More Related Content
Similar to AVTOKYO2012 Android Malware Heuristics(jp) (20)
AVTOKYO2012 Android Malware Heuristics(jp)
- 3. 今日のテーマは、
• CSS(Computer Security Symposium)2012
– 2012/10/30-11/01
– 島根県松江市(Matsue City, Shimane Prefecture)
でも同様の内容を発表
署名情報を利用した
Android マルウェアの
推定手法の提案
“Android Malware Heuristics using Digital Certificates”
- 6. Androidマルウェアは
メチャクチャ増えている!!
と、言われているけど…
(Photo: High Sheeps By Bertoz)
- 7. 数は増えているけど、
その実態はどうなのか?
今日はAndroidアプリの
証明書に着目して、いつ
もとは別の角度からマル
ウェアを見てみます
(Photo: DSC_6557 By euthman)
- 9. ここで疑問
同じ証明書を使って署名された
Androidマルウェアって
どれくらいあるんだろう?
(Photo: Thinking… By Mr Tickle)
- 11. まずマルウェアの収集
• 対象Androidマルウェア Family samples
FakeInst 4,911
– 約15,000 Kmin 2,464
OpFake 2,360
Boxer
– ポリモーフィック型多数含む 1,399
DroidKungFu 824
Lotoor 432
GingerMaster 272
SmsSend 221
SmsAgent 209
JiFake 137
Others 1,488
Total 14,717
(Photo: Catching Bugs, II, III By New Mexico Forestry Camp)
- 12. そして、
数える
(Photo: Microscope Night By Machine Project)
- 13. ひたすら
数える
(Photo: Microscope Night By Machine Project)
- 16. FakeInst
Polymorphic sample
4,911 検体
31 証明書
ポリモーフィック型のマルウェアでも同じ証明書が使い回されている
- 17. FakeInst
Polymorphic sample
一番使われていた証明書
2,602検体に署名
- 19. The Movie (Dougalek)
Japan-specific malware
• 日本国内事例 (2012年4月)
• GooglePlayからマルウェアを配布
– 約50種類のマルウェア
– 7つのDeveloperアカウントで配布
• 個人情報を外部サーバに送信
• “xxx the Movie”, ”xxx動画”みたいなタイトル
– “xxx”をアイドルグループ名や有名ゲーム名にして釣
る
• 被害端末9万台 / 流出情報 1,183万件
• ちなみに、先月(2010/10/30)容疑者が逮捕
– スマホアプリで個人情報1000万件収集 「ぴよ盛り the
Movie」配信の男女5人を逮捕 - ITMedia
- 21. 本日の
結論
(Photo: New Blackboard By uncultured)
- 22. 非常に多くのAndroidマルウェアが
同じ証明書で署名されている
既知のマルウェアの署名に使われている
証明書を使えば、未知のマルウェアを
検知できるんじゃね?
(少なくとも今のところは…)
(Photo: The Detective By paurian)
- 23. 非常に多くのAndroidマルウェアが
同じ証明書で署名されている
実際にマルウェアを作ってる人は
そんなに多くないかも?
もしくは証明書の秘密鍵が
共有されているとか?
(Photo: DSC_6565 By euthman)
- 25. [Appendix]
apk analysis library for Ruby
• Open Source
– Source: https://github.com/securebrain/ruby_apk
– Install: “$ gem install ruby_apk”
• Requirements
– Ruby1.9.x
• Features
– AndroidManifest.xml analysis
• components(activity, service, receiver, provider)
• use-permission, intent-filter,…
– Extract files in apk
– resource analysis(partial)
– dex analysis(partial)
• Extract classes, methods, fields, strings