• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
 

AVTOKYO2012 Android Malware Heuristics(jp)

on

  • 5,483 views

English version is here: http://www.slideshare.net/MasataNishida/avtokyo2012-android-malware-heuristicsen

English version is here: http://www.slideshare.net/MasataNishida/avtokyo2012-android-malware-heuristicsen

Statistics

Views

Total Views
5,483
Views on SlideShare
2,638
Embed Views
2,845

Actions

Likes
6
Downloads
26
Comments
0

8 Embeds 2,845

http://info.gred.jp 1991
http://blog.securebrain.co.jp 780
https://twitter.com 59
http://blog.livedoor.jp 7
http://webcache.googleusercontent.com 5
http://twitter.com 1
http://sc.dotbranch.com 1
https://si0.twimg.com 1
More...

Accessibility

Categories

Upload Details

Uploaded via SlideShare as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    AVTOKYO2012 Android Malware Heuristics(jp) AVTOKYO2012 Android Malware Heuristics(jp) Presentation Transcript

    • Android Malware Heuristics Masata Nishida AVTOKYO 2012 2012/11/17 (Photo: Android Lineup – Beige By .RGB.)
    • 自己紹介ニシダマサタ(西田雅太)• セキュアブレイン 先端技術研究所 所属• 普段は解析・研究よりもコード書いてる• Rubyist• @masata_masata
    • 今日のテーマは、• CSS(Computer Security Symposium)2012 – 2012/10/30-11/01 – 島根県松江市(Matsue City, Shimane Prefecture)でも同様の内容を発表 署名情報を利用した Android マルウェアの 推定手法の提案 “Android Malware Heuristics using Digital Certificates”
    • Androidマルウェアは メチャクチャ増えている!!(Photo: High Sheeps By Bertoz)
    • McAfee Threat Report: Second Quarter 2012 By McAfee Labs
    • Androidマルウェアは メチャクチャ増えている!! と、言われているけど…(Photo: High Sheeps By Bertoz)
    • 数は増えているけど、 その実態はどうなのか? 今日はAndroidアプリの 証明書に着目して、いつ もとは別の角度からマル ウェアを見てみます(Photo: DSC_6557 By euthman)
    • 予備知識• Androidアプリは デジタル署名が必須• 署名はオレオレ証明書で OK• Apkファイル(zip形式)の META-INF/ ディレクトリ 内に署名情報がある (Photo: Marriage Certificate By The Gearys)
    • ここで疑問 同じ証明書を使って署名された Androidマルウェアって どれくらいあるんだろう?(Photo: Thinking… By Mr Tickle)
    • で、実際に数えてみた
    • まずマルウェアの収集 • 対象Androidマルウェア Family samples FakeInst 4,911 – 約15,000 Kmin 2,464 OpFake 2,360 Boxer – ポリモーフィック型多数含む 1,399 DroidKungFu 824 Lotoor 432 GingerMaster 272 SmsSend 221 SmsAgent 209 JiFake 137 Others 1,488 Total 14,717(Photo: Catching Bugs, II, III By New Mexico Forestry Camp)
    • そして、 数える(Photo: Microscope Night By Machine Project)
    • ひたすら 数える(Photo: Microscope Night By Machine Project)
    • 結果
    • Unique Certificates 14,717 検体  589 証明書非常に多くのマルウェアで同じ証明書が使われている!
    • FakeInst Polymorphic sample 4,911 検体  31 証明書ポリモーフィック型のマルウェアでも同じ証明書が使い回されている
    • FakeInst Polymorphic sample一番使われていた証明書 2,602検体に署名
    • 使用期間1年以上使われていた証明書 13証明書(2,764検体) 1つの証明書が長期間使い続けられているケースもある
    • The Movie (Dougalek) Japan-specific malware• 日本国内事例 (2012年4月)• GooglePlayからマルウェアを配布 – 約50種類のマルウェア – 7つのDeveloperアカウントで配布• 個人情報を外部サーバに送信• “xxx the Movie”, ”xxx動画”みたいなタイトル – “xxx”をアイドルグループ名や有名ゲーム名にして釣 る• 被害端末9万台 / 流出情報 1,183万件• ちなみに、先月(2010/10/30)容疑者が逮捕 – スマホアプリで個人情報1000万件収集 「ぴよ盛り the Movie」配信の男女5人を逮捕 - ITMedia
    • The Movie(Dougalek) Japan-specific malwareとりあえず手元にあった 24 検体  7 証明書
    • 本日の 結論(Photo: New Blackboard By uncultured)
    • 非常に多くのAndroidマルウェアが 同じ証明書で署名されている 既知のマルウェアの署名に使われている 証明書を使えば、未知のマルウェアを 検知できるんじゃね? (少なくとも今のところは…)(Photo: The Detective By paurian)
    • 非常に多くのAndroidマルウェアが 同じ証明書で署名されている 実際にマルウェアを作ってる人は そんなに多くないかも? もしくは証明書の秘密鍵が 共有されているとか?(Photo: DSC_6565 By euthman)
    • おわり
    • [Appendix]apk analysis library for Ruby• Open Source – Source: https://github.com/securebrain/ruby_apk – Install: “$ gem install ruby_apk”• Requirements – Ruby1.9.x• Features – AndroidManifest.xml analysis • components(activity, service, receiver, provider) • use-permission, intent-filter,… – Extract files in apk – resource analysis(partial) – dex analysis(partial) • Extract classes, methods, fields, strings