Curious apps: Large-scale detection of apps scanning your local network

Abstract

In unserer vernetzten Welt werden Datenlecks und fragwürdige Profiling-Techniken immer relevanter: Nicht nur auf Websites, sondern auch auf Smartphones.Viele verschiedene Datenpunkte werden verwendet, um Nutzerprofile für beispielweise Werbung zu erstellen. Diese Datenpunkte enthalten oft sensible Informationen und können, wenn sie nicht sorgfältig verwendet und gespeichert werden, publik werden. In unserer Arbeit suchen wir nach Android Anwendungen (Apps), die das lokale Netzwerk (LAN) scannen und diese Datenpunkte möglicherweise für Profiling verwenden.Wir fassen zusammen, wie Android Apps im LAN nach anderen Geräten suchen können und, wie diese Techniken in einer Android App implementiert werden können. Auf der Grundlage dieser Recherche haben wir über 40 handgefertigte Yara-Regeln entwickelt, um Android-Apps mit LAN-Scan-Fähigkeiten abzustimmen. Basierend auf diesen Yara-Regeln haben wir ein hybrides Analyse-Framework entwickelt, um Android Apps zu finden, die LAN-Scans ohne Benutzerinteraktion durchführen. Das von uns vorgeschlagene Analyse- Framework besteht aus drei Teilen: Zunächst verwenden wir über 40 handgefertigte Yara- Regeln, um Android Apps vorzufiltern, die Daten/Funktionen im Zusammenhang mit LAN-Scanning enthalten. Im zweiten Schritt führen wir die vorgefilterten Android Apps dynamisch auf einem echten Android-Smartphone aus und erfassen den Netzwerkverkehr. Zuletzt analysieren wir die Netzwerk-Dumps auf LAN-Scan Aktivitäten. Wir haben unser hybrides Analyse-Framework mit 3 verschiedenen Android-App Datensätzen (Top 1000 General Purpose, 1.259 IoT/Companion-Apps, 117 Malware-Apps) ausgeführt, insgesamt mit über 2.300 verschiedenen Android Apps. Acht Android Apps führen ohne Benutzerinteraktion ARP-Scans im LAN durch und 29 Android Apps verschicken SSDP- Suchanfragen, ebenfalls ohne Benutzerinteraktion. Auf der Grundlage unserer Ergebnisse erstellen wir Casestudies, um die Ursache der LAN-Scan Aktivitäten zu ergründen. Mit unserem Ansatz finden wir eine Android-App, bei der Profiling den einzigen ersichtlichen Grund für das durchgeführte LAN-Scanning darstellt.

Privacy leaks and shady fingerprinting techniques are becoming more and more relevant in our connected world: Not only on websites but also smartphones.All kinds of different data points are used to create user profiles for fingerprinting and advertisement. These data points often contain sensitive information and, if not carefully used and stored, may be leaked. In our work we search for Android applications(apps) which are scanning the local area network (LAN) and potentially are using these datapoints for fingerprinting or advertisement.We summarize how LAN scanning in Android apps can be done technique-wise (what kind of LAN scanning techniques exist?) and implementation-wise (how can these LAN scanning techniques be implemented?). Based on this research, we developed over 40 handcrafted Yara rules to match Android apps with LAN scanning capabilities. We use this Yara ruleset in our hybrid analysis framework to find apps that are LAN scanning without user interaction. Our proposed framework consists of three parts: First, we use our Yara ruleset to pre-filter Android apps which contain data/functions related to LAN scanning. Next, we dynamically run the pre-filtered Android apps on a real Android smartphone and capture the network traffic. In the last step, we analyze the network dumps for LAN scanning activities. We run our hybrid analysis framework with 3 different Android app datasets (Top 1,000 General Purpose, 1,259 IoT/companion apps, 117 malware apps), totaling over 2,300 different Android apps. We found 8 Android apps ARP scanning the LAN and 29 Android apps sending SSDP search requests without user interaction. Based on our findings we conduct case studies to research why the found Android apps are doing this. We found at least one Android app where we feel certain the LAN scanning happens for fingerprinting reasons.