Android Malware Heuristics

Masata Nishida

AVTOKYO 2012

2012/11/17

(Photo: Android Lineup – Beige By .RGB.)

自己紹介

ニシダマサタ ( 西田雅太 )

• セキュアブレイン 先端技術研究所 所属

• 普段は解析・研究よりもコード書いてる

• Rubyist

• @masata_masata

今日のテーマは、• CSS(Computer Security Symposium)2012

– 2012/10/30-11/01

– 島根県松江市 (Matsue City, Shimane Prefecture)

でも同様の内容を発表

署名情報を利用したAndroid マルウェアの

推定手法の提案“Android Malware Heuristics using Digital

Certificates”

Android マルウェアは

メチャクチャ増えている！！

(Photo: High Sheeps By Bertoz)

McAfee Threat Report: Second Quarter 2012 By McAfee Labs

Android マルウェアは

メチャクチャ増えている！！と、言われているけど…

(Photo: High Sheeps By Bertoz)

数は増えているけど、その実態はどうなのか？

今日は Android アプリの証明書に着目して、いつもとは別の角度からマルウェアを見てみます

(Photo: DSC_6557 By euthman)

予備知識• Android アプリは

デジタル署名が必須

• 署名はオレオレ証明書でOK

• Apk ファイル (zip 形式 ) のMETA-INF/ ディレクトリ内に署名情報がある

(Photo: Marriage Certificate By The Gearys)

ここで疑問同じ証明書を使って署名された

Android マルウェアってどれくらいあるんだろう？

(Photo: Thinking… By Mr Tickle)

で、実際に数えてみた

まずマルウェアの収集• 対象 Android マルウェア– 約 15,000

– ポリモーフィック型多数含む

Family samples

FakeInst 4,911Kmin 2,464OpFake 2,360Boxer 1,399DroidKungFu 824Lotoor 432GingerMaster 272SmsSend 221SmsAgent 209JiFake 137

Others 1,488Total 14,717

(Photo: Catching Bugs, II, III By New Mexico Forestry Camp)

そして、数える

(Photo: Microscope Night By Machine Project)

ひたすら数える

(Photo: Microscope Night By Machine Project)

結果

Unique Certificates

14,717 検体

589 証明書非常に多くのマルウェアで同じ証明書が使われている！

FakeInst

4,911 検体

31 証明書ポリモーフィック型のマルウェアでも同じ証明書が使い回されている

Polymorphic sample

FakeInst

一番使われていた証明書

2,602 検体に署名

Polymorphic sample

使用期間

1 年以上使われていた証明書

13 証明書 (2,764 検

体 )1 つの証明書が長期間使い続けられているケースもある

The Movie (Dougalek)• 日本国内事例 (2012 年 4 月 )

• GooglePlay からマルウェアを配布– 約 50 種類のマルウェア

– 7 つの Developer アカウントで配布

• 個人情報を外部サーバに送信

• “xxx the Movie”, ”xxx 動画”みたいなタイトル– “xxx” をアイドルグループ名や有名ゲーム名にして釣る

• 被害端末 9 万台 / 流出情報 1,183 万件

• ちなみに、先月 (2010/10/30) 容疑者が逮捕

– スマホアプリで個人情報1000万件収集 「ぴよ盛り

the Movie」配信の男女5人を逮捕 - ITMedia

Japan-specific malware

The Movie(Dougalek)

24 検体

7 証明書

とりあえず手元にあった

Japan-specific malware

本日の結論

(Photo: New Blackboard By uncultured)

非常に多くの Android マルウェアが

同じ証明書で署名されている

既知のマルウェアの署名に使われている

証明書を使えば、未知のマルウェアを

検知できるんじゃね？

( 少なくとも今のところは… )(Photo: The Detective By paurian)

非常に多くの Android マルウェアが

同じ証明書で署名されている

実際にマルウェアを作ってる人は

そんなに多くないかも？

もしくは証明書の秘密鍵が

共有されているとか？(Photo: DSC_6565 By euthman)

おわり

[Appendix]apk analysis library for Ruby• Open Source

– Source: https://github.com/securebrain/ruby_apk

– Install: “$ gem install ruby_apk”

• Requirements– Ruby1.9.x

• Features– AndroidManifest.xml analysis

• components(activity, service, receiver, provider)

• use-permission, intent-filter,…

– Extract files in apk

– resource analysis(partial)

– dex analysis(partial)• Extract classes, methods, fields, strings