Universidad

Nacional de
Ingeniera

Ponencia en el VII Congreso

Cientfico del CNU

Autores del trabajo

Oscar Somarriba / UNI, Nicaragua
Dr. Urko Zurutuza & Dr. Roberto Uribeetxeberria
de la Universidad de Mondragn, Espaa
Laurent Delosires, ExoClick SL, Espaa
Dra. Simin Nadjm-Tehrani, Universidad de
Linkping, Suecia.
Referencia Bibliogrfica: Somarriba, O., Zurutuza,
U., Uribeetxeberria, R., Delosires, L., & NadjmTehrani, S. (2016). Detection and Visualization of
Android Malware Behavior.Journal of Electrical
and Computer Engineering, 2016.

Agenda
1.

Introduccin & Problemtica

2.

Un vistazo al Sistema de
monitoreo

3.

Solucin Propuesta

4.

Testbed y Experimentos

5.

Resultados

6.

Conclusiones

Deteccin y visualizacin del Comportamiento del malware para

Android OS

Definicin de Malware
Un malware es un conjunto de instrucciones o
software de naturaleza maliciosa que se ejecutan en
una computadora (e.g., un telfono mvil inteligente o
smartphone en nuestro caso) y hacer que su sistema
haga algo que un atacante quiere que haga.
Segn Wikipedia:
El malware (del ingls malicious software), tambin
llamado badware, cdigo maligno, software
malicioso, software daino o software
malintencionado, es un tipo de software que tiene como
objetivo infiltrarse o daar una computadora o sistema de
informacin sin el consentimiento de su propietario

Deteccin y visualizacin del Comportamiento del

malware para Android OS

Introduccin y Problemtica
Motivacin
Gran no de dispositivos Android
84.6% del Mercado

Fuente: IDC, 2014 Q2

Crecimiento exponencial del

Malware para Android OS
Mas del 98 % de las amenazas
estn dirigidas para Android OS

+ 400.000 aplicaciones maliciosas

Deteccin y visualizacin del Comportamiento del malware

para Android OS

Popularidad de Android
About 1.4 billion devices around the world
now use the Android mobile operating
system en Septiembre 2015
Cerca de un 20% de la poblacin mundial
y creciendo...

Deteccin y visualizacin del Comportamiento del

malware para Android OS

N de especmenes maliciosos en mviles

Fuente: Kaspersky, 2013

Mundo PC: > 200.000 especmenes al da

Introduccin a Dispositivos mviles

Computadoras mviles:
La mayora son:
smartphones, tabletas

Mltiples sensores
Comunicaciones
Avanzadas

El Sistema Operativo Android

smartphone

10

Un Smartphone comprometido

Fuente: Sophos Mobile Security Threat Report 2014

11

Malware mvil

Rootkit

Botnet

Rogue

(FraudTool)

RogueAV

Trojan

Adware

Info
Stealers

Spyware

Dominan los troyanos

TrojanSMS
Fuente: Ravelli, 2014

Trojan-

Downloader

Grayware

12

Agenda
1.

Introduccin & Problemtica

2.

Un vistazo al Sistema de
monitoreo

3.

Solucin Propuesta

4.

Testbed y Experimentos

5.

Resultados

6.

Conclusiones

Deteccin y visualizacin del Comportamiento del malware para

Android OS

Sistema de Monitorizacin Propuesto

Leyenda:
Apps = Aplicaciones Android
DDBB = Base de Datos

14

Agenda continua
1.

Introduccin & Problemtica

2.

Sistema de Monitorizacin

3.

Solucin planteada

4.

Testbed y Experimentacin

5.

Resultados

6.

Conclusiones

Deteccin y visualizacin del Comportamiento del malware para Android OS

15

Idea central: Deteccin del comportamiento malicioso de

las APPs Basado en la monitorizacin de APIs Sensitivas

AppShaper es una herramienta que

realiza anlisis dinmico basado en la
instrumentacion (hooking) de las trazas
de las llamadas a funciones API sensibles
de la App bajo escaneo.

Deteccin y visualizacin del Comportamiento del malware para

Android OS

Tabla: Ejemplos de APIs

sospechosas

Fuente: Seo et al., AndroidAnalyzer, 2013

16

Solucin Propuesta: Se tiene una plataforma llamada

AppShaper

Tipo de arquitectura: procesamiento en la nube

Nivel en el stack Android: function calls
Modificamos la App
Aadimos anlisis visual en la parte del servidor

Deteccin y visualizacin del Comportamiento del malware

para Android OS

18

Solucin propuesta: Interfase de Usuario

Diagrama en Bloques de AppShaper

Reglas de deteccin

21

Agenda continua
1.

Introduccin & Problemtica

2.

Sistema de Monitorizacin

3.

Arquitectura de la plataforma

4.

Testbed y Experimentacin

5.

Resultados

6.

Limitaciones & Conclusiones

Deteccin y visualizacin del Comportamiento del malware para Android OS

22

Testbed & Experimentacin

Testbench
Samsung Nexus 5
Samsung Galaxy S
Tablet Nexus 7
Android Virtual Devices (IDE: Eclipse)
Applicaciones maliciosas (malware) Bajo Pruebas
Angry birds
Fakeplayer
SMS Replicator
Tzone
iMatch
DroidKungFu y otros malwares
Tests
Cada App es ejecutada entre 2-5 minutos para recolectar las trazas.

Deteccin y visualizacin del Comportamiento del malware para Android OS

23

Agenda continua
1.

Introduccin & Problemtica

2.

Sistema de Monitorizacin

3.

Arquitectura de la plataforma

4.

Testbed y Experimentacin

5.

Resultados

6.

Limitaciones & Conclusiones

Deteccin y visualizacin del Comportamiento del malware para Android OS

24

Sin filtros, mediante D3.js (DroidKungFu)

25

Con filtros mediante D3.js (DroidKungFu)

DroidKungfu :
Puede evitar la
deteccin de antivirus
en el OS creando una
puerta trasera, y
hacindose con el
control total del mvil.

Utilizacin del CPU del

AppShaper en el mvil (Sink)

Con la App con y sin

monitorizacin

28

Agenda continua
1.

Introduccin & Problemtica

2.

Sistema de Monitorizacin

3.

Arquitectura de la plataforma

4.

Testbed y Experimentacin

5.

Resultados

6.

Conclusiones

Deteccin y visualizacin del Comportamiento del malware para Android OS

29

Conclusiones

Hoy tenemos ms telefonos mviles que PCs de escritorio. En paralelo, el

malware Android tambin crece exponencialmente y masivamente.

Hemos desarrollado una arquitectura de vigilancia (AppShaper) destinada a la

identificacin de aplicaciones Android dainas sin modificar el firmware Android.

Hemos realizado experimentos con muestras de malware del llamado

MalProject (Genome Malware Project dataset)

Los resultados han sido obtenidos con trazas de aplicaciones maliciosas usando
anlisis dinmico y visualizacin (con D3.js)m, y AppShaper es til para el
anlisis e inspeccin de apps de forma manual.

El AppShaper Cliente es reactivo y no pierde trazas, y opera sin comprometer

severamente con un muy pequeo impacto, en el rendimiento de los dispositivos
mviles involucrados.

Futuro trabajo
Necesitamos comparar y correlacionar el impacto
del malware mvil segn los registros de trfico con
el malware reportado en los dispositivos inteligentes
en infraestructuras tecnolgicas que puedan
soportar minera de datos a escala masiva.

Por ejemplo, en un operador celular local se

conoce que cada 5 minutos se almacenan 30 MB
comprimidos de consultas de registros DNS.

Antifraud
system
records

DNS
records

Billing
system
records
trigger

trigger
aggreg.

trigger

Netflow
records

discovery
trigger

model

correlate

aggregate

monitor

aggregate

Other
records:
inteco,

Abuse
records

Agradecimientos

Muchas gracias
Agradezco la atencin.
Preguntas ?
Comentarios o Sugerencias