CERT-SG IRM-09: Smartphone Malware
CERT-SG IRM-09: Smartphone Malware
Playbook operativo de Incident Response del CERT Societe Generale. Importado desde el vault PAI Obsidian-Inbox para uso de Juniors.
Resumen original
PURPOSE: This Incident Response Methodology is a cheat sheet dedicated to handlers investigating on a precise security issue — specifically, how to handle a suspicious smartphone.
WHO SHOULD USE IRM SHEETS?
- Administrators
- Security Operation Center
- CISOs and deputies
- CERTs (Computer Emergency Response Team)
Metodos
Case study / cheat sheet basado en el framework NIST de 6 pasos, aplicado a malware en dispositivos moviles (smartphones).
Hallazgos clave
- Preparacion: El helpdesk movil debe tener proceso definido: reemplazar smartphone del usuario y aislar dispositivo sospechoso para forense; habilitar logging via MDM; instalar apps AV/seguridad; configurar VPN para analizar actividad de red; en Android: activar opciones de desarrollador con USB Debugging (riesgo en cargadores publicos); testear rutinas de extraccion previamente
- Identificacion: Alertas de apps AV/seguridad, permisos anomalos en aplicaciones, actividad de sistema/red anomala, lentitud inusual, reinicios/apagados sin razon, crashes, mensajes con caracteres inusuales (SMS/MMS/Bluetooth), aumento en factura telefonica, llamadas a numeros desconocidos; preguntar al usuario sobre su actividad habitual (sitios web, apps instaladas)
- Contencion: Solicitar credenciales del usuario (PIN SIM, password, iCloud, Google Play, password de backup); proveer dispositivo de reemplazo; hacer backup del smartphone (filesystem fisico, backup logico o adquisicion manual); colocar telefono en bolsa de Faraday; remover SIM; despues de adquisicion, remover bateria o activar modo avion; usar herramientas forenses dedicadas (Cellebrite, XRY, Oxygen, Axiom, Andriller)
- Remediacion: Remover amenaza identificada, o wipe completo con factory reset usando firmware pristino; reinsertar SIM; reportar apps maliciosas en marketplaces para su eliminacion
- Recuperacion: Reinstalar selectivamente datos y apps desde backup; considerar periodo de cuarentena adicional para verificaciones de seguridad
Relevancia
Guia especializada para un vector de ataque cada vez mas comun. Destaca procedimientos especificos para moviles que difieren significativamente de los de escritorio: uso de bolsa de Faraday para aislamiento fisico, importancia del MDM para logging, y la necesidad de herramientas forenses especializadas. La advertencia sobre los riesgos del USB Debugging en cargadores publicos es un punto de seguridad operativa relevante.
Citas clave
"After acquisition, remove the battery (if feasible) or put the phone in the airplane mode to block all activity (WiFi, Bluetooth, etc)." (p. 6)
"Use a dedicated forensic solution to analyze the captured data or the smartphone (Cellebrite, XRY, Oxygen, Axiom, Andriller, etc.)" (p. 6)
"Signal all identified malicious applications still available through marketplaces for removal." (p. 7)
Conexiones
- certsg-irm-07-windows-malware — Deteccion de malware en Windows, equivalente para desktop
- certsg-irm-01-worm-infection — Infeccion por malware, smartphones como vectores de propagacion
- certsg-irm-16-phishing — Phishing, vector comun de infeccion en moviles
- Tema principal: Themes/respuesta-incidentes-lifecycle