Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Android Malware Heuristics         Masata Nishida         AVTOKYO 2012           2012/11/17                          (Phot...
自己紹介ニシダマサタ(西田雅太)• セキュアブレイン 先端技術研究所 所属• 普段は解析・研究よりもコード書いてる• Rubyist• @masata_masata
今日のテーマは、• CSS(Computer Security Symposium)2012  – 2012/10/30-11/01  – 島根県松江市(Matsue City, Shimane Prefecture)でも同様の内容を発表   ...
Androidマルウェアは          メチャクチャ増えている!!(Photo: High Sheeps By Bertoz)
McAfee Threat Report: Second Quarter 2012 By McAfee Labs
Androidマルウェアは          メチャクチャ増えている!!           と、言われているけど…(Photo: High Sheeps By Bertoz)
数は増えているけど、                               その実態はどうなのか?                               今日はAndroidアプリの                         ...
予備知識• Androidアプリは デジタル署名が必須• 署名はオレオレ証明書で OK• Apkファイル(zip形式)の META-INF/ ディレクトリ 内に署名情報がある                    (Photo: Marriag...
ここで疑問                                  同じ証明書を使って署名された                                      Androidマルウェアって                 ...
で、実際に数えてみた
まずマルウェアの収集        • 対象Androidマルウェア                                      Family         samples                            ...
そして、   数える(Photo: Microscope Night By Machine Project)
ひたすら                                               数える(Photo: Microscope Night By Machine Project)
結果
Unique Certificates    14,717 検体               589 証明書非常に多くのマルウェアで同じ証明書が使われている!
FakeInst            Polymorphic sample        4,911 検体                        31 証明書ポリモーフィック型のマルウェアでも同じ証明書が使い回されている
FakeInst    Polymorphic sample一番使われていた証明書        2,602検体に署名
使用期間1年以上使われていた証明書            13証明書(2,764検体) 1つの証明書が長期間使い続けられているケースもある
The Movie (Dougalek)                           Japan-specific malware•   日本国内事例 (2012年4月)• GooglePlayからマルウェアを配布    – 約50種類...
The Movie(Dougalek)         Japan-specific malwareとりあえず手元にあった       24 検体                    7 証明書
本日の                                  結論(Photo: New Blackboard By uncultured)
非常に多くのAndroidマルウェアが               同じ証明書で署名されている            既知のマルウェアの署名に使われている                証明書を使えば、未知のマルウェアを            ...
非常に多くのAndroidマルウェアが              同じ証明書で署名されている                      実際にマルウェアを作ってる人は                               そんなに多くない...
おわり
[Appendix]apk analysis library for Ruby• Open Source   – Source: https://github.com/securebrain/ruby_apk   – Install: “$ g...
Upcoming SlideShare
Loading in …5
×

AVTOKYO2012 Android Malware Heuristics(jp)

7,427 views

Published on

English version is here: http://www.slideshare.net/MasataNishida/avtokyo2012-android-malware-heuristicsen

Published in: Technology
  • Be the first to comment

AVTOKYO2012 Android Malware Heuristics(jp)

  1. 1. Android Malware Heuristics Masata Nishida AVTOKYO 2012 2012/11/17 (Photo: Android Lineup – Beige By .RGB.)
  2. 2. 自己紹介ニシダマサタ(西田雅太)• セキュアブレイン 先端技術研究所 所属• 普段は解析・研究よりもコード書いてる• Rubyist• @masata_masata
  3. 3. 今日のテーマは、• CSS(Computer Security Symposium)2012 – 2012/10/30-11/01 – 島根県松江市(Matsue City, Shimane Prefecture)でも同様の内容を発表 署名情報を利用した Android マルウェアの 推定手法の提案 “Android Malware Heuristics using Digital Certificates”
  4. 4. Androidマルウェアは メチャクチャ増えている!!(Photo: High Sheeps By Bertoz)
  5. 5. McAfee Threat Report: Second Quarter 2012 By McAfee Labs
  6. 6. Androidマルウェアは メチャクチャ増えている!! と、言われているけど…(Photo: High Sheeps By Bertoz)
  7. 7. 数は増えているけど、 その実態はどうなのか? 今日はAndroidアプリの 証明書に着目して、いつ もとは別の角度からマル ウェアを見てみます(Photo: DSC_6557 By euthman)
  8. 8. 予備知識• Androidアプリは デジタル署名が必須• 署名はオレオレ証明書で OK• Apkファイル(zip形式)の META-INF/ ディレクトリ 内に署名情報がある (Photo: Marriage Certificate By The Gearys)
  9. 9. ここで疑問 同じ証明書を使って署名された Androidマルウェアって どれくらいあるんだろう?(Photo: Thinking… By Mr Tickle)
  10. 10. で、実際に数えてみた
  11. 11. まずマルウェアの収集 • 対象Androidマルウェア Family samples FakeInst 4,911 – 約15,000 Kmin 2,464 OpFake 2,360 Boxer – ポリモーフィック型多数含む 1,399 DroidKungFu 824 Lotoor 432 GingerMaster 272 SmsSend 221 SmsAgent 209 JiFake 137 Others 1,488 Total 14,717(Photo: Catching Bugs, II, III By New Mexico Forestry Camp)
  12. 12. そして、 数える(Photo: Microscope Night By Machine Project)
  13. 13. ひたすら 数える(Photo: Microscope Night By Machine Project)
  14. 14. 結果
  15. 15. Unique Certificates 14,717 検体  589 証明書非常に多くのマルウェアで同じ証明書が使われている!
  16. 16. FakeInst Polymorphic sample 4,911 検体  31 証明書ポリモーフィック型のマルウェアでも同じ証明書が使い回されている
  17. 17. FakeInst Polymorphic sample一番使われていた証明書 2,602検体に署名
  18. 18. 使用期間1年以上使われていた証明書 13証明書(2,764検体) 1つの証明書が長期間使い続けられているケースもある
  19. 19. The Movie (Dougalek) Japan-specific malware• 日本国内事例 (2012年4月)• GooglePlayからマルウェアを配布 – 約50種類のマルウェア – 7つのDeveloperアカウントで配布• 個人情報を外部サーバに送信• “xxx the Movie”, ”xxx動画”みたいなタイトル – “xxx”をアイドルグループ名や有名ゲーム名にして釣 る• 被害端末9万台 / 流出情報 1,183万件• ちなみに、先月(2010/10/30)容疑者が逮捕 – スマホアプリで個人情報1000万件収集 「ぴよ盛り the Movie」配信の男女5人を逮捕 - ITMedia
  20. 20. The Movie(Dougalek) Japan-specific malwareとりあえず手元にあった 24 検体  7 証明書
  21. 21. 本日の 結論(Photo: New Blackboard By uncultured)
  22. 22. 非常に多くのAndroidマルウェアが 同じ証明書で署名されている 既知のマルウェアの署名に使われている 証明書を使えば、未知のマルウェアを 検知できるんじゃね? (少なくとも今のところは…)(Photo: The Detective By paurian)
  23. 23. 非常に多くのAndroidマルウェアが 同じ証明書で署名されている 実際にマルウェアを作ってる人は そんなに多くないかも? もしくは証明書の秘密鍵が 共有されているとか?(Photo: DSC_6565 By euthman)
  24. 24. おわり
  25. 25. [Appendix]apk analysis library for Ruby• Open Source – Source: https://github.com/securebrain/ruby_apk – Install: “$ gem install ruby_apk”• Requirements – Ruby1.9.x• Features – AndroidManifest.xml analysis • components(activity, service, receiver, provider) • use-permission, intent-filter,… – Extract files in apk – resource analysis(partial) – dex analysis(partial) • Extract classes, methods, fields, strings

×