Your SlideShare is downloading. ×
0
AVTOKYO2012 Android Malware Heuristics(jp)
AVTOKYO2012 Android Malware Heuristics(jp)
AVTOKYO2012 Android Malware Heuristics(jp)
AVTOKYO2012 Android Malware Heuristics(jp)
AVTOKYO2012 Android Malware Heuristics(jp)
AVTOKYO2012 Android Malware Heuristics(jp)
AVTOKYO2012 Android Malware Heuristics(jp)
AVTOKYO2012 Android Malware Heuristics(jp)
AVTOKYO2012 Android Malware Heuristics(jp)
AVTOKYO2012 Android Malware Heuristics(jp)
AVTOKYO2012 Android Malware Heuristics(jp)
AVTOKYO2012 Android Malware Heuristics(jp)
AVTOKYO2012 Android Malware Heuristics(jp)
AVTOKYO2012 Android Malware Heuristics(jp)
AVTOKYO2012 Android Malware Heuristics(jp)
AVTOKYO2012 Android Malware Heuristics(jp)
AVTOKYO2012 Android Malware Heuristics(jp)
AVTOKYO2012 Android Malware Heuristics(jp)
AVTOKYO2012 Android Malware Heuristics(jp)
AVTOKYO2012 Android Malware Heuristics(jp)
AVTOKYO2012 Android Malware Heuristics(jp)
AVTOKYO2012 Android Malware Heuristics(jp)
AVTOKYO2012 Android Malware Heuristics(jp)
AVTOKYO2012 Android Malware Heuristics(jp)
AVTOKYO2012 Android Malware Heuristics(jp)
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

AVTOKYO2012 Android Malware Heuristics(jp)

6,638

Published on

English version is here: http://www.slideshare.net/MasataNishida/avtokyo2012-android-malware-heuristicsen

English version is here: http://www.slideshare.net/MasataNishida/avtokyo2012-android-malware-heuristicsen

Published in: Technology
0 Comments
6 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
6,638
On Slideshare
0
From Embeds
0
Number of Embeds
8
Actions
Shares
0
Downloads
32
Comments
0
Likes
6
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Android Malware Heuristics Masata Nishida AVTOKYO 2012 2012/11/17 (Photo: Android Lineup – Beige By .RGB.)
  • 2. 自己紹介ニシダマサタ(西田雅太)• セキュアブレイン 先端技術研究所 所属• 普段は解析・研究よりもコード書いてる• Rubyist• @masata_masata
  • 3. 今日のテーマは、• CSS(Computer Security Symposium)2012 – 2012/10/30-11/01 – 島根県松江市(Matsue City, Shimane Prefecture)でも同様の内容を発表 署名情報を利用した Android マルウェアの 推定手法の提案 “Android Malware Heuristics using Digital Certificates”
  • 4. Androidマルウェアは メチャクチャ増えている!!(Photo: High Sheeps By Bertoz)
  • 5. McAfee Threat Report: Second Quarter 2012 By McAfee Labs
  • 6. Androidマルウェアは メチャクチャ増えている!! と、言われているけど…(Photo: High Sheeps By Bertoz)
  • 7. 数は増えているけど、 その実態はどうなのか? 今日はAndroidアプリの 証明書に着目して、いつ もとは別の角度からマル ウェアを見てみます(Photo: DSC_6557 By euthman)
  • 8. 予備知識• Androidアプリは デジタル署名が必須• 署名はオレオレ証明書で OK• Apkファイル(zip形式)の META-INF/ ディレクトリ 内に署名情報がある (Photo: Marriage Certificate By The Gearys)
  • 9. ここで疑問 同じ証明書を使って署名された Androidマルウェアって どれくらいあるんだろう?(Photo: Thinking… By Mr Tickle)
  • 10. で、実際に数えてみた
  • 11. まずマルウェアの収集 • 対象Androidマルウェア Family samples FakeInst 4,911 – 約15,000 Kmin 2,464 OpFake 2,360 Boxer – ポリモーフィック型多数含む 1,399 DroidKungFu 824 Lotoor 432 GingerMaster 272 SmsSend 221 SmsAgent 209 JiFake 137 Others 1,488 Total 14,717(Photo: Catching Bugs, II, III By New Mexico Forestry Camp)
  • 12. そして、 数える(Photo: Microscope Night By Machine Project)
  • 13. ひたすら 数える(Photo: Microscope Night By Machine Project)
  • 14. 結果
  • 15. Unique Certificates 14,717 検体  589 証明書非常に多くのマルウェアで同じ証明書が使われている!
  • 16. FakeInst Polymorphic sample 4,911 検体  31 証明書ポリモーフィック型のマルウェアでも同じ証明書が使い回されている
  • 17. FakeInst Polymorphic sample一番使われていた証明書 2,602検体に署名
  • 18. 使用期間1年以上使われていた証明書 13証明書(2,764検体) 1つの証明書が長期間使い続けられているケースもある
  • 19. The Movie (Dougalek) Japan-specific malware• 日本国内事例 (2012年4月)• GooglePlayからマルウェアを配布 – 約50種類のマルウェア – 7つのDeveloperアカウントで配布• 個人情報を外部サーバに送信• “xxx the Movie”, ”xxx動画”みたいなタイトル – “xxx”をアイドルグループ名や有名ゲーム名にして釣 る• 被害端末9万台 / 流出情報 1,183万件• ちなみに、先月(2010/10/30)容疑者が逮捕 – スマホアプリで個人情報1000万件収集 「ぴよ盛り the Movie」配信の男女5人を逮捕 - ITMedia
  • 20. The Movie(Dougalek) Japan-specific malwareとりあえず手元にあった 24 検体  7 証明書
  • 21. 本日の 結論(Photo: New Blackboard By uncultured)
  • 22. 非常に多くのAndroidマルウェアが 同じ証明書で署名されている 既知のマルウェアの署名に使われている 証明書を使えば、未知のマルウェアを 検知できるんじゃね? (少なくとも今のところは…)(Photo: The Detective By paurian)
  • 23. 非常に多くのAndroidマルウェアが 同じ証明書で署名されている 実際にマルウェアを作ってる人は そんなに多くないかも? もしくは証明書の秘密鍵が 共有されているとか?(Photo: DSC_6565 By euthman)
  • 24. おわり
  • 25. [Appendix]apk analysis library for Ruby• Open Source – Source: https://github.com/securebrain/ruby_apk – Install: “$ gem install ruby_apk”• Requirements – Ruby1.9.x• Features – AndroidManifest.xml analysis • components(activity, service, receiver, provider) • use-permission, intent-filter,… – Extract files in apk – resource analysis(partial) – dex analysis(partial) • Extract classes, methods, fields, strings

×