Análisis y detección de aplicaciones coludidas en teléfonos inteligentes con sistema operativo Android
Fecha
2018-10-01Registro en:
Hernández Acosta, Cindy Gabriela. (2017). Análisis y detección de aplicaciones coludidas en teléfonos inteligentes con sistema operativo Android (Maestría en Ciencias de la Computación). Instituto Politécnico Nacional, Centro de Investigación en Computación, México.
Autor
Hernández Acosta, Cindy Gabriela
Institución
Resumen
RESUMEN:
Actualmente, con el progreso científico y tecnológico, los teléfonos móviles se han convertido en teléfonos inteligentes (smartphone, en idioma inglés) con funcionalidades más sofisticadas, lo que abre la posibilidad a realizar tareas que anteriormente se realizaban con dispositivos de escritorio. Así mismo, en los últimos años los usuarios de teléfonos inteligentes están aumentando constantemente. Con un crecimiento tan acelerado de usuarios y al ser Android uno de los sistemas operativos móviles más adoptados, los dispositivos con este sistema operativo se han convertido en el blanco principal para los desarrolladores de código malicioso (malware, en inglés). Hoy en día, las aplicaciones maliciosas han logrado filtrarse en mercados como Google Play, debido a nuevos modelos de ataque. Lo anterior muestra que a pesar de los recientes avances de la seguridad móvil, un teléfono inteligente es vulnerable a ataques sofisticados, por ejemplo, aquellos que se efectúan con aplicaciones que actúan en colusión, es decir, que colaboran entre sí con un fin malicioso. Debido a que hoy en día la mayoría de las soluciones existentes para la detección de aplicaciones maliciosas se enfocan en el modelo de ataque de una sola aplicación, la detección de colusión de aplicaciones es un problema por atender. En este trabajo de tesis se propone un método que consta de siete etapas (extracción, identificación del rol, identificación del canal, detección de comunicación, identificación de acciones, creación del contexto y evaluación del contexto) para analizar e identificar aplicaciones maliciosas que efectúan ataques de manera coludida, lo cual constituye un nuevo enfoque basado en contextos. Bajo este modelo de ataque, se presenta un conjunto de contextos útiles para detectar aplicaciones que utilizan los siguientes canales: Broadcast Intent; Shared preference; External storage. Así mismo, fue desarrollada una herramienta llamada ACdro (Analysis for Collusion on Android), implementada con base en el método de identificación propuesto sirviendo de ayuda a los analistas de seguridad para el sistema operativo Android. Finalmente, se presenta el análisis de 280 pares de muestras de aplicaciones coludidas. Dichas muestras fueron proporcionadas por el equipo ACiD (Application Collusion Detection) de la City University of London, Reino Unido, durante un período de colaboración en una estancia de investigación.
ABSTRACT:
Currently, with the scientific and technological development, mobile phones have become smartphone with more sophisticated features, which opens the possibility to perform tasks that were previously done with desktop devices. Likewise, in recent
years smartphone users are constantly increasing. With such an accelerated growth in the number of users and Android becoming one of the most adopted mobile operating systems, the concern of security in applications has increased, making the Android operating system the main target for writers of malicious code (malware). Nowadays, malicious applications have managed to filter into open markets like Google Play, due to new attack models. This shows that despite recent advances in mobile security, a smartphone is vulnerable to attacks with applications that act in collusion, that is, applications that collaborate with each other. Because most existing solutions for the detection of malicious applications nowadays focus on the attack model of a single application, the detection of applications collusion is a problema to be addressed. In this thesis a method is proposed that consists of seven stages (extraction, identification of the role, identification of the channel, detection of communication, identification of actions, creation of the context and evaluation of the
context) to analyze and identify malicious applications that efiect attacks in a colluded manner, which is a new context-based approach. Under this attack model, a set of useful contexts is presented to detect applications that use the following channels: Broadcast Intent; Shared preference; External storage. Likewise, a tool called ACdro (Analysis for Collusion on Android) was developed, implemented based on the proposed identification method to help the security analysts for the Android operating system. Finally, the analysis of 280 pairs of samples of colluded applications is presented. The samples were provided by the ACiD (Application Collusion Detection) team of the City University of London, United Kingdom, during a period of collaboration in a research stay.