ¡repositories ¡ • NOTE: ¡MobiStealth, ¡mSpy ¡ ¡ • State-­‑sponsored ¡malware ¡ Social ¡ engineering ¡ (or ¡ other) ¡ • delivery ¡ • Underground ¡malware ¡ Cydia ¡repositories ¡ ¡ • Underground ¡websites ¡ • App ¡Store ¡ ¡ • ¡ ¡ ¡ ¡ ¡ ¡ ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Embracing the new threat: towards automatically, self-diversifying malware Mathias Payer

Embracing the new threat: towards automatically, self-diversifying malware Mathias Payer

Embracing the new threat: towards automatically, self-diversifying malware Mathias Payer <mathias.payer@nebelwelt.net> UC Berkeley and (soon) Purdue University Image (c) http://ucrtoday.ucr.edu/9768/assassin-bugs Malware landscape is

555 views • 27 slides
Malware What is malware? Malware: malicious software worm ransomware adware

Malware What is malware? Malware: malicious software worm ransomware adware

Malware What is malware? Malware: malicious software worm ransomware adware virus trojan horse etc. and how do we fight it? AV software Firewalls Filtering Patching Writing more secure software

568 views • 22 slides
Malware What is malware? Malware: malicious software worm ransomware adware

Malware What is malware? Malware: malicious software worm ransomware adware

Malware What is malware? Malware: malicious software worm ransomware adware virus trojan horse etc. and how do we fight it? AV software Firewalls Filtering Patching Writing more secure software

540 views • 42 slides
Android Malware Analysis on Attacks and Defense Android malware Android malware With the

Android Malware Analysis on Attacks and Defense Android malware Android malware With the

Android Malware Analysis on Attacks and Defense Android malware Android malware With the explosive growth of mobile device market and usage, there is an increasing number of malicious mobile applications targeting these devices and

819 views • 44 slides
Entrapment: Tricking Malware with Transparent, Scalable Malware Analysis Paul Royal

Entrapment: Tricking Malware with Transparent, Scalable Malware Analysis Paul Royal

Entrapment: Tricking Malware with Transparent, Scalable Malware Analysis Paul Royal paul@gtisc.gatech.edu Agenda Modern Malware Obfuscations, Server-side Polymorphism, Collection Volume Malware Analysis Detection

504 views • 27 slides
Getting started with malware analysis Judith van Stegeren Definitions Malware : any software that

Getting started with malware analysis Judith van Stegeren Definitions Malware : any software that

Getting started with malware analysis Judith van Stegeren Definitions Malware : any software that does something that causes harm to a user, computer or network, including viruses, trojan horses, worms, rootkits, scareware and spyware. Malware

119 views • 9 slides
GOODWARE DRUGS FOR MALWARE: ON-THE-FLY MALWARE ANALYSIS AND CONTAINMENT DAMIANO BOLZONI

GOODWARE DRUGS FOR MALWARE: ON-THE-FLY MALWARE ANALYSIS AND CONTAINMENT DAMIANO BOLZONI

GOODWARE DRUGS FOR MALWARE: ON-THE-FLY MALWARE ANALYSIS AND CONTAINMENT DAMIANO BOLZONI CHRISTIAAN SCHADE TWENTE SECURITY LAB UNIVERSITY OF TWENTE THE NETHERLANDS AGENDA Something about malware Malware internals Current analysis

398 views • 27 slides
A CUCKOOS EGG IN THE MALWARE NEST ON-THE-FLY SIGNATURE-LESS MALWARE ANALYSIS, DETECTION AND

A CUCKOOS EGG IN THE MALWARE NEST ON-THE-FLY SIGNATURE-LESS MALWARE ANALYSIS, DETECTION AND

A CUCKOOS EGG IN THE MALWARE NEST ON-THE-FLY SIGNATURE-LESS MALWARE ANALYSIS, DETECTION AND CONTAINMENT FOR LARGE NETWORKS CHRISTIAAN SCHADE TWENTE SECURITY LAB UNIVERSITY OF TWENTE THE NETHERLANDS MALWARE WARS In the last

313 views • 14 slides
Malware Halting 1. Malware 2. Software diversity Part I: Method Development 3. Computer

Malware Halting 1. Malware 2. Software diversity Part I: Method Development 3. Computer

Overview Malware Halting 1. Malware 2. Software diversity Part I: Method Development 3. Computer immunization Kjell Jrgen Hole Simula@UiB 4. Epidemiological model 5. Malware halting analysis 6. Malware halting method Last updated

672 views • 29 slides
How does Malware Use RDTSC? A Study on Operations Executed by Malware with CPU Cycle Measurement

How does Malware Use RDTSC? A Study on Operations Executed by Malware with CPU Cycle Measurement

How does Malware Use RDTSC? A Study on Operations Executed by Malware with CPU Cycle Measurement Yoshihiro Oyama University of Tsukuba 1 Background Many malware programs execute operations for analysis evasion Detection of

346 views • 31 slides
Anti-anti-malware (part 3) / Stack Smashing 1 last time various kinds of armored malware

Anti-anti-malware (part 3) / Stack Smashing 1 last time various kinds of armored malware

Anti-anti-malware (part 3) / Stack Smashing 1 last time various kinds of armored malware malware that evades analysis 2 logistics: LEX homework detect push ret pattern using fmex probably easier than TRICKY 3 upcoming exam next Wednesday

496 views • 48 slides
Android Malware Adventures Mert Can Cokuner Krat Ouzhan Aknc Android Malware

Android Malware Adventures Mert Can Cokuner Krat Ouzhan Aknc Android Malware

DeepSec IDSC Android Malware Adventures Mert Can Cokuner Krat Ouzhan Aknc Android Malware Adventures Agenda INTRODUCTION ANDROID MALWARE COMMAND & CONTROL QUESTIONS & ANSWERS 2 1 2 3 4 Android Malware

1.01k views • 64 slides
Malware Defense I TDDD17 Information Security, Second Course Ulf Kargn Department of

Malware Defense I TDDD17 Information Security, Second Course Ulf Kargn Department of

Malware Defense I TDDD17 Information Security, Second Course Ulf Kargn Department of Computer and Information Science Linkping University Malware Defense Agenda 2 Two lectures Lecture I : Malware basics, malware on the PC,

621 views • 40 slides
FIGHTING MALWARE WITH MACHINE LEARNING Edward Raff Jared Sylvester Mark McLean Need ML for

FIGHTING MALWARE WITH MACHINE LEARNING Edward Raff Jared Sylvester Mark McLean Need ML for

FIGHTING MALWARE WITH MACHINE LEARNING Edward Raff Jared Sylvester Mark McLean Need ML for Malware Amount of malware is growing exponentially Anti-virus and signature based approaches are reactionary, dont work for novel malware

127 views • 11 slides
CO 445H MALWARE AND VIRUSES Dr. Benjamin Livshits Malware: Different Types 2 Spyware is

CO 445H MALWARE AND VIRUSES Dr. Benjamin Livshits Malware: Different Types 2 Spyware is

CO 445H MALWARE AND VIRUSES Dr. Benjamin Livshits Malware: Different Types 2 Spyware is software that aids in gathering A virus is a computer program that is information about a person or organization capable of making copies of itself

716 views • 56 slides
CS7038 - Malware Analysis - Wk03.1 Malware Taxonomy and Terminology Coleman Kane

CS7038 - Malware Analysis - Wk03.1 Malware Taxonomy and Terminology Coleman Kane

CS7038 - Malware Analysis - Wk03.1 Malware Taxonomy and Terminology Coleman Kane kaneca@mail.uc.edu January 24, 2017 Why Classification is Important Malware classification helps us in multiple ways. Here are a couple key ways:

787 views • 16 slides
Managing Security Investment Part IV Tyler Moore Computer Science & Engineering Department,

Managing Security Investment Part IV Tyler Moore Computer Science & Engineering Department,

Notes Managing Security Investment Part IV Tyler Moore Computer Science & Engineering Department, SMU, Dallas, TX September 27, 2012 Baseline investment models Information security risk management Measuring the security level Notes

439 views • 6 slides
the Android Ecosystem Yury Zhauniarovich Advisor: Bruno Crispo University of Trento Agenda

the Android Ecosystem Yury Zhauniarovich Advisor: Bruno Crispo University of Trento Agenda

Improving the Security of the Android Ecosystem Yury Zhauniarovich Advisor: Bruno Crispo University of Trento Agenda Introduction Providing Software and Data Isolation on Android Enabling Attestation Service for the Android

575 views • 41 slides
Example on 2D potential with 4 wells Simulations by Masha Cameron Monday, October 8, 12 Spectral

Example on 2D potential with 4 wells Simulations by Masha Cameron Monday, October 8, 12 Spectral

Reaction Pathways of Metastable Markov Chains - LJ clusters Reorganization Eric Vanden-Eijnden Courant Institute Spectral approach to metastability - sets, currents, pathways; Transition path theory or how to focus on a specific

886 views • 20 slides
An Efficient Memory-Mapped Key-Value Store for Flash Storage Anastasios Papagiannis, Giorgos

An Efficient Memory-Mapped Key-Value Store for Flash Storage Anastasios Papagiannis, Giorgos

An Efficient Memory-Mapped Key-Value Store for Flash Storage Anastasios Papagiannis, Giorgos Saloustros, Pilar Gonzlez-Frez, and Angelos Bilas Institute of Computer Science (ICS) Foundation for Research and Technology Hellas (FORTH)

2.85k views • 31 slides
StormDroid: A streaminglized Machine Learning-Based System for Detecting Android Malware Sen

StormDroid: A streaminglized Machine Learning-Based System for Detecting Android Malware Sen

StormDroid: A streaminglized Machine Learning-Based System for Detecting Android Malware Sen Chen, Minhui Xue, Zhushou Tang, Lihua Xu, Haojin Zhu Malware Detection in Android 1.6 million apps in Google Play Store in July 2015

441 views • 22 slides
S N he e ur a title Operated by Los Alamos National Security, LLC for the U.S. Department of

S N he e ur a title Operated by Los Alamos National Security, LLC for the U.S. Department of

S N he e ur a title Operated by Los Alamos National Security, LLC for the U.S. Department of Energy's NNSA S Los Alamos National Laboratory LA-UR-17-24107 MarFS and DeltaFS @ LANL you e User Level FS Challenges and Opportunities logo

1k views • 28 slides
Managing and Hardening Snow Leopard: Policies for Use in Education Doug Brown Redlands College

Managing and Hardening Snow Leopard: Policies for Use in Education Doug Brown Redlands College

Managing and Hardening Snow Leopard: Policies for Use in Education Doug Brown Redlands College XW11 Overview Standard Operating Environment Configuration Settings Restrictions Deployment Issues Adobe Suite Logic and

410 views • 30 slides
The Residential Tenancy Act ( the Act ) 1997 2013 Amendments When do the amendments take effect?

The Residential Tenancy Act ( the Act ) 1997 2013 Amendments When do the amendments take effect?

Tenants Union of Tasmania Inc. The Residential Tenancy Act ( the Act ) 1997 2013 Amendments When do the amendments take effect? ? Minimum Standards All tenanted properties must be (from 1 August 2016): Weatherproof and structurally

266 views • 23 slides

More recommend