SlideShare a Scribd company logo

AVTOKYO2012 Android Malware Heuristics(jp)

Download as PPTX, PDF
雅太 西田
雅太 西田

English version is here: http://www.slideshare.net/MasataNishida/avtokyo2012-android-malware-heuristicsen

Technology
1 of 25
Android Malware Heuristics Masata Nishida AVTOKYO 2012 2012/11/17 (Photo: Android Lineup – Beige By .RGB.)
自己紹介 ニシダマサタ(西田雅太) • セキュアブレイン 先端技術研究所 所属 • 普段は解析・研究よりもコード書いてる • Rubyist • @masata_masata
今日のテーマは、 • CSS(Computer Security Symposium)2012 – 2012/10/30-11/01 – 島根県松江市(Matsue City, Shimane Prefecture) でも同様の内容を発表 署名情報を利用した Android マルウェアの 推定手法の提案 “Android Malware Heuristics using Digital Certificates”
Androidマルウェアは メチャクチャ増えている!! (Photo: High Sheeps By Bertoz)
McAfee Threat Report: Second Quarter 2012 By McAfee Labs
Androidマルウェアは メチャクチャ増えている!! と、言われているけど… (Photo: High Sheeps By Bertoz)
数は増えているけど、 その実態はどうなのか? 今日はAndroidアプリの 証明書に着目して、いつ もとは別の角度からマル ウェアを見てみます (Photo: DSC_6557 By euthman)
予備知識 • Androidアプリは デジタル署名が必須 • 署名はオレオレ証明書で OK • Apkファイル(zip形式)の META-INF/ ディレクトリ 内に署名情報がある (Photo: Marriage Certificate By The Gearys)
ここで疑問 同じ証明書を使って署名された Androidマルウェアって どれくらいあるんだろう? (Photo: Thinking… By Mr Tickle)
で、実際に数えてみた
まずマルウェアの収集 • 対象Androidマルウェア Family samples FakeInst 4,911 – 約15,000 Kmin 2,464 OpFake 2,360 Boxer – ポリモーフィック型多数含む 1,399 DroidKungFu 824 Lotoor 432 GingerMaster 272 SmsSend 221 SmsAgent 209 JiFake 137 Others 1,488 Total 14,717 (Photo: Catching Bugs, II, III By New Mexico Forestry Camp)
そして、 数える (Photo: Microscope Night By Machine Project)
ひたすら 数える (Photo: Microscope Night By Machine Project)
結果
Unique Certificates 14,717 検体  589 証明書 非常に多くのマルウェアで同じ証明書が使われている!
FakeInst Polymorphic sample 4,911 検体  31 証明書 ポリモーフィック型のマルウェアでも同じ証明書が使い回されている
FakeInst Polymorphic sample 一番使われていた証明書  2,602検体に署名
使用期間 1年以上使われていた証明書  13証明書(2,764検体) 1つの証明書が長期間使い続けられているケースもある
The Movie (Dougalek) Japan-specific malware • 日本国内事例 (2012年4月) • GooglePlayからマルウェアを配布 – 約50種類のマルウェア – 7つのDeveloperアカウントで配布 • 個人情報を外部サーバに送信 • “xxx the Movie”, ”xxx動画”みたいなタイトル – “xxx”をアイドルグループ名や有名ゲーム名にして釣 る • 被害端末9万台 / 流出情報 1,183万件 • ちなみに、先月(2010/10/30)容疑者が逮捕 – スマホアプリで個人情報1000万件収集 「ぴよ盛り the Movie」配信の男女5人を逮捕 - ITMedia
The Movie(Dougalek) Japan-specific malware とりあえず手元にあった 24 検体  7 証明書
本日の 結論 (Photo: New Blackboard By uncultured)
非常に多くのAndroidマルウェアが 同じ証明書で署名されている 既知のマルウェアの署名に使われている 証明書を使えば、未知のマルウェアを 検知できるんじゃね? (少なくとも今のところは…) (Photo: The Detective By paurian)
非常に多くのAndroidマルウェアが 同じ証明書で署名されている 実際にマルウェアを作ってる人は そんなに多くないかも? もしくは証明書の秘密鍵が 共有されているとか? (Photo: DSC_6565 By euthman)
おわり
[Appendix] apk analysis library for Ruby • Open Source – Source: https://github.com/securebrain/ruby_apk – Install: “$ gem install ruby_apk” • Requirements – Ruby1.9.x • Features – AndroidManifest.xml analysis • components(activity, service, receiver, provider) • use-permission, intent-filter,… – Extract files in apk – resource analysis(partial) – dex analysis(partial) • Extract classes, methods, fields, strings

Recommended

続・IoT診断
続・IoT診断続・IoT診断
続・IoT診断黒 林檎
 
Androidにおける強制アクセス制御
Androidにおける強制アクセス制御Androidにおける強制アクセス制御
Androidにおける強制アクセス制御Hiromu Yakura
 
IoT診断入門
IoT診断入門IoT診断入門
IoT診断入門黒 林檎
 
DDoS対策の自動化
DDoS対策の自動化DDoS対策の自動化
DDoS対策の自動化Hirotaka Tajima
 
改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~
改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~
改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~Tomohiro Nakashima
 
IoTセキュリティの最新動向
IoTセキュリティの最新動向IoTセキュリティの最新動向
IoTセキュリティの最新動向Takao Okubo
 
Microsoft 365 Day Session 5
Microsoft 365 Day Session 5Microsoft 365 Day Session 5
Microsoft 365 Day Session 5日本マイクロソフト株式会社
 
Wi-Fi電球ハッキング-バックドア経由での操作-
Wi-Fi電球ハッキング-バックドア経由での操作-Wi-Fi電球ハッキング-バックドア経由での操作-
Wi-Fi電球ハッキング-バックドア経由での操作-黒 林檎
 

Recommended

続・IoT診断
続・IoT診断続・IoT診断
続・IoT診断黒 林檎
 
Androidにおける強制アクセス制御
Androidにおける強制アクセス制御Androidにおける強制アクセス制御
Androidにおける強制アクセス制御Hiromu Yakura
 
IoT診断入門
IoT診断入門IoT診断入門
IoT診断入門黒 林檎
 
DDoS対策の自動化
DDoS対策の自動化DDoS対策の自動化
DDoS対策の自動化Hirotaka Tajima
 
改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~
改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~
改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~Tomohiro Nakashima
 
IoTセキュリティの最新動向
IoTセキュリティの最新動向IoTセキュリティの最新動向
IoTセキュリティの最新動向Takao Okubo
 
Microsoft 365 Day Session 5
Microsoft 365 Day Session 5Microsoft 365 Day Session 5
Microsoft 365 Day Session 5日本マイクロソフト株式会社
 
Wi-Fi電球ハッキング-バックドア経由での操作-
Wi-Fi電球ハッキング-バックドア経由での操作-Wi-Fi電球ハッキング-バックドア経由での操作-
Wi-Fi電球ハッキング-バックドア経由での操作-黒 林檎
 
Malwat4 20130223 analyzing_android_malware
Malwat4 20130223 analyzing_android_malwareMalwat4 20130223 analyzing_android_malware
Malwat4 20130223 analyzing_android_malwareAyase
 
アプリをエミュレートするアプリの登場とその危険性 / How multi-account app works
アプリをエミュレートするアプリの登場とその危険性 / How multi-account app worksアプリをエミュレートするアプリの登場とその危険性 / How multi-account app works
アプリをエミュレートするアプリの登場とその危険性 / How multi-account app worksTakaki Hoshikawa
 
細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威
細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威
細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威Noriaki Hayashi
 
Androidアプリ解析の基礎 公開用
Androidアプリ解析の基礎 公開用Androidアプリ解析の基礎 公開用
Androidアプリ解析の基礎 公開用Lumin Hacker
 
アプリ開発者向けハッキング対策ソリューション DxShieldのご紹介 / Monacaパートナー勉強会LT
アプリ開発者向けハッキング対策ソリューション DxShieldのご紹介 / Monacaパートナー勉強会LTアプリ開発者向けハッキング対策ソリューション DxShieldのご紹介 / Monacaパートナー勉強会LT
アプリ開発者向けハッキング対策ソリューション DxShieldのご紹介 / Monacaパートナー勉強会LTaltplus-lab
 
社内勉強会 20120518
社内勉強会 20120518社内勉強会 20120518
社内勉強会 20120518yoshinori matsumoto
 
Fighting advanced malware using machine learning (Japanese)
Fighting advanced malware using machine learning (Japanese)Fighting advanced malware using machine learning (Japanese)
Fighting advanced malware using machine learning (Japanese)FFRI, Inc.
 
ランサムウェア対策 ”最後の砦” データ保護からみる感染対策セミナー
ランサムウェア対策 ”最後の砦” データ保護からみる感染対策セミナーランサムウェア対策 ”最後の砦” データ保護からみる感染対策セミナー
ランサムウェア対策 ”最後の砦” データ保護からみる感染対策セミナー株式会社クライム
 
[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性
[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性
[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性Asuka Nakajima
 
マイクロソフトのITコンシューマライゼーション2 - フレキシブルワークスタイルを支えるテクノロジー 第2版
マイクロソフトのITコンシューマライゼーション2 - フレキシブルワークスタイルを支えるテクノロジー 第2版マイクロソフトのITコンシューマライゼーション2 - フレキシブルワークスタイルを支えるテクノロジー 第2版
マイクロソフトのITコンシューマライゼーション2 - フレキシブルワークスタイルを支えるテクノロジー 第2版junichi anno
 
Vulsで始めよう!DevSecOps!
Vulsで始めよう!DevSecOps!Vulsで始めよう!DevSecOps!
Vulsで始めよう!DevSecOps!Takayuki Ushida
 
Docker で Deep Learning
Docker で Deep LearningDocker で Deep Learning
Docker で Deep LearningTakenori Nakagawa
 
Outsmarting Smartphone Apps 2
Outsmarting Smartphone Apps 2Outsmarting Smartphone Apps 2
Outsmarting Smartphone Apps 2Takahiro Yoshimura
 
Smartphone app Ad SDK
Smartphone app Ad SDKSmartphone app Ad SDK
Smartphone app Ad SDKMasahiko Adachi
 
Firefox OS パッケージ型アプリ インストールの仕組みを調べてみた
Firefox OS パッケージ型アプリ インストールの仕組みを調べてみたFirefox OS パッケージ型アプリ インストールの仕組みを調べてみた
Firefox OS パッケージ型アプリ インストールの仕組みを調べてみたMuneaki Nishimura
 
Androidのセキュア開発について考えてみた(明日、敗訴しないためのセキュアコーディング.ver2)
Androidのセキュア開発について考えてみた(明日、敗訴しないためのセキュアコーディング.ver2)Androidのセキュア開発について考えてみた(明日、敗訴しないためのセキュアコーディング.ver2)
Androidのセキュア開発について考えてみた(明日、敗訴しないためのセキュアコーディング.ver2)Kengo Suzuki
 
SORACOM Technology Camp 2018 | B4. 後手に回りがちなIoTセキュリティをどうすべきなのか
SORACOM Technology Camp 2018 | B4. 後手に回りがちなIoTセキュリティをどうすべきなのかSORACOM Technology Camp 2018 | B4. 後手に回りがちなIoTセキュリティをどうすべきなのか
SORACOM Technology Camp 2018 | B4. 後手に回りがちなIoTセキュリティをどうすべきなのかSORACOM,INC
 
2018 1103 jaws_festa_2018_f-secure_slideshare
2018 1103 jaws_festa_2018_f-secure_slideshare2018 1103 jaws_festa_2018_f-secure_slideshare
2018 1103 jaws_festa_2018_f-secure_slideshareShinichiro Kawano
 
Closing Note
Closing NoteClosing Note
Closing NoteNat Sakimura
 
Rescale ScaleX講習会 ~AWSクラウド環境におけるHPC利用
Rescale ScaleX講習会 ~AWSクラウド環境におけるHPC利用Rescale ScaleX講習会 ~AWSクラウド環境におけるHPC利用
Rescale ScaleX講習会 ~AWSクラウド環境におけるHPC利用Rescale Japan株式会社
 
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略Ryo Sasaki
 
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNetToru Tamaki
 

More Related Content

Similar to AVTOKYO2012 Android Malware Heuristics(jp)

Malwat4 20130223 analyzing_android_malware
Malwat4 20130223 analyzing_android_malwareMalwat4 20130223 analyzing_android_malware
Malwat4 20130223 analyzing_android_malwareAyase
 
アプリをエミュレートするアプリの登場とその危険性 / How multi-account app works
アプリをエミュレートするアプリの登場とその危険性 / How multi-account app worksアプリをエミュレートするアプリの登場とその危険性 / How multi-account app works
アプリをエミュレートするアプリの登場とその危険性 / How multi-account app worksTakaki Hoshikawa
 
細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威
細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威
細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威Noriaki Hayashi
 
Androidアプリ解析の基礎 公開用
Androidアプリ解析の基礎 公開用Androidアプリ解析の基礎 公開用
Androidアプリ解析の基礎 公開用Lumin Hacker
 
アプリ開発者向けハッキング対策ソリューション DxShieldのご紹介 / Monacaパートナー勉強会LT
アプリ開発者向けハッキング対策ソリューション DxShieldのご紹介 / Monacaパートナー勉強会LTアプリ開発者向けハッキング対策ソリューション DxShieldのご紹介 / Monacaパートナー勉強会LT
アプリ開発者向けハッキング対策ソリューション DxShieldのご紹介 / Monacaパートナー勉強会LTaltplus-lab
 
Fighting advanced malware using machine learning (Japanese)
Fighting advanced malware using machine learning (Japanese)Fighting advanced malware using machine learning (Japanese)
Fighting advanced malware using machine learning (Japanese)FFRI, Inc.
 
ランサムウェア対策 ”最後の砦” データ保護からみる感染対策セミナー
ランサムウェア対策 ”最後の砦” データ保護からみる感染対策セミナーランサムウェア対策 ”最後の砦” データ保護からみる感染対策セミナー
ランサムウェア対策 ”最後の砦” データ保護からみる感染対策セミナー株式会社クライム
 
[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性
[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性
[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性Asuka Nakajima
 
マイクロソフトのITコンシューマライゼーション2 - フレキシブルワークスタイルを支えるテクノロジー 第2版
マイクロソフトのITコンシューマライゼーション2 - フレキシブルワークスタイルを支えるテクノロジー 第2版マイクロソフトのITコンシューマライゼーション2 - フレキシブルワークスタイルを支えるテクノロジー 第2版
マイクロソフトのITコンシューマライゼーション2 - フレキシブルワークスタイルを支えるテクノロジー 第2版junichi anno
 
Vulsで始めよう!DevSecOps!
Vulsで始めよう!DevSecOps!Vulsで始めよう!DevSecOps!
Vulsで始めよう!DevSecOps!Takayuki Ushida
 
Firefox OS パッケージ型アプリ インストールの仕組みを調べてみた
Firefox OS パッケージ型アプリ インストールの仕組みを調べてみたFirefox OS パッケージ型アプリ インストールの仕組みを調べてみた
Firefox OS パッケージ型アプリ インストールの仕組みを調べてみたMuneaki Nishimura
 
Androidのセキュア開発について考えてみた(明日、敗訴しないためのセキュアコーディング.ver2)
Androidのセキュア開発について考えてみた(明日、敗訴しないためのセキュアコーディング.ver2)Androidのセキュア開発について考えてみた(明日、敗訴しないためのセキュアコーディング.ver2)
Androidのセキュア開発について考えてみた(明日、敗訴しないためのセキュアコーディング.ver2)Kengo Suzuki
 
SORACOM Technology Camp 2018 | B4. 後手に回りがちなIoTセキュリティをどうすべきなのか
SORACOM Technology Camp 2018 | B4. 後手に回りがちなIoTセキュリティをどうすべきなのかSORACOM Technology Camp 2018 | B4. 後手に回りがちなIoTセキュリティをどうすべきなのか
SORACOM Technology Camp 2018 | B4. 後手に回りがちなIoTセキュリティをどうすべきなのかSORACOM,INC
 
2018 1103 jaws_festa_2018_f-secure_slideshare
2018 1103 jaws_festa_2018_f-secure_slideshare2018 1103 jaws_festa_2018_f-secure_slideshare
2018 1103 jaws_festa_2018_f-secure_slideshareShinichiro Kawano
 
Rescale ScaleX講習会 ~AWSクラウド環境におけるHPC利用
Rescale ScaleX講習会 ~AWSクラウド環境におけるHPC利用Rescale ScaleX講習会 ~AWSクラウド環境におけるHPC利用
Rescale ScaleX講習会 ~AWSクラウド環境におけるHPC利用Rescale Japan株式会社
 

Similar to AVTOKYO2012 Android Malware Heuristics(jp) (20)

Malwat4 20130223 analyzing_android_malware
Malwat4 20130223 analyzing_android_malwareMalwat4 20130223 analyzing_android_malware
Malwat4 20130223 analyzing_android_malware
 
アプリをエミュレートするアプリの登場とその危険性 / How multi-account app works
アプリをエミュレートするアプリの登場とその危険性 / How multi-account app worksアプリをエミュレートするアプリの登場とその危険性 / How multi-account app works
アプリをエミュレートするアプリの登場とその危険性 / How multi-account app works
 
細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威
細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威
細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威
 
Androidアプリ解析の基礎 公開用
Androidアプリ解析の基礎 公開用Androidアプリ解析の基礎 公開用
Androidアプリ解析の基礎 公開用
 
アプリ開発者向けハッキング対策ソリューション DxShieldのご紹介 / Monacaパートナー勉強会LT
アプリ開発者向けハッキング対策ソリューション DxShieldのご紹介 / Monacaパートナー勉強会LTアプリ開発者向けハッキング対策ソリューション DxShieldのご紹介 / Monacaパートナー勉強会LT
アプリ開発者向けハッキング対策ソリューション DxShieldのご紹介 / Monacaパートナー勉強会LT
 
社内勉強会 20120518
社内勉強会 20120518社内勉強会 20120518
社内勉強会 20120518
 
Fighting advanced malware using machine learning (Japanese)
Fighting advanced malware using machine learning (Japanese)Fighting advanced malware using machine learning (Japanese)
Fighting advanced malware using machine learning (Japanese)
 
ランサムウェア対策 ”最後の砦” データ保護からみる感染対策セミナー
ランサムウェア対策 ”最後の砦” データ保護からみる感染対策セミナーランサムウェア対策 ”最後の砦” データ保護からみる感染対策セミナー
ランサムウェア対策 ”最後の砦” データ保護からみる感染対策セミナー
 
[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性
[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性
[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性
 
マイクロソフトのITコンシューマライゼーション2 - フレキシブルワークスタイルを支えるテクノロジー 第2版
マイクロソフトのITコンシューマライゼーション2 - フレキシブルワークスタイルを支えるテクノロジー 第2版マイクロソフトのITコンシューマライゼーション2 - フレキシブルワークスタイルを支えるテクノロジー 第2版
マイクロソフトのITコンシューマライゼーション2 - フレキシブルワークスタイルを支えるテクノロジー 第2版
 
Vulsで始めよう!DevSecOps!
Vulsで始めよう!DevSecOps!Vulsで始めよう!DevSecOps!
Vulsで始めよう!DevSecOps!
 
Docker で Deep Learning
Docker で Deep LearningDocker で Deep Learning
Docker で Deep Learning
 
Outsmarting Smartphone Apps 2
Outsmarting Smartphone Apps 2Outsmarting Smartphone Apps 2
Outsmarting Smartphone Apps 2
 
Smartphone app Ad SDK
Smartphone app Ad SDKSmartphone app Ad SDK
Smartphone app Ad SDK
 
Firefox OS パッケージ型アプリ インストールの仕組みを調べてみた
Firefox OS パッケージ型アプリ インストールの仕組みを調べてみたFirefox OS パッケージ型アプリ インストールの仕組みを調べてみた
Firefox OS パッケージ型アプリ インストールの仕組みを調べてみた
 
Androidのセキュア開発について考えてみた(明日、敗訴しないためのセキュアコーディング.ver2)
Androidのセキュア開発について考えてみた(明日、敗訴しないためのセキュアコーディング.ver2)Androidのセキュア開発について考えてみた(明日、敗訴しないためのセキュアコーディング.ver2)
Androidのセキュア開発について考えてみた(明日、敗訴しないためのセキュアコーディング.ver2)
 
SORACOM Technology Camp 2018 | B4. 後手に回りがちなIoTセキュリティをどうすべきなのか
SORACOM Technology Camp 2018 | B4. 後手に回りがちなIoTセキュリティをどうすべきなのかSORACOM Technology Camp 2018 | B4. 後手に回りがちなIoTセキュリティをどうすべきなのか
SORACOM Technology Camp 2018 | B4. 後手に回りがちなIoTセキュリティをどうすべきなのか
 
2018 1103 jaws_festa_2018_f-secure_slideshare
2018 1103 jaws_festa_2018_f-secure_slideshare2018 1103 jaws_festa_2018_f-secure_slideshare
2018 1103 jaws_festa_2018_f-secure_slideshare
 
Closing Note
Closing NoteClosing Note
Closing Note
 
Rescale ScaleX講習会 ~AWSクラウド環境におけるHPC利用
Rescale ScaleX講習会 ~AWSクラウド環境におけるHPC利用Rescale ScaleX講習会 ~AWSクラウド環境におけるHPC利用
Rescale ScaleX講習会 ~AWSクラウド環境におけるHPC利用
 

Recently uploaded

[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略Ryo Sasaki
 
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNetToru Tamaki
 
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介Yuma Ohgami
 
Postman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By DanielPostman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By Danieldanielhu54
 
SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものですSOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものですiPride Co., Ltd.
 
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...Toru Tamaki
 
TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdfTSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdftaisei2219
 
論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A surveyToru Tamaki
 
スマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システムスマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システムsugiuralab
 

Recently uploaded (9)

[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
 
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet
 
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
 
Postman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By DanielPostman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By Daniel
 
SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものですSOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものです
 
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
 
TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdfTSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdf
 
論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey
 
スマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システムスマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システム
 

AVTOKYO2012 Android Malware Heuristics(jp)

  • 1. Android Malware Heuristics Masata Nishida AVTOKYO 2012 2012/11/17 (Photo: Android Lineup – Beige By .RGB.)
  • 2. 自己紹介 ニシダマサタ(西田雅太) • セキュアブレイン 先端技術研究所 所属 • 普段は解析・研究よりもコード書いてる • Rubyist • @masata_masata
  • 3. 今日のテーマは、 • CSS(Computer Security Symposium)2012 – 2012/10/30-11/01 – 島根県松江市(Matsue City, Shimane Prefecture) でも同様の内容を発表 署名情報を利用した Android マルウェアの 推定手法の提案 “Android Malware Heuristics using Digital Certificates”
  • 4. Androidマルウェアは メチャクチャ増えている!! (Photo: High Sheeps By Bertoz)
  • 5. McAfee Threat Report: Second Quarter 2012 By McAfee Labs
  • 6. Androidマルウェアは メチャクチャ増えている!! と、言われているけど… (Photo: High Sheeps By Bertoz)
  • 7. 数は増えているけど、 その実態はどうなのか? 今日はAndroidアプリの 証明書に着目して、いつ もとは別の角度からマル ウェアを見てみます (Photo: DSC_6557 By euthman)
  • 8. 予備知識 • Androidアプリは デジタル署名が必須 • 署名はオレオレ証明書で OK • Apkファイル(zip形式)の META-INF/ ディレクトリ 内に署名情報がある (Photo: Marriage Certificate By The Gearys)
  • 9. ここで疑問 同じ証明書を使って署名された Androidマルウェアって どれくらいあるんだろう? (Photo: Thinking… By Mr Tickle)
  • 11. まずマルウェアの収集 • 対象Androidマルウェア Family samples FakeInst 4,911 – 約15,000 Kmin 2,464 OpFake 2,360 Boxer – ポリモーフィック型多数含む 1,399 DroidKungFu 824 Lotoor 432 GingerMaster 272 SmsSend 221 SmsAgent 209 JiFake 137 Others 1,488 Total 14,717 (Photo: Catching Bugs, II, III By New Mexico Forestry Camp)
  • 12. そして、 数える (Photo: Microscope Night By Machine Project)
  • 13. ひたすら 数える (Photo: Microscope Night By Machine Project)
  • 15. Unique Certificates 14,717 検体  589 証明書 非常に多くのマルウェアで同じ証明書が使われている!
  • 16. FakeInst Polymorphic sample 4,911 検体  31 証明書 ポリモーフィック型のマルウェアでも同じ証明書が使い回されている
  • 17. FakeInst Polymorphic sample 一番使われていた証明書  2,602検体に署名
  • 18. 使用期間 1年以上使われていた証明書  13証明書(2,764検体) 1つの証明書が長期間使い続けられているケースもある
  • 19. The Movie (Dougalek) Japan-specific malware • 日本国内事例 (2012年4月) • GooglePlayからマルウェアを配布 – 約50種類のマルウェア – 7つのDeveloperアカウントで配布 • 個人情報を外部サーバに送信 • “xxx the Movie”, ”xxx動画”みたいなタイトル – “xxx”をアイドルグループ名や有名ゲーム名にして釣 る • 被害端末9万台 / 流出情報 1,183万件 • ちなみに、先月(2010/10/30)容疑者が逮捕 – スマホアプリで個人情報1000万件収集 「ぴよ盛り the Movie」配信の男女5人を逮捕 - ITMedia
  • 20. The Movie(Dougalek) Japan-specific malware とりあえず手元にあった 24 検体  7 証明書
  • 21. 本日の 結論 (Photo: New Blackboard By uncultured)
  • 22. 非常に多くのAndroidマルウェアが 同じ証明書で署名されている 既知のマルウェアの署名に使われている 証明書を使えば、未知のマルウェアを 検知できるんじゃね? (少なくとも今のところは…) (Photo: The Detective By paurian)
  • 23. 非常に多くのAndroidマルウェアが 同じ証明書で署名されている 実際にマルウェアを作ってる人は そんなに多くないかも? もしくは証明書の秘密鍵が 共有されているとか? (Photo: DSC_6565 By euthman)
  • 25. [Appendix] apk analysis library for Ruby • Open Source – Source: https://github.com/securebrain/ruby_apk – Install: “$ gem install ruby_apk” • Requirements – Ruby1.9.x • Features – AndroidManifest.xml analysis • components(activity, service, receiver, provider) • use-permission, intent-filter,… – Extract files in apk – resource analysis(partial) – dex analysis(partial) • Extract classes, methods, fields, strings