AVTOKYO2012 Android Malware Heuristics(jp)

  • 6,033 views
Uploaded on

English version is here: http://www.slideshare.net/MasataNishida/avtokyo2012-android-malware-heuristicsen

English version is here: http://www.slideshare.net/MasataNishida/avtokyo2012-android-malware-heuristicsen

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
6,033
On Slideshare
0
From Embeds
0
Number of Embeds
7

Actions

Shares
Downloads
28
Comments
0
Likes
6

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Android Malware Heuristics Masata Nishida AVTOKYO 2012 2012/11/17 (Photo: Android Lineup – Beige By .RGB.)
  • 2. 自己紹介ニシダマサタ(西田雅太)• セキュアブレイン 先端技術研究所 所属• 普段は解析・研究よりもコード書いてる• Rubyist• @masata_masata
  • 3. 今日のテーマは、• CSS(Computer Security Symposium)2012 – 2012/10/30-11/01 – 島根県松江市(Matsue City, Shimane Prefecture)でも同様の内容を発表 署名情報を利用した Android マルウェアの 推定手法の提案 “Android Malware Heuristics using Digital Certificates”
  • 4. Androidマルウェアは メチャクチャ増えている!!(Photo: High Sheeps By Bertoz)
  • 5. McAfee Threat Report: Second Quarter 2012 By McAfee Labs
  • 6. Androidマルウェアは メチャクチャ増えている!! と、言われているけど…(Photo: High Sheeps By Bertoz)
  • 7. 数は増えているけど、 その実態はどうなのか? 今日はAndroidアプリの 証明書に着目して、いつ もとは別の角度からマル ウェアを見てみます(Photo: DSC_6557 By euthman)
  • 8. 予備知識• Androidアプリは デジタル署名が必須• 署名はオレオレ証明書で OK• Apkファイル(zip形式)の META-INF/ ディレクトリ 内に署名情報がある (Photo: Marriage Certificate By The Gearys)
  • 9. ここで疑問 同じ証明書を使って署名された Androidマルウェアって どれくらいあるんだろう?(Photo: Thinking… By Mr Tickle)
  • 10. で、実際に数えてみた
  • 11. まずマルウェアの収集 • 対象Androidマルウェア Family samples FakeInst 4,911 – 約15,000 Kmin 2,464 OpFake 2,360 Boxer – ポリモーフィック型多数含む 1,399 DroidKungFu 824 Lotoor 432 GingerMaster 272 SmsSend 221 SmsAgent 209 JiFake 137 Others 1,488 Total 14,717(Photo: Catching Bugs, II, III By New Mexico Forestry Camp)
  • 12. そして、 数える(Photo: Microscope Night By Machine Project)
  • 13. ひたすら 数える(Photo: Microscope Night By Machine Project)
  • 14. 結果
  • 15. Unique Certificates 14,717 検体  589 証明書非常に多くのマルウェアで同じ証明書が使われている!
  • 16. FakeInst Polymorphic sample 4,911 検体  31 証明書ポリモーフィック型のマルウェアでも同じ証明書が使い回されている
  • 17. FakeInst Polymorphic sample一番使われていた証明書 2,602検体に署名
  • 18. 使用期間1年以上使われていた証明書 13証明書(2,764検体) 1つの証明書が長期間使い続けられているケースもある
  • 19. The Movie (Dougalek) Japan-specific malware• 日本国内事例 (2012年4月)• GooglePlayからマルウェアを配布 – 約50種類のマルウェア – 7つのDeveloperアカウントで配布• 個人情報を外部サーバに送信• “xxx the Movie”, ”xxx動画”みたいなタイトル – “xxx”をアイドルグループ名や有名ゲーム名にして釣 る• 被害端末9万台 / 流出情報 1,183万件• ちなみに、先月(2010/10/30)容疑者が逮捕 – スマホアプリで個人情報1000万件収集 「ぴよ盛り the Movie」配信の男女5人を逮捕 - ITMedia
  • 20. The Movie(Dougalek) Japan-specific malwareとりあえず手元にあった 24 検体  7 証明書
  • 21. 本日の 結論(Photo: New Blackboard By uncultured)
  • 22. 非常に多くのAndroidマルウェアが 同じ証明書で署名されている 既知のマルウェアの署名に使われている 証明書を使えば、未知のマルウェアを 検知できるんじゃね? (少なくとも今のところは…)(Photo: The Detective By paurian)
  • 23. 非常に多くのAndroidマルウェアが 同じ証明書で署名されている 実際にマルウェアを作ってる人は そんなに多くないかも? もしくは証明書の秘密鍵が 共有されているとか?(Photo: DSC_6565 By euthman)
  • 24. おわり
  • 25. [Appendix]apk analysis library for Ruby• Open Source – Source: https://github.com/securebrain/ruby_apk – Install: “$ gem install ruby_apk”• Requirements – Ruby1.9.x• Features – AndroidManifest.xml analysis • components(activity, service, receiver, provider) • use-permission, intent-filter,… – Extract files in apk – resource analysis(partial) – dex analysis(partial) • Extract classes, methods, fields, strings