Práce se zabývá detekcí mobilního malware na platformě Android OS. Cílem práce bylo navrhnutí příznaků použitelných jako signatur a vytvoření detekční aplikace pro ověření správné funkcionality. Detekční aplikace je realizována vícestupňovou ochranou, ve které se porovnává shoda hašovací funkce, oprávnění, uses-features a komponent jednotlivých aplikací. Příznaky byly vytvořeny na základě provedené statické analýzy malwaru. Statická analýza byla provedena na APK souborech z databáze malwarů.
Detekční aplikace dosahuje stoprocentní úspěšnosti u známých vzorků a do jisté míry je schopna reagovat na obfuskační techniky a vzorky neznámé. Všechny nainstalované vzorky malware byly úspěšně detekovány a odinstalovány.
Annotation in English
This work is concentrated on mobile malware detection which operates on the Android OS platform. The main goal of work was to find out symptoms, which can be used as signatures, and to create a detection application to test the correct functionality. Detection application is based on multi-level protection that compares the match of a hash function, permissions, uses-features, and components of each app. The signatures were designed based on static analysis. Static analysis was conducted on APK files from the malware database.
Detection application reaches one hundred percent success with known samples and is slightly able to react to obfuscation techniques and unknown samples. All installed samples have been detected and uninstalled successfully.
Práce se zabývá detekcí mobilního malware na platformě Android OS. Cílem práce bylo navrhnutí příznaků použitelných jako signatur a vytvoření detekční aplikace pro ověření správné funkcionality. Detekční aplikace je realizována vícestupňovou ochranou, ve které se porovnává shoda hašovací funkce, oprávnění, uses-features a komponent jednotlivých aplikací. Příznaky byly vytvořeny na základě provedené statické analýzy malwaru. Statická analýza byla provedena na APK souborech z databáze malwarů.
Detekční aplikace dosahuje stoprocentní úspěšnosti u známých vzorků a do jisté míry je schopna reagovat na obfuskační techniky a vzorky neznámé. Všechny nainstalované vzorky malware byly úspěšně detekovány a odinstalovány.
Annotation in English
This work is concentrated on mobile malware detection which operates on the Android OS platform. The main goal of work was to find out symptoms, which can be used as signatures, and to create a detection application to test the correct functionality. Detection application is based on multi-level protection that compares the match of a hash function, permissions, uses-features, and components of each app. The signatures were designed based on static analysis. Static analysis was conducted on APK files from the malware database.
Detection application reaches one hundred percent success with known samples and is slightly able to react to obfuscation techniques and unknown samples. All installed samples have been detected and uninstalled successfully.
Rozšiřte základní jednoduché detekce mobilního malwaru, které probíhají na základě kontroly package name a hash hodnoty APK balíčku.
Pro vypracování použijte databázi vzorků mobilního malwaru, kterou poskytne společnost Monet+.
Navrhněte další příznaky, které lze použít pro klasifikaci aplikace jako malwaru. Součástí práce bude i návrh, jak tyto příznaky využít pro klasifikaci mobilního malwaru.
Vytvořte implementaci navrženého klasifikátoru jako modulu do SDK pro detekci mobilního malwaru na platformě Android.
Research Plan
Rozšiřte základní jednoduché detekce mobilního malwaru, které probíhají na základě kontroly package name a hash hodnoty APK balíčku.
Pro vypracování použijte databázi vzorků mobilního malwaru, kterou poskytne společnost Monet+.
Navrhněte další příznaky, které lze použít pro klasifikaci aplikace jako malwaru. Součástí práce bude i návrh, jak tyto příznaky využít pro klasifikaci mobilního malwaru.
Vytvořte implementaci navrženého klasifikátoru jako modulu do SDK pro detekci mobilního malwaru na platformě Android.
Recommended resources
AU, Man Ho. Mobile security and privacy: advances, challenges and future research directions. Cambridge, MA: Elsevier, 2016. ISBN 978-012-8046-296.
DUNHAM, Ken, Shane HARTMAN, Jose Andre MORALES, Manu QUINTANS a Tim STRAZZERE. Android malware and analysis. Boca Raton: Auerbach Publications, [2014]. ISBN 14-822-5219-8.
DUBEY, Abhishek a Anmol MISRA. Android security: attacks and defenses. Boca Raton: CRC Press, c2013. ISBN 978-1-4398-9646-4.
JIANG, Xuxian a Yajin ZHOU. Android malware. New York: Springer, [2013]. SpringerBriefs in computer science. ISBN 978-1-4614-7393-0.
ELENKOV, Nikolay. Android security internals: an in-depth guide to Android's security architecture. San Francisco: No Starch Press, [2015]. ISBN 15-932-7581-1.
RAGGO, Michael T. Mobile data loss: threats and countermeasures. Waltham, MA: Syngress, [2016]. ISBN 01-280-2864-5.
DUNHAM, Ken. Mobile malware attacks and defense. Burlington, MA: Elsevier, c2009. ISBN 15-974-9298-1.
Recommended resources
AU, Man Ho. Mobile security and privacy: advances, challenges and future research directions. Cambridge, MA: Elsevier, 2016. ISBN 978-012-8046-296.
DUNHAM, Ken, Shane HARTMAN, Jose Andre MORALES, Manu QUINTANS a Tim STRAZZERE. Android malware and analysis. Boca Raton: Auerbach Publications, [2014]. ISBN 14-822-5219-8.
DUBEY, Abhishek a Anmol MISRA. Android security: attacks and defenses. Boca Raton: CRC Press, c2013. ISBN 978-1-4398-9646-4.
JIANG, Xuxian a Yajin ZHOU. Android malware. New York: Springer, [2013]. SpringerBriefs in computer science. ISBN 978-1-4614-7393-0.
ELENKOV, Nikolay. Android security internals: an in-depth guide to Android's security architecture. San Francisco: No Starch Press, [2015]. ISBN 15-932-7581-1.
RAGGO, Michael T. Mobile data loss: threats and countermeasures. Waltham, MA: Syngress, [2016]. ISBN 01-280-2864-5.
DUNHAM, Ken. Mobile malware attacks and defense. Burlington, MA: Elsevier, c2009. ISBN 15-974-9298-1.
Enclosed appendices
-
Appendices bound in thesis
-
Taken from the library
No
Full text of the thesis
Appendices
Reviewer's report
Supervisor's report
Defence procedure record
Student v krátké prezentaci seznámil komisi s výsledky své práce.
Po přečtení posudků vedoucího a oponenta byly zodpovězeny dotazy z posudků.
Následovala diskuze, ve které byly položeny následující dotazy:
doc. Komínková Oplatková: Sada vzorků k testování byla firmou doporučena nebo požadována?
doc. Komínková Oplatková: Při testování porovnáváte pouze hash funkci?
dr. Král: Aplikaci jste vytvořil celou sám? V jakém nástroji jste ji programoval?
dr. Malaník: Zkoušel jste aplikaci i na jiném vzorku malware?
doc. Komínková Oplatková: Zkoumal jste i to, zda aplikace neodstraní i neinfikovanou aplikaci?