Loading…
Detection of Smartphone Malware
Schmidt, Aubrey-Derrick
Aufgrund des technologischen Fortschritts haben sich klassische Mobilfunkgeräte zu mobilen Computern entwickelt, welche innovative Techniken und Funktionen aufweisen. Aufgrund dieser Merkmale steigt der Verbreitungsgrad der Smartphone genannten Geräte kontinuierlich, wobei das Interesse nicht nur bei gewünschten Nutzergruppen gestiegen ist; seit dem Jahr 2004 konnte ein starker Anstieg an Schadsoftware für Smartphones identifiziert werden. Aktuelle Gegenmaßnahmen zu Schadsoftware für Smartphones beschränken sich auf Signatur-basierte Verfahren, welche in der Lage sind, bekannte Schadsoftware effizient zu erkennen. Unbekannte Schadsoftware kann aufgrund der fehlenden Signatur aber nicht erkannt werden, was wiederum ein Zeitfenster für schadhafte Aktionen öffnet. Aufgrund der steigenden Bedeutung der Smartphones und der darauf gespeicherten Daten für die jeweiligen Nutzer, ist es erforderlich, die Möglichkeit neuer signaturloser Ansätze, welche unbekannte Schadsoftware für Smartphone-basierte Umgebungen erkennen, zu untersuchen. In dieser Arbeit betrachten wir das Forschungsfeld der Smartphone-basierten Schadsoftware. Wir geben eine klare Definition des Begriffs Smartphone, da es hierzu keine einheitliche Meinung, noch einen gemeinsamen Industriestandard gibt. Um die Gefahr von Schadsoftware für Smartphones besser nachvollziehen zu können, präsentieren wir zudem eine Zusammenstellung aller veröffentlichten Schadsoftware bis zum Ende des Jahres 2010 gefunden wurden. Das Jahr 2008 stellt hierbei die Hochzeit der Smartphone Malware dar. Unsere vorgestellten signaturlosen Ansätze basieren auf Methoden aus dem Feld der statischen und dynamischen Analyse. In dem Feld der dynamischen Analyse stellen wir ein System vor, das Verhaltens- und System-basierte Informationen sammelt, welche auf einem entfernten System mit Hilfe von Verfahren des Maschinellen Lernens im Sinne der Anomalieerkennung verarbeitet werden. Diesem System führte zu einer allgemeineren Architektur zur Überwachung von Linux-basierten Smartphones, welche wir nutzen, um Systemaufrufe aus Binärdateien zu extrahieren. Die Systemaufrufe wiederum werden genutzt, um Schadsoftware von normaler Software zu unterscheiden, welches wir in einem Baum-basierten Ansatz beschreiben. Neben den Ansätzen der dynamischen Analyse diskutieren wir die Anwendbarkeit von statischer Analyse auf das Feld der Schadsoftwareerkennung in Smartphoneumgebungen, wobei Symbian OS und Android als Beispielplattformen dienen. In beiden Fällen extrahieren wir auf statische Art und Weise Funktions- und Systemaufrufe aus ausführbarem Code, um diese zu analysieren. Die Analysen geben Rückschlüsse auf die Absichten der untersuchten Datei, wobei die erzielten Ergebnisse vielversprechend sind.
Due to technological progress, mobile phones evolved into technically and functionally sophisticated devices called smartphones. Providing comprehensive capabilities, smartphones are getting increasingly popular not only for the targeted users but all. Since 2004, several malwares appeared targeting these devices. General countermeasures to smartphone malwares are currently limited to signature-based anti-virus scanners which efficiently detect known malwares, but they have serious shortcomings with new and unknown malwares creating a window of opportunity for attackers. As smartphones become a host for sensitive data and applications, extended malware detection mechanisms not basing on signatures are necessary complying with the resource constraints of current mobile devices. In this work, we tackle the field of smartphone malware. We give a clear definition on what a smartphone actually is since an industry standard does not exist. For understanding the threat of malwares targeting smartphones, we present an updated list including all published malwares that were recognized by anti-virus companies until the end of 2010. We introduce the fields of dynamic and static analysis. In the field of dynamic analysis, a monitoring system is introduced gathering behavior and system-based information that are processed by a remote system using machine learning for anomaly detection. Furthermore, a monitoring and detection architecture for linux-based smartphones is presented which is used to trace execution of binaries for extracting invoked system calls. In the field of static analysis, we discuss its applicability to the domain of different smartphone platforms, namely Symbian OS and Android. In both cases, function and system calls are used that are extracted from binaries in a static manner. Results of the analyses are promising and showed competitive character in comparison with standard state-of-the-art learning algorithms, such as Naive Bayes.
