RT Dissertation/Thesis
T1 Mining structural and behavioral patterns in smart malware
A1 Suárez de Tangil Rotaeche, Guillermo Nicolás
AB Smart devices equipped with powerful sensing, computing and networking capabilitieshave proliferated lately, ranging from popular smartphones and tabletsto Internet appliances, smart TVs, and others that will soon appear (e.g., watches,glasses, and clothes). One key feature of such devices is their ability to incorporatethird-party apps from a variety of markets. This poses strong security and privacy issuesto users and infrastructure operators, particularly through software of malicious(or dubious) nature that can easily get access to the services provided by the deviceand collect sensory data and personal information.Malware in current smart devices—mostly smartphones and tablets—has rocketedin the last few years, supported by sophisticated techniques (e.g., advancedobfuscation and targeted infection and activation engines) purposely designed toovercome security architectures currently in use by such devices. This phenomenonis known as the proliferation of smart malware. Even though important advanceshave been made on malware analysis and detection in traditional personal computersduring the last decades, adopting and adapting those techniques to smart devicesis a challenging problem. For example, power consumption is one major constraintthat makes unaffordable to run traditional detection engines on the device, whileexternalized (i.e., cloud-based) techniques raise many privacy concerns.This Thesis examines the problem of smart malware in such devices, aiming at designing and developing new approaches to assist security analysts and end users inthe analysis of the security nature of apps. We first present a comprehensive analysison how malware has evolved over the last years, as well as recent progress made toanalyze and detect malware. Additionally, we compile a suit of the most cutting-edgeopen source tools, and we design a versatile and multipurpose research laboratory forsmart malware analysis and detection.Second, we propose a number of methods and techniques aiming at better analyzingsmart malware in scenarios with a constant and large stream of apps thatrequire security inspection. More precisely, we introduce Dendroid, an effective systembased on text mining and information retrieval techniques. Dendroid uses staticanalysis to measures the similarity between malware samples, which is then used toautomatically classify them into families with remarkably accuracy. Then, we presentAlterdroid, a novel dynamic analysis technique for automatically detecting hidden orobfuscated malware functionality. Alterdroid introduces the notion of differential faultanalysis for effectively mining obfuscated malware components distributed as partsof an app package.Next, we present an evaluation of the power-consumption trade-offs among differentstrategies for off-loading, or not, certain security tasks to the cloud. We developa system for testing several functional tasks and metering their power consumptioncalled Meterdroid. Based on the results obtained in this analysis, we then propose acloud-based system, called Targetdroid, that addresses the problem of detecting targetedmalware by relying on stochastic models of usage and context events derivedfrom real user traces. Based on these models, we build an efficient automatic testingsystem capable of triggering targeted malware. Finally, based on the conclusions extracted from this Thesis, we propose a numberof open research problems and future directions where there is room for research
AB Los dispositivos inteligentes se han posicionado en pocos años como aparatosaltamente populares con grandes capacidades de cómputo, comunicación ysensorización. Entre ellos se encuentran dispositivos como los teléfonos móviles inteligentes(o smartphones), las televisiones inteligentes, o más recientemente, losrelojes, las gafas y la ropa inteligente. Una característica clave de este tipo de dispositivoses su capacidad para incorporar aplicaciones de terceros desde una granvariedad de mercados. Esto plantea fuertes problemas de seguridad y privacidad parasus usuarios y para los operadores de infraestructuras, sobre todo a través de softwarede naturaleza maliciosa (o malware), el cual es capaz de acceder fácilmente a losservicios proporcionados por el dispositivo y recoger datos sensibles de los sensorese información personal.En los últimos años se ha observado un incremento radical del malware atacandoa estos dispositivos inteligentes—principalmente a smartphones—y apoyado por sofisticadastécnicas diseñadas para vencer los sistemas de seguridad implantados porlos dispositivos. Este fenómeno ha dado pie a la proliferación de malware inteligente.Algunos ejemplos de estas técnicas inteligentes son el uso de métodos de ofuscación,de estrategias de infección dirigidas y de motores de activación basados en el contexto.A pesar de que en las últimos décadas se han realizado avances importantesen el análisis y la detección de malware en los ordenadores personales, adaptar yportar estas técnicas a los dispositivos inteligentes es un problema difícil de resolver. En concreto, el consumo de energía es una de las principales limitaciones a las queestán expuestos estos dispositivos. Dicha limitación hace inasequible el uso de motorestradicionales de detección. Por el contrario, el uso de estrategias de detecciónexternalizadas (es decir, basadas en la nube) suponen una gran amenaza para laprivacidad de sus usuarios.Esta tesis analiza el problema del malware inteligente que adolece a estos dispositivos,con el objetivo de diseñar y desarrollar nuevos enfoques que permitan ayudar alos analistas de seguridad y los usuarios finales en la tarea de analizar aplicaciones. Enprimer lugar, se presenta un análisis exhaustivo sobre la evolución que el malware haseguido en los últimos años, así como los avances más recientes enfocados a analizarapps y detectar malware. Además, integramos y extendemos las herramientas de códigoabierto más avanzadas utilizadas por la comunidad, y diseñamos un laboratorioque permite analizar malware inteligente de forma versátil y polivalente.En segundo lugar, se proponen una serie de técnicas dirigida a mejorar el análisisde malware inteligente en escenarios dónde se requiere analizar importantes cantidadde muestras. En concreto, se propone Dendroid, un sistema basado en minería detextos que permite analizar conjuntos de apps de forma eficaz. Dendroid hace usode análisis estático de código para extraer una medida de la similitud entre distintaslas muestras de malware. Dicha distancia permitirá posteriormente clasificar cadamuestra en su correspondiente familia de malware de forma automática y con granprecisión. Por otro lado, se propone una técnica de análisis dinámico de código,llamada Alterdroid, que permite detectar automáticamente funcionalidad oculta y/oofuscada. Alterdroid introduce la un nuevo método de análisis basado en la inyecciónde fallos y el análisis diferencial del comportamiento asociado. Por último, presentamos una evaluación del consumo energético asociado a diferentesestrategias de externalización usadas para trasladar a la nube determinadastareas de seguridad. Para ello, desarrollamos un sistema llamado Meterdroid que permiteprobar distintas funcionalidades y medir su consumo. Basados en los resultadosde este análisis, proponemos un sistema llamado Targetdroid que hace uso de la nubepara abordar el problema de la detección de malware dirigido o especializado. Dichosistema hace uso de modelos estocásticos para modelar el comportamiento del usuarioasí como el contexto que les rodea. De esta forma, Targetdroid permite, además,detectar de forma automática malware dirigido por medio de estos modelos.Para finalizar, a partir de las conclusiones extraídas en esta Tesis, identificamosuna serie de líneas de investigación abiertas y trabajos futuros basados.
YR 2014
FD 2014-10
LK https://hdl.handle.net/10016/20449
UL https://hdl.handle.net/10016/20449
LA eng
NO Mención Internacional en el título de doctor
NO Funcas. Premio Enrique Fuentes Quintana 2016.
DS e-Archivo
RD 16 jun. 2024