Desarrollo y estudio forense de un ransomware para dispositivos Android 8.1

Abstract

[Resumen]: El mundo de las tecnologías sufre ataques continuamente. Los motivos de los mismos varían desde lo económico hasta lo político y, por ello, se precisa de una concienciación a nivel global sobre los riesgos que estos suponen. Con esto, surge también la necesidad de formación continua de profesionales en ciberseguridad. De entre todos los ataques que más secuelas causan a la sociedad, sobre todo dentro del ámbito económico, el ransomware es el que lidera el ranking. Este hecho define el primer objetivo del presente trabajo Fin de Máster: el diseño de un ransomware móvil para dispositivos con sistema operativo Android 8.1. Se pretende indagar en el funcionamiento de los mismos a bajo nivel, así como otros aspectos relacionados, como por ejemplo los mecanismos que emplean para infectar los dispositivos. Se pretenderá demostrar la facilidad de creación de un virus informático tan peligroso como este. Del primer objetivo surge el segundo. Se llevarán a cabo estudios forenses informáticos orientados al virus previamente diseñado. El motivo de dichos informes es didáctico. Pretende que sirva a modo de guía procedimental para aquellos profesores de universidad o profesionales del sector que estén interesados en las pericias forenses de virus. No se sigue una metodología en concreto para la elaboración de la presente tesis. En su lugar, se sigue una metodología propia, divida en varias fases de trabajo. En cada una de estas fases se llevarán a cabo ciertas tareas. Dichas fases se han realizado siempre con la supervisión de los directores del proyecto, con los que se establecieron las reuniones necesarias. Para la elaboración de las pericias forenses se sigue, a mayores de lo definido, una adaptación de la metodología Kanban. Para ello, se ha llevado constancia de aquellas tareas pendientes y las finalizadas para lograr una mejor organización del trabajo desarrollado. Así mismo, todas las tareas han sido abordadas de manera incremental. Finalmente se ha logrado alcanzar con éxito los propósitos marcados. Se ha desarrollado un virus ransomware oculto trás una supuesta aplicación de galería de imágenes. Este cifrará determinadas imágenes en el dispositivo víctima y enviará la clave de cifrado a un servidor remoto propio. Por otra parte, se elaboran dos pericias forenses siguiendo los estándares apropiados. En dichos informes se explica detalladamente cada paso a realizar para el correcto análisis del virus. Así mismo, se incluye un abanico de alternativas de herramientas a emplear por el analista durante la pericia.

[Abstract]: The world of technology is under attack all the time. The reasons for these attacks range from the economic to the political and, as a result, there is a need for global awareness of the risks they pose. With this, there is also a need for continuous training of cybersecurity professionals. Of all the attacks that cause the most damage to society, especially in the economic sphere, ransomware is the one that leads the ranking. This fact defines the first objective of this Master’s thesis: the design of a mobile ransomware for devices with Android 8.1 operating system. The aim is to investigate how they work at a low level, as well as other related aspects, such as the mechanisms they use to infect devices. The aim is to demonstrate how easy it is to create such a dangerous computer virus. From the first objective stems the second. Computer forensic studies will be carried out on the previously designed virus. The purpose of these reports is didactic. It is intended to serve as a procedural guide for university professors or professionals in the sector who are interested in virus forensics. No specific methodology is followed for the elaboration of this thesis. Instead, we follow our own methodology, which is divided into several work phases. In each of these phases, certain tasks will be carried out. These phases have always been carried out under the supervision of the project leaders, with whom necessary meetings were established. For the elaboration of the forensic expertise, an adaptation of the Kanban methodology was followed, in addition to what has been defined. To this end, a record was kept of those tasks pending and those completed, in order to achieve a better organization of the work carried out. Likewise, all tasks have been approached in an incremental manner. Finally, the intended purpose has been successfully achieved. A ransomware virus has been developed, hidden behind a so-called image gallery application. It will encrypt certain images on the victim device and send the encryption key to its own remote server. In addition, two forensic reports are prepared according to the appropriate standards. In these reports, each step of the virus analysis is explained in detail. A range of alternative tools to be used by the analyst during the analysis is also included.