野生のモバイルマルウェアの検出

スマートフォンは私たちの生活にますます浸透しています。多くの人々にとって、スマートフォンは日常の必需品になっています。 これらのガジェットは、他の人とのつながりを与えてくれます。 ますます多くの機密情報や個人情報でそれらを信頼しているため、攻撃者がモバイルセグメントにますます注意を払っていることは驚くことではありません。 Kaspersky Lab が最初のネットワークモバイルワームCabirを発見した 2004年以降、毎年新しいマルウェアのサンプルが増えています。 したがって、「荒野で」、つまりモバイルアプリストアでのマルウェア検出方法の開発は、ますます重要になっています。

マルウェアとは何ですか？

悪意のあるソフトウェア（マルウェア）は、あらゆる種類の違法行為を行うように設計されたアプリケーションと呼ばれます。 これには、ウイルス、ボットネット、ワーム、トロイの木馬などが含まれます。 今日、マルウェアは、銀行口座の盗難から直接の強要まで、あらゆる種類の利益のために非常に広く使用されています。 そして、このシャドウビジネスでは、多くのお金がスピンし、より多くの新しい参加者を引き付けています。



「大規模」オペレーティングシステムのマルウェア検出技術は、すでに非常に多様で非常に効果的です。 ただし、情報セキュリティ業界のモバイルセグメントはまだ初期段階にあります。



マルウェアに加えて、モバイルデバイスの脅威には、スパイウェア（スパイウェア）と条件付きマルウェア（グレーウェア）の2つのカテゴリがあります。 ユーザーから密かにスパイウェアアプリケーションが彼の動き、SMS通信、通話履歴などに関する情報を収集します。 厳密な意味では、スパイウェアがどこかで収集された情報を送信しない場合、違法とは言えません。 しかし、ユーザーの知らない間にそのようなアプリケーションをインストールするという事実は倫理的とは言えません。



条件付き悪意のあるソフトウェアは「クラシック」よりもはるかに無害ですが、同時に非常に迷惑です。 たとえば、そのようなクラスに属するプログラムは、システムフォントやその色を変更したり、あらゆる種類の馬鹿げたm笑メッセージを生成したりできます。 一般に、人間社会との類推により、条件付き悪意のあるソフトウェアはささいないじめ、汚いトリックです。 グレーウェアは合法性の危機にonしていると言えます。著者は通常、意図を隠してソフトウェアの機能を説明しませんが、ユーザーは通常、ライセンス契約の条項を読まずに「同意する」ボタンを押します。



多くのセキュリティ専門家は、行動パターンと作成者の動機に基づいてマルウェアを分類することを好みます。 最も重要なビューは次のとおりです。

• ユーザーにあらゆる種類のニュースとエンターテイメントを提供します。 通常、このようなソフトウェアは、主に被害者のデバイスでの無意味な破壊的アクションを通じて、著者自身を楽しませ、彼のスキルを示すように設計されています。 例： Android.Walkinwat
• 取引ユーザー情報。 このようなアプリケーションは、ユーザーの位置、インストールされているアプリケーション、ダウンロード履歴、連絡先リストの内容に関するデータを密かに収集します。 広告主やマーケティング担当者からのこの情報に対する安定した需要があります。 例： DroidDreamLight
• 財務情報を盗む。 ほとんどの場合、これらは銀行口座の口座です。 テキストメッセージが傍受され、押されたすべてのボタンが記録され、フィッシング攻撃が適用されます。 例： Ikee.B
• さまざまなコンテンツの配信を操作します。 このようなソフトウェアは、個人的な電話をかけ、テクニカルサポート、交換レポート、親密なサービスなどを提供してSMSを送信することを目的としています。 例： FakePlayer
• SMSスパムを送信します。 被害者の番号はスパムの送信を開始します。スパムには通常、広告とフィッシングリンクが含まれています。 例： Geinimi
• 検索結果の操作。 検索結果では、さまざまなサイトが人為的に作成されています。 例： Hong Tou Tou

マルウェアを検出する方法

モバイルマルウェアを判別するための既存の方法には、それぞれ独自の利点と欠点があります。



静的コード分析

これは、迅速で低コストの方法です。 これは、アプリケーションを起動せずに、悪意のある特性または疑わしいコードを検索することにあります。 以下で説明する手法は、最も明らかな悪意のある機能について疑わしいアプリケーションを最初に確認する必要がある場合の予備分析に広く使用されています。







最初の2つのブランチは、Symbian OSおよびiOSでマルウェアを判別するための典型的なものであるため、その説明は省略します。 Androidのアクションのアルゴリズムを説明するスキームの3番目のブランチに興味があります。 デコンパイラを使用して、アプリケーションのソースコードが生成されます。 次に、 Fortify SCAソフトウェアパッケージのツールを使用して静的分析を行います。 この手法の欠点には、一般に、比較的少数のアクセス権とAPI呼び出しを持つアプリケーションの分析にのみ適しているという事実が含まれます。



動的コード分析

静的分析とは異なり、動的分析では、隔離された環境でアプリケーションを実行します。 たとえば、アプリケーションの動作を追跡できるように、仮想マシンまたはエミュレーター内。 ほとんどの場合、システムコールのトレースまたは汚染追跡には動的分析が使用されます。



動的なシステム全体の汚染分析には、 TaintDroidツールを使用できます。 次の図は、アプリケーションが最初に仮想マシンに送信され、変数、メソッド、メッセージ、ファイルの4つのレベルで評価される方法を示しています。 汚染追跡中、ジオロケーションモジュール、マイク、カメラなどからのデータ要求。 この方法は、すべてのネイティブライブラリが直接ではなく、仮想マシンからのみ呼び出されることを意味します。 最後に、動的分析は、情報がシステムからネットワークインターフェイスに転送される前に、潜在的なデータリークを特定します。







サードパーティ開発者からの多くの人気のあるAndroidアプリケーションのテストでは、かなりの数のアプリケーションがユーザーの位置に関する情報を広告会社に送信していることが示されました。 電話識別子をリモートサーバーに送信するものもあります。 ただし、TaintDroidは、偽陰性と偽陽性の両方の分析結果を生成できます。 さらに、このツールキットでは、データストリームという1種類の脆弱性のみを分析できます。



図の2番目の部分は、サンドボックス（AASandbox）を使用したAndroidアプリケーション用の2段階分析システムを示しています。 その中で、最初にバイナリファイルが逆アセンブルされ、 結果のコードで特性パターンの検索が実行されます。 次に、動的分析中に、アプリケーションがAndroidエミュレーターで実行され、すべてのシステムコールがログに記録されます。 ユーザーが生成した実際の入力データを取得できない場合は、Android Monkeyツール（ADB Monkey）を使用できます。



アプリケーション許可分析

モバイルアプリケーションでは、アクセス権が重要な役割を果たします。アクセス権は、ユーザーにアプリケーションの意図とバックエンドのアクティビティを示します。 スマートフォンでは、アクセス権が明示的に設定されているため、アプリケーション作成者も明示的に要求する必要があります。 ただし、一部の人々は、アプリケーションで使用される権限を意図的に隠し、脆弱性につながります。



以下は、Androidアプリケーションのアクセス許可ツールであるKirinの作業の図です。 検討中のアプリケーションのインストール中に、セキュリティ設定を取得し、既存のセキュリティポリシーと比較します。 アプリケーションがテストに合格しない場合、Kirinはユーザーに警告するか、アプリケーションを削除します。







キリンセキュリティポリシーの例：



An application must not have PHONE_STATE,RECORD_AUDIO, and INTERNET permission labels'







このルールは、ユーザーが電話で話している間、アプリケーションがオーディオを録音したりインターネットにアクセスしたりするのを防ぎます。 これにより、盗聴が回避されます。



2011年の100の有料および856の無料Androidアプリケーションに関する調査では、無料アプリケーションの約93％および有料アプリケーションの82％が、少なくとも1つの潜在的に危険なアクセス権を要求していることが示されました。 その中でも、最も一般的なのは、アプリケーションの目的がその使用を暗示していない場合でも、ネットワークへのアクセスのリクエストでした。



キリンの欠点には、権利の要求の分析ではマルウェアを検出するのに十分ではないという事実が含まれます。これは、静的または動的なコード分析と同時に使用する必要がある補助ツールです。



クラウドサービス分析

明らかに、デバイス自体のリソースが限られているため、スマートフォンは疑わしいアプリケーションを完全に分析することはできません。 単純なファイルスキャンには多くの時間がかかり、バッテリー充電のかなりの部分を「食べる」ことになります。 この問題を解決する1つの方法は、クラウド分析です。



次の図は、クラウドベースのマルウェア保護サービスであるParanoid Androidの動作を示しています。 利点は明らかです。すべての計算および分析操作は、ユーザーデバイスではなく、リモートサーバー上のエミュレーターで実行されます。 スマートフォンで動作するのはトレーサーのみで、アプリケーションの動作に関する分析に必要なすべての情報が記録されます。 次に、トレーサーはクラウドエミュレーターにデータを送信します。 動的分析、メモリスキャン、不審なシステムコールの検出、ウイルス対策スキャンなど、いくつかの異なるチェックを実行できます。







Paranoid Androidはプロキシを使用して着信トラフィックを一時的に保存します。これにより、スマートフォンのバッテリー電力を節約し、同じデータをサーバーに送信しません。 彼は直接プロキシに頼り、分析されたアプリケーションをエミュレートするために必要なデータを取得できます。 それでも、「重い」アプリケーションの分析にRAを使用すると、エネルギー消費とCPU負荷が大幅に増加します。 また、トレーサーはユーザー環境で動作するため、システムコールはネイティブコードの実行よりもプロセッサーに大きな負荷をかけます。 慣例により、read（）システムコールトレースは、ユーザー環境で0.7ミリ秒、カーネルで0.1ミリ秒かかります。



前の図の右半分は、アプリケーションの動作を分析するためのツールであるCrowdroidの操作の図を示しています。 これは、監視対象アプリケーションによって開始されたシステムコールを監視し、それらを前処理してクラウドに送信する軽量のクライアントアプリケーションです。 そして、クラスタリングの助けを借りて、アプリケーションが悪意のあるかどうかを判断します。 残念ながら、分析するデータが非常に少ない場合、Crowdroidの誤検出結果があります。



バッテリー消費の監視

アプリケーションを実行する場合、アナログに比べてエネルギー消費量が多いことは、有害性の間接的な証拠かもしれません。 もちろん、これは、ユーザーの行動、バッテリーの状態、信号強度、ネットワークトラフィックの量、およびその他のパラメーターがよく知られている場合に機能します。



モバイルマルウェア対策のヒント

スマートフォンの限られたコンピューティングおよびエネルギーリソースを考えると、将来、保護機能は主にクラウドサービスによって表されると想定できます。 NFCベースの支払いシステムの開発により、このチャネルを通じて支払いデータを盗むことを特に目的としたマルウェアの出現も期待できます。 確かに、NFC経由の支払いにリバースエンジニアリングアプリケーションを使用して銀行カードの詳細を取得する試みがあります。 このような脅威は、たとえば強力な暗号化を使用し、限られた数の開発者が支払いソフトウェアを作成できるようにすることにより、事前に防止する必要があります。



しかし、マルウェアを検出してデバイスを保護するツールの開発にもかかわらず、感染とその結果を回避することが最善です。 結局のところ、私たち自身の過失と注意の欠如は非常に悲惨な結果につながる可能性があります。 したがって、以下のヒントに従うことをお勧めします。

• 攻撃から保護し、疑わしいアクティビティが検出されたときに警告する優れたセキュリティアプリケーションをインストールします。
• 信頼できるソースからのみアプリケーションをダウンロードしてください。
• インストールする前に、アプリケーションの作成者について多くの良いことを聞いたことがある場合でも、レビューを読んで評価を確認することをお勧めします。
• 要求された許可のリストを常に注意深く読んでください。 疑いがある場合は、インストールを拒否することをお勧めします。 他のユーザーに警告するコメントを残すこともできます。
• 現在Wi-Fi、Bluetooth、またはその他のワイヤレスモジュールが必要ない場合は、オフにします。 より安全になり、バッテリーの寿命が長くなります。 パブリックアクセスポイントに接続するときは注意してください。事前にファイアウォールを有効にし、ファイル共有を無効にして、SSLまたはVPNを使用してください。
• 使用するアプリケーションとスマートフォンのファームウェアを定期的に更新します。
• 暗号化を使用して、スマートフォンに保存されているすべての重要なデータを保存します。 また、定期的なバックアップを作成することを忘れないでください。 重要な情報がどこにもキャッシュされていないことを確認してください。
• 可能な限り、重要なファイルやアプリケーションにアクセスするためのパスワードを設定してください。
• 疑わしいリンクまたは信頼できないリンクをたどらないでください。 それでも本当に必要な場合は、ブラウザにコピーして貼り付けるのではなく、手動でアドレスを入力する方が良いでしょう。 これにより、シャドウブート攻撃から保護されます。
• バッテリー消費量を定期的に監視し、SMSと通話ログを送信します。 奇妙な点は、システム全体、特に最近インストールされたアプリケーションをチェックする機会と見なすべきです。
• そして最後に、スマートフォンが紛失または盗難にあった場合、すべてのアプリケーション、連絡先、機密情報をリモートで消去します。 デバイス自体もロックします。

一般的に、真に深刻なマルウェアが誤って肯定的に評価されることはほとんどありません。 したがって、上記のヒントに従うことで、さまざまなトラブルから確実に保護され、ネットワークの広大さに注意し、注意を払うことができます。 次に、スマートフォンの情報保護のためのさまざまなソリューションを準備しています。これについては、次の出版物のいずれかでお読みください。