Detecting Blacklisted URLs from Unmodified and Non-Rooted Android Devices
Oscar Somarriba, Senior Member, IEEE
ICT Research Program
National University of Engineering
Managua, Nicaragua
oscar.somarriba@gmail.com
Abstract— Smart devices are everywhere nowadays, such as smartphones and tablets where the Android platform is dominant in this mobile era. As a consequence of this popularity, the malware targeting Android smartphones has also mushroomed. Android malware is one of the major security issues and fast growing threats facing the Internet in the mobile arena, today. So, in this context, DNS (Domain Name System) is widely misused by miscreants in order to provide internet connection within malicious networks and botnets. In our experiments, we use the MalGenome dataset in order to generate network traffic. Besides, most of the malware we examine use DNS in order to obtain the IP address of their command and control servers. Then, the problem of determining the DNS queries done by the malware through devices without modifying the firmware or rooting smartphone, is very important and it poses a big challenge. From traces we generated from apps under test, we can extract malicious URLs invoked by the malware.
Keywords— Android, Android malware, Smart devices, dynamic analysis, network-based Analysis
- INTRODUCCION
Android es el sistema operativo de coacute;digo abierto para dispositivos moacute;viles maacute;s utilizado en la actualidad con maacute;s del 80% del mercado a nivel mundial [1]. Recientemente, los dispositivos moacute;viles inteligentes se han posicionado como aparatos muy populares con grandes capacidades de coacute;mputo, comunicacioacute;n y sensorizacioacute;n. Entre estos dispositivos se encuentran los teleacute;fonos moacute;viles (o smartphones) y tabletas inteligentes. Uno de los componentes maacute;s importantes de un dispositivo moacute;vil es el sistema operativo (OS), el cual es el programa o software que controla/maneja todas las aplicaciones que residen en el mismo. Debido a la amplia penetracioacute;n del OS Android en el mercado, este se ha convertido en el principal objetivo de los atacantes que producen software de naturaleza maliciosa (o malware). Asiacute; pues, el sistema propuesto en este trabajo se desarrolla en el ambiente Android, el OS moacute;vil maacute;s popular en los uacute;ltimos antilde;os al presente. Una caracteriacute;stica clave de este tipo de dispositivos con Android es su capacidad para incorporar aplicaciones (apps) de terceros desde una gran variedad de mercados o reservorios, mucho de los cuales, por decir lo menos, no tienen estrictos controles de seguridad. Esto plantea fuertes problemas de seguridad y privacidad para sus usuarios
1
y para los operadores de infraestructuras, sobre todo a traveacute;s del malware, el cual es capaz de acceder faacute;cilmente a los servicios proporcionados por el dispositivo y recoger datos sensibles de los sensores e informacioacute;n personal.
El crecimiento exponencial de la plataforma Android en los uacute;ltimos antilde;os ha hecho que sea uno de los principales objetivos para delincuentes ciberneacute;ticos. Como resultado, la cantidad de malware para Android estaacute; en constante y raacute;pido crecimiento. En concreto, en los antilde;os recieacute;n pasados se ha observado un incremento del desarrollo y la complejidad en la deteccioacute;n de malware muy sofisticado, atacando sobre todo a los smartphones, y apoyado por avanzadas teacute;cnicas disentilde;adas para transgredir los sistemas de seguridad implantados en los dispositivos. Las nuevas familias de malware Android estaacute;n evolucionando raacute;pidamente para evitar ser detectados por los escaacute;neres tradicionales basados en firmas; que requiere una frecuente actualizacioacute;n y mantenimiento de la base datos de firmas del malware. Por otro lado, esta estrategia tradicional no es muy efectiva ante ataques de malware no descubiertos con anterioridad. Existe, pues, una urgente necesidad de mejorar las capacidades de deteccioacute;n para superar los nuevos desafiacute;os de deteccioacute;n debido a la ofuscacioacute;n, y asiacute; mitigar o remediar el impacto de la evolucioacute;n de software malicioso para Android. Todo lo cual, ha permitido a la proliferacioacute;n de llamado malware inteligente [2].
Por otra parte, la mayoriacute;a de la investigacioacute;n publicada en la literatura teacute;cnica se centra en los sistemas de deteccioacute;n de malware basados en el host (e.g., un smartphone) es decir en el anaacute;lisis en profundidad de aplicaciones maliciosas; en lugar de integrar tambieacute;n en el anaacute;lisis del sistema, el traacute;fico o comportamiento de las apps en las redes de comunicaciones; lo cual incapacita severamente la deteccioacute;n de actividades maliciosas que se producen en el dispositivo moacute;vil a traveacute;s de Internet. En esto es remarcable, el uso abusivo del malware moacute;vil del Sistema de nombres de dominio (DNS), uno de los componentes fundamentales del Internet. El objetivo principal de este trabajo es proponer un meacute;todo parcial, en el lado del smartphone que permita la combinacioacute;n y la correlacioacute;n de dos enfoques complementarios: la deteccioacute;n de arriba hacia abajo (“top-bottom detection”) mediante la identificacioacute;n de los nombres de dominios del malware usando el traacute;fico de red
malicioso como el servicio de red DNS, y deteccioacute;n de abajo hacia arriba (“bottom-up detection”) usando el anaacute;lisis estaacute;tico y/o dinaacute;mico claacute;sico en aplicaciones Android para identificar el malware. En concreto, en la monitorizacioacute;n del malware se necesitan herramientas especializadas que permitan extraer informacioacute;n de traacute;fico de red del dispositivo moacute;vil inteligente sin modificar su firmware o “rootear” el mismo. En concreto, en este artiacute;culo nos concentramos en la deteccioacute;n de malware “bottom-up”, utilizando el anaacute;lisis dinaacute;mico y capturando DNS queries que llevan a cabo los smartphones con servidores remotos maliciosos.
A. Definicioacute;n o Planteamiento del Problema
Como ya se ha mencionado anteriormente, gra
全文共32022字,剩余内容已隐藏,支付完成后下载完整资料
Detecting Blacklisted URLs from Unmodified and Non-Rooted Android Devices
Oscar Somarriba, Senior Member, IEEE
ICT Research Program
National University of Engineering
Managua, Nicaragua
oscar.somarriba@gmail.com
Abstract— Smart devices are everywhere nowadays, such as smartphones and tablets where the Android platform is dominant in this mobile era. As a consequence of this popularity, the malware targeting Android smartphones has also mushroomed. Android malware is one of the major security issues and fast growing threats facing the Internet in the mobile arena, today. So, in this context, DNS (Domain Name System) is widely misused by miscreants in order to provide internet connection within malicious networks and botnets. In our experiments, we use the MalGenome dataset in order to generate network traffic. Besides, most of the malware we examine use DNS in order to obtain the IP address of their command and control servers. Then, the problem of determining the DNS queries done by the malware through devices without modifying the firmware or rooting smartphone, is very important and it poses a big challenge. From traces we generated from apps under test, we can extract malicious URLs invoked by the malware.
Keywords— Android, Android malware, Smart devices, dynamic analysis, network-based Analysis
- INTRODUCCION
Android es el sistema operativo de coacute;digo abierto para dispositivos moacute;viles maacute;s utilizado en la actualidad con maacute;s del 80% del mercado a nivel mundial [1]. Recientemente, los dispositivos moacute;viles inteligentes se han posicionado como aparatos muy populares con grandes capacidades de coacute;mputo, comunicacioacute;n y sensorizacioacute;n. Entre estos dispositivos se encuentran los teleacute;fonos moacute;viles (o smartphones) y tabletas inteligentes. Uno de los componentes maacute;s importantes de un dispositivo moacute;vil es el sistema operativo (OS), el cual es el programa o software que controla/maneja todas las aplicaciones que residen en el mismo. Debido a la amplia penetracioacute;n del OS Android en el mercado, este se ha convertido en el principal objetivo de los atacantes que producen software de naturaleza maliciosa (o malware). Asiacute; pues, el sistema propuesto en este trabajo se desarrolla en el ambiente Android, el OS moacute;vil maacute;s popular en los uacute;ltimos antilde;os al presente. Una caracteriacute;stica clave de este tipo de dispositivos con Android es su capacidad para incorporar aplicaciones (apps) de terceros desde una gran variedad de mercados o reservorios, mucho de los cuales, por decir lo menos, no tienen estrictos controles de seguridad. Esto plantea fuertes problemas de seguridad y privacidad para sus usuarios
1
y para los operadores de infraestructuras, sobre todo a traveacute;s del malware, el cual es capaz de acceder faacute;cilmente a los servicios proporcionados por el dispositivo y recoger datos sensibles de los sensores e informacioacute;n personal.
El crecimiento exponencial de la plataforma Android en los uacute;ltimos antilde;os ha hecho que sea uno de los principales objetivos para delincuentes ciberneacute;ticos. Como resultado, la cantidad de malware para Android estaacute; en constante y raacute;pido crecimiento. En concreto, en los antilde;os recieacute;n pasados se ha observado un incremento del desarrollo y la complejidad en la deteccioacute;n de malware muy sofisticado, atacando sobre todo a los smartphones, y apoyado por avanzadas teacute;cnicas disentilde;adas para transgredir los sistemas de seguridad implantados en los dispositivos. Las nuevas familias de malware Android estaacute;n evolucionando raacute;pidamente para evitar ser detectados por los escaacute;neres tradicionales basados en firmas; que requiere una frecuente actualizacioacute;n y mantenimiento de la base datos de firmas del malware. Por otro lado, esta estrategia tradicional no es muy efectiva ante ataques de malware no descubiertos con anterioridad. Existe, pues, una urgente necesidad de mejorar las capacidades de deteccioacute;n para superar los nuevos desafiacute;os de deteccioacute;n debido a la ofuscacioacute;n, y asiacute; mitigar o remediar el impacto de la evolucioacute;n de software malicioso para Android. Todo lo cual, ha permitido a la proliferacioacute;n de llamado malware inteligente [2].
Por otra parte, la mayoriacute;a de la investigacioacute;n publicada en la literatura teacute;cnica se centra en los sistemas de deteccioacute;n de malware basados en el host (e.g., un smartphone) es decir en el anaacute;lisis en profundidad de aplicaciones maliciosas; en lugar de integrar tambieacute;n en el anaacute;lisis del sistema, el traacute;fico o comportamiento de las apps en las redes de comunicaciones; lo cual incapacita severamente la deteccioacute;n de actividades maliciosas que se producen en el dispositivo moacute;vil a traveacute;s de Internet. En esto es remarcable, el uso abusivo del malware moacute;vil del Sistema de nombres de dominio (DNS), uno de los componentes fundamentales del Internet. El objetivo principal de este trabajo es proponer un meacute;todo parcial, en el lado del smartphone que permita la combinacioacute;n y la correlacioacute;n de dos enfoques complementarios: la deteccioacute;n de arriba hacia abajo (“top-bottom detection”) mediante la identificacioacute;n de los nombres de dominios del malware usando el traacute;fico de red
malicioso como el servicio de red DNS, y deteccioacute;n de abajo hacia arriba (“bottom-up detection”) usando el anaacute;lisis estaacute;tico y/o dinaacute;mico claacute;sico en aplicaciones Android para identificar el malware. En concreto, en la monitorizacioacute;n del malware se necesitan herramientas especializadas que permitan extraer informacioacute;n de traacute;fico de red del dispositivo moacute;vil inteligente sin modificar su firmware o “rootear” el mismo. En concreto, en este artiacute;culo nos concentramos en la deteccioacute;n de malware “bottom-up”, utilizando el anaacute;lisis dinaacute;mico y capturando DNS queries que llevan a cabo los sm
全文共44009字,剩余内容已隐藏,支付完成后下载完整资料
资料编号:[492]
以上是毕业论文外文翻译,课题毕业论文、任务书、文献综述、开题报告、程序设计、图纸设计等资料可联系客服协助查找。
