Android applications and security breach
Benitez-Mejia, Diana Gabriela Noemi
Published in: Digital Information Processing, Data Mining, and Wireless Communications (DIPDMWC), 2016 Third International Conference on
Abstract:The evolution of the Technology and its use in the daily life and business has made that the people trust in mobile devices to perform important activities. Hackers have focus in them due to the information they can get. In recent years, the growth of malware towards mobile devices has been outstanding. In this paper we present mobile threats and some of the main attack vectors that hackers use to steal information. Taking into account that applications are necessary in Android, we perform the analysis of a sample of the Remote Access Trojan called Dendroid, due to it is easy to found this kind of Trojans in Android applications. Also, as an example of how dangerous for the privacy of the users are the applications that request more permissions than those they need to run; ending with the encouragement to developers and researches to find alternatives to solve this security breach in Android.
SECTION I.Introduction
Since smartphones have been used in daily activities such as bank transfers, management of e-mail, control of Smart TV#39;s, agenda, business purposes, among others; they became an extension of the human due to the personal information they can store and the portability they offer. Therefore, the attackers or people with bad intentions have payed more attention to them. Attackers have found different ways to vulnerate and get remote access.
Android, is one of the most used Operating Systems since 2014, reaching over 82.8% of the market. This number will be growing due to the fact that we can find this Operating System in Smartphones, Smart watches, Smart TV#39;s and tablets. According to a study made by Google, the Android versions most used now are Jelly Bean, Kit kat and Lollipop .
In a recent study made by Fire eye they found that 96% of malware targets Android devices and apps. Also, the 86% of the time spent on mobile devices by users, involve app use, which means that users have more interaction with apps in their mobile devices than the basic use of a phone such as making calls or sending SMS.
This paper is organized as follows: Section II has some related works. Section III describes some mobile threats and attack vectors for Android. In Section IV the structure of an Android application is presented. Section V contains the overview of Dendroid: The Remote Access Trojan used. In Section VI we present the static analysis of the Remote Access Trojan. Section VII details the dynamic analysis. Section VIII the Conclusion and section IX with the references.
SECTION II.Related Works
In this section we present some related works in the malware and Android environment.
To understand the evolution of mobile malware, M. La Polla, describes different kinds of mobile malware during 2004–2011 with some predictions such as Android rootkits, remote jail-breaking exploits for iPhone, botnets and Remote Access Trojans in applications.
As Android users are not aware that their smartphones are also as vulnerable as any computer, Jalaluddin Khan, describes some important aspects of mobile security and data privacy issues. Daojing He, discusses why the smartphones are vulnerable to attacks. He outlines the fact that malware can cause serious issues related to data privacy, information security for users and organizations. Enck, performs attacks to compromise open interfaces for SMS, proving that a hacker can read the SMS on the phone remotely. With three rootkits, Jeffrey Bickford, shows that smartphones are also vulnerable to rootkits and not just computers.
Zhaoguo Wang , developed a method to detect malware based on behavior chain with the following malware models: privacy leakage, financial charge, malware installation and privilege escalation.
Android has a Linux kernel. Weng Zu , exploited a vulnerability in the kernel of Android developing an universal exploit that allows root for devices with Android versions from 4.3 to uppers. This is an important vulnerability to take into account due to it affects smartphones with recent Android vesions.
Permissions in Android are an important point for the security in Android smartphones. B. Sanz , presents a technique to detect malware in Android, based in the permission usage.
Parvez Faruki , provides a malware growth timeline between 2010–2014, the techniques that malware developers use to steal information and the fact that applications are a huge motivation to attack Android devices.
Vanessa N. Cooper , provides an overview of Android malware, some common characteristics found in malware applications with the point that the analysis of the code is useful to develop detection techniques, ending with the discussion of common defense techniques.
SECTION III.Mobile Threats, Attack Vectors
This section discusses some attack vectors, their description, with the variety of sources of mobile threats.
A. Mobile Threats
Taking into account that smartphones have similar vulnerabilities as computers, and the fact that people rely every day more on their smartphones than computers to perform important activities such as store passwords, personal information, documents, even transactions; there is a lot of people interested in that information with specific purposes. The question now is who is behind the attacks?. Ms. Puja S. Tekade, describes a variety of sources of mobile threats. An example of unintentional threads are the upgrades or failures in software. The intentional threats are mainly for profits or to take advantage in something. There is a variety of sources of intentional threats, with different motivations such as the following list:
Hackers: Basically they attack to introduce them
全文共19171字,剩余内容已隐藏,支付完成后下载完整资料
Android应用程序和安全漏洞
Benitez-Mejia, Diana Gabriela Noemi
发表于:数字信息处理,数据挖掘和无线通信(DIPDMWC),2016年第三届国际会议
摘要:技术的发展及其在日常生活和商业中的使用使人们相信移动设备可以执行重要的活动。由于他们可以获得的信息,黑客已经关注他们。近年来,移动设备恶意软件的增长一直非常突出。在本文中,我们将介绍移动威胁以及黑客用来窃取信息的一些主要攻击媒介。考虑到应用程序在Android中是必要的,我们对称为Dendroid的远程访问木马进行了分析,因为在Android应用程序中很容易找到这种木马。另外,作为用户隐私程度有多危险的示例,请求比他们需要运行的应用程序更多的权限的应用程序;最终以鼓励开发人员和研究人员寻找解决Android安全漏洞的替代方案。
第一节 引言
由于智能手机已用于银行转账,电子邮件管理,智能电视控制,日程安排,商业目的等日常活动中,由于他们可以存储的个人信息以及他们提供的便携性,他们成为了人类的延伸。因此,攻击者或意图不好的人更加关注他们。攻击者已经找到了不同的方法来进行漏洞和远程访问。
Android是自2014年以来使用最多的操作系统之一,达到了82.8%的市场份额。由于我们可以在智能手机,智能手表,智能电视和平板电脑中找到这个操作系统,因此这个数字将会增长。根据Google的一项研究,现在最常用的Android版本是Jelly Bean,Kit kat和Lollipop。
在Fire eye最近的一项研究中,他们发现96%的恶意软件针对Android设备和应用程序。此外,用户在移动设备上花费的时间有86%涉及应用程序使用,这意味着用户在移动设备中与应用程序的交互更多地比使用电话(例如拨打电话或发送短信)的基本用途更多。
本文组织如下:第二节有一些相关的作品。 第三部分描述了Android的一些移动威胁和攻击媒介。 在第四部分介绍了Android应用程序的结构。 第五部分包含Dendroid的概述:使用的远程访问木马。 在第六部分中,我们介绍了远程访问木马的静态分析。 第七节详细介绍了动态分析。 第八节结论和第九节与参考文献。
第二节 相关作品
在本节中,我们将介绍恶意软件和Android环境中的一些相关工作。
为了理解移动恶意软件的发展,M. La Polla 在2004 - 2011年描述了各种各样的移动恶意软件,并提出了一些预测,例如Android rootkit,iPhone远程监狱破解漏洞,僵尸网络和应用程序中的远程访问木马。
由于Android用户并不知道他们的智能手机也像任何计算机一样脆弱,Jalaluddin Khan描述了移动安全和数据隐私问题的一些重要方面。 Daojing He 讨论了为什么智能手机容易受到攻击。他概述了恶意软件可能导致与数据隐私,用户和组织的信息安全相关的严重问题的事实。 Enck 执行攻击以危及SMS的开放接口,证明黑客可以远程读取手机上的SMS。 Jeffrey Bickford 用三个rootkit说明智能手机也容易受到rootkit而不仅仅是计算机的攻击。
Zhaoguo Wang 开发了一种基于行为链的恶意软件检测方法,其中包含以下恶意软件模型:隐私泄露,财务费用,恶意软件安装和特权升级。
Android有一个Linux内核。Weng Zu利用Android内核中的一个漏洞开发了一个通用漏洞,该漏洞允许4.3版Android版本的设备拥有root权限。这是一个需要考虑的重要漏洞,因为它会影响最近Android手机的智能手机。
Android中的权限是Android智能手机安全性的重要一点。 B. Sanz介绍了一种根据权限使用情况在Android中检测恶意软件的技术。
Parvez Faruki提供了2010年至2014年间的恶意软件增长时间表,恶意软件开发人员用来窃取信息的技术以及应用程序是攻击Android设备的巨大动机。
Vanessa N. Cooper提供了Android恶意软件的概述,以及在恶意软件应用程序中发现的一些常见特征,其中分析代码对开发检测技术非常有用,最后讨论常见防御技术。
第三节 移动威胁,攻击媒介
本节讨论一些攻击媒介及其描述,以及各种移动威胁来源。
A.移动威胁
考虑到智能手机具有与计算机类似的弱点,以及人们每天更多地依靠智能手机而不是计算机执行重要活动,例如商店密码,个人信息,文档甚至交易;有很多人对这些信息有特定的兴趣。现在的问题是谁在攻击背后? Puja S. Tekade女士介绍了各种移动威胁来源。无意的线程的一个例子是软件的升级或失败。有意的威胁主要是为了利润或者利用某些东西。有各种各样的故意威胁来源,具有不同的动机,例如以下列表:
黑客:基本上他们攻击自我介绍。
僵尸网络运营商:他们使用恶意软件感染,控制和执行网络钓鱼或垃圾邮件等攻击。
网络犯罪分子:在垃圾邮件,恶意软件或其他技术中,他们可以获取主要用于获取利润,欺诈或勒索等勒索软件的信息。
外国情报机构:他们开发软件等技术;主要用于信息收集和间谍活动以支持其国家安全。
恐怖分子:他们会试图威胁或削弱他们的敌人。
B.攻击媒介
攻击向量是威胁用来攻击系统的方法。根据G.Wiedman,我们列举了移动设备中的一些主要向量攻击:
近场通讯:当NFC智能手机enabLED扫描NFC标签时,它可能会更改受害者智能手机中的设置或打开应用程序。
短信息:它们被用来发送恶意URL来感染受害者,作为社交工程攻击媒介的一部分。
快速响应代码:他们可以将嵌入式恶意URL或信息发送到智能手机上的应用程序。
电子邮件:它们用于发送恶意网站或恶意应用程序和文件的URL,以感染智能手机并采取远程控制来窥探或窃取信息。
浏览器:可以在智能手机中安装多个浏览器。许多网页可能包含浏览器漏洞,并在移动设备上安装恶意软件或其他操作。
应用程序:有些应用程序显然无害,但通常用作远程访问木马(R.A.T.)。
WAP PUSH消息:它们是更多棕褐色160个字符的消息,它们在智能手机中显示为弹出式窗口。如果攻击者通过WAP PUSH消息发送URL,感染/下载将自动开始。
受工厂智能手机感染:根据G Data的研究,智能手机N9500 STAR受到工厂感染。该固件包含一个特洛伊木马,该木马作为预安装的Linux应用程序伪装成Google Play商店应用程序。特洛伊向中国远程服务器发送信息。
ASLR和DEP绕道:此向量的目标是通过打破其对远程代码执行的安全性来改变操作系统内存的使用。
OSINT(开源智能):这是一种用于通过公共数据库,社交网络,网页等开源资源收集个人或公司信息的技术。信息收集非常突出,可以更多地了解受害者,还有更多的可能性说服用户在智能手机中安装应用程序。
远程访问木马:每天,黑客都对移动设备开发恶意软件更感兴趣。他们的动机是开发第三个应用程序和远程访问木马。 Google play中的应用程序可能会被感染,尽管在那里。这是任何智能手机与Android操作系统都需要应用程序的潜在向量攻击,因此用户不会处理所请求的权限。由于Android依赖用户意识到风险并理解任何应用程序请求的权限,因此这一事实并不有用。
远程访问木马是一种恶意软件,允许攻击者远程控制受害者的设备,以获取机密信息,位置,短信,联系人,录制视频,音频,获取设备信息,密码,用户信息。
远程访问木马通常与可能无害的应用程序一起使用,例如手电筒应用程序请求电子邮件中附加的所有权限,播放或文件。远程访问特洛伊病毒由一个客户端和一个服务器组成。服务器是智能手机,而客户端是命令和控制(C&C)服务器,攻击者请求的所有信息将被发送。
第四节 Android应用程序结构
Android应用程序是用Java语言编写的一个项目,打包为APK。
AndroidManifest.xml主要包含权限,服务,活动,广播接收者,内容提供者。
活动:是应用程序的用户界面(UI)。
服务:是没有UI的后台任务。
广播接收器:监听系统中生成的事件。
内容提供者:它是为不同应用程序之间的数据访问提供的接口。
在Android Manifest中,开发人员必须声明应用程序将使用的权限。 在权限分为以下几类:
正常:风险最小的权限,他们不需要用户的批准。
危险:是否需要访问设备中的传感器(例如相机,麦克风,GPS等)的权限,因此用户在接受之前必须知道。
签名:当两个应用程序具有相同的证书时,系统自动授予权限。
SignatureOrSystem:适用于Android系统映像中的应用程序,主要用于供应商的应用程序。
第五节 Dendroid概述
在第五部分到第七部分中,我们对远程访问特洛伊木马calLED dendroid的一个样本进行动态和静态分析。 我们决定使用它,因为受害者意识到感染并不容易。 尽管存在大量的远程访问木马,但其中一些并不是离散的,例如应用程序图标可疑,崩溃或诸如FinFisher之类的商业行为作为系统更新。不幸的是,它只出售给政府。
Dendroid是一种远程访问木马,用于通过远程控制感染和窃取设备信息和存储数据,如拍照,录制音频和视频,发送消息,拨打电话。
这个R.A.T.的架构是由攻击者管理的命令与控制服务器,所有信息将在感染智能手机后由恶意软件收集。
第六节 静态分析
在Dendroid的源代码中,有一个部分,攻击者在其中配置C&C服务器的URL,它使用base64编码,密码用于服务器接收信息时将要上传的数据库 受害者。 backupURL是在服务器不可用的情况下。
我们还可以看到一些php文件作为URL扩展,用于C&C服务器。 诸如get之类的文件。 PHP,检索有关设备的信息:ID,位置,Android版本,设备型号; upload-pictures.php是将已拍摄的照片上传到C&C Sserver。
GPlayBypass是为了逃避Google的检测,recordCalls是记录用户所做和接收的所有呼叫; 拦截将转发给C&C服务器将收到的SMS。
Android Manifest的一个巨大分析,可以为我们带来有趣的线索。在我们对Android Manifest的分析中,请求了以下权限:
android.permission.INTERNET:由于Dendroid可以打开套接字将用户信息发送到C&C服务器,所以此权限很危险。
android.permission.READ_SMS,WRITE_SMS,RECEIVE_SMS,SEND_SMS:这些权限可以在没有用户通知的情况下读取,写入,删除,修改和发送消息。
android.permission.CALL_PHONE:在没有用户通知的情况下执行调用。
android.permission.GET_ ACCOUNTS:拥有此权限,允许Dendroid读取任何帐户的信息。
com.android.browser.permission.READ_HISTORY_-BOOKMARKS:它允许读取浏览器历史记录。
android.permission.ACCESS_NETWORK_STATE:获取有关网络状态的信息或知道设备是否具有网络访问权限。
android.permission.READ_CONTACTS:允许知道联系人列表的姓名,电子邮件和电话号码。
android.permission.ACCESS_FINE_LOCATION:它允许GPS位置。
android.permission.GET_TASKS:知道正在运行的应用程序。
android.permission.WRITE_EXTERNAL_STORAGE:删除或修改外部存储器中的文件。
android.permission.CAMERA:如果用户不知道,Dendroid可以控制相机拍照或录制视频。
android.permission.RECORD_AUDIO:Dendroid也可以从麦克风录制音频。
android.permission.PROCESS_OUTGOING_CALLS:树状结构可以控制或修改传出呼叫。
上面的权限被配置为true,而以下权限被配置为android:required =“false”,这意味着它将禁用Google Play上针对该功能的过滤。
android.permission.WRITE_SETTINGS:允许Dendroid读取或写入系统设置。
android.permission.READ_PHONE_STATE:即使用户拨打电话,Dendroid也只能读取电话号码,IMEI,IMSI,可以获取电话号码。
android.permission.WAKE LOCK:允许树状结构防止设备进入挂起模式或防止处理器进入睡眠状态或屏幕变暗。
第七节 动态分析
为了进行动态分析,我们必须做出树木的概念证明。这是用HTC One V.制作的树状结构可以在有根或无根的设备上运行。要安装Dendroid,该设备必须已选择安装第三方应用程序或未知来源。
A.安装
在第一步,当受害者安装白人社会工程树木时,感染开始。
在电子邮件中嵌入一个简短的URL,也嵌入了QR码,下载了Dendro
全文共7239字,剩余内容已隐藏,支付完成后下载完整资料
资料编号:[14743],资料为PDF文档或Word文档,PDF文档可免费转换为Word
以上是毕业论文外文翻译,课题毕业论文、任务书、文献综述、开题报告、程序设计、图纸设计等资料可联系客服协助查找。
