avtokyo2012 android malware heuristics(jp)
DESCRIPTION
English version is here: http://www.slideshare.net/MasataNishida/avtokyo2012-android-malware-heuristicsenTRANSCRIPT
Android Malware Heuristics
Masata Nishida
AVTOKYO 2012
2012/11/17
(Photo: Android Lineup – Beige By .RGB.)
自己紹介
ニシダマサタ ( 西田雅太 )
• セキュアブレイン 先端技術研究所 所属
• 普段は解析・研究よりもコード書いてる
• Rubyist
• @masata_masata
今日のテーマは、• CSS(Computer Security Symposium)2012
– 2012/10/30-11/01
– 島根県松江市 (Matsue City, Shimane Prefecture)
でも同様の内容を発表
署名情報を利用したAndroid マルウェアの
推定手法の提案“Android Malware Heuristics using Digital
Certificates”
Android マルウェアは
メチャクチャ増えている!!
(Photo: High Sheeps By Bertoz)
McAfee Threat Report: Second Quarter 2012 By McAfee Labs
Android マルウェアは
メチャクチャ増えている!!と、言われているけど…
(Photo: High Sheeps By Bertoz)
数は増えているけど、その実態はどうなのか?
今日は Android アプリの証明書に着目して、いつもとは別の角度からマルウェアを見てみます
(Photo: DSC_6557 By euthman)
予備知識• Android アプリは
デジタル署名が必須
• 署名はオレオレ証明書でOK
• Apk ファイル (zip 形式 ) のMETA-INF/ ディレクトリ内に署名情報がある
(Photo: Marriage Certificate By The Gearys)
ここで疑問同じ証明書を使って署名された
Android マルウェアってどれくらいあるんだろう?
(Photo: Thinking… By Mr Tickle)
で、実際に数えてみた
まずマルウェアの収集• 対象 Android マルウェア– 約 15,000
– ポリモーフィック型多数含む
Family samples
FakeInst 4,911Kmin 2,464OpFake 2,360Boxer 1,399DroidKungFu 824Lotoor 432GingerMaster 272SmsSend 221SmsAgent 209JiFake 137
Others 1,488Total 14,717
(Photo: Catching Bugs, II, III By New Mexico Forestry Camp)
そして、数える
(Photo: Microscope Night By Machine Project)
ひたすら数える
(Photo: Microscope Night By Machine Project)
結果
Unique Certificates
14,717 検体
589 証明書非常に多くのマルウェアで同じ証明書が使われている!
FakeInst
4,911 検体
31 証明書ポリモーフィック型のマルウェアでも同じ証明書が使い回されている
Polymorphic sample
FakeInst
一番使われていた証明書
2,602 検体に署名
Polymorphic sample
使用期間
1 年以上使われていた証明書
13 証明書 (2,764 検
体 )1 つの証明書が長期間使い続けられているケースもある
The Movie (Dougalek)• 日本国内事例 (2012 年 4 月 )
• GooglePlay からマルウェアを配布– 約 50 種類のマルウェア
– 7 つの Developer アカウントで配布
• 個人情報を外部サーバに送信
• “xxx the Movie”, ”xxx 動画”みたいなタイトル– “xxx” をアイドルグループ名や有名ゲーム名にして釣る
• 被害端末 9 万台 / 流出情報 1,183 万件
• ちなみに、先月 (2010/10/30) 容疑者が逮捕
– スマホアプリで個人情報1000万件収集 「ぴよ盛り
the Movie」配信の男女5人を逮捕 - ITMedia
Japan-specific malware
The Movie(Dougalek)
24 検体
7 証明書
とりあえず手元にあった
Japan-specific malware
本日の結論
(Photo: New Blackboard By uncultured)
非常に多くの Android マルウェアが
同じ証明書で署名されている
既知のマルウェアの署名に使われている
証明書を使えば、未知のマルウェアを
検知できるんじゃね?
( 少なくとも今のところは… )(Photo: The Detective By paurian)
非常に多くの Android マルウェアが
同じ証明書で署名されている
実際にマルウェアを作ってる人は
そんなに多くないかも?
もしくは証明書の秘密鍵が
共有されているとか?(Photo: DSC_6565 By euthman)
おわり
[Appendix]apk analysis library for Ruby• Open Source
– Source: https://github.com/securebrain/ruby_apk
– Install: “$ gem install ruby_apk”
• Requirements– Ruby1.9.x
• Features– AndroidManifest.xml analysis
• components(activity, service, receiver, provider)
• use-permission, intent-filter,…
– Extract files in apk
– resource analysis(partial)
– dex analysis(partial)• Extract classes, methods, fields, strings