Binary Matching of Android and iOS Apps

Abstract

Android und iOS sind die beiden dominierenden mobilen Betriebssysteme im rasant wachsenden Smartphone-Markt und werden von Milliarden von Nutzern weltweit verwendet. Beide Plattformen verfügen über umfangreiche App-Stores mit Millionen von Anwendungen. Obwohl Sicherheitsmaßnahmen ergriffen wurden, um die Verbreitung bösartiger Apps zu verhindern, sind in beiden Stores dennoch Fälle von Malware aufgetreten. Diese Vorfälle stellen ein erhebliches Sicherheitsrisiko dar, das die Privatsphäre der Nutzer gefährdet und zeigen die dringende Notwendigkeit weiterführender Forschung zur Erkennung von Schadcode und Sicherheitslücken in mobilen Anwendungen auf.Als ersten Schritt in diese Richtung untersucht diese Arbeit die Machbarkeit der Nutzung von Binary-Similarity-Detection-Techniken zur Identifikation von Ähnlichkeiten zwischen Android- und iOS-Apps. Dazu haben wir eine neuartige Analysepipeline konzipiert und implementiert, die speziell für den Vergleich von Android- mit iOS-Apps entwickelt wurde. Diese Pipeline ermöglicht die automatische Identifikation der entsprechenden iOS-App für eine gegebene Android-App innerhalb des Datasets.Die Pipeline umfasst mehrere zentrale Schritte, darunter das Vorbereiten der Apps für die Analyse, das Disassemblen der Binaries mit IDA Pro und Ghidra – um potenzielle Unterschiede zwischen den Disassemblern zu berücksichtigen – sowie die Analyse auf Basis der Disassembly-Ergebnisse.Zur Bewertung der Effektivität unserer Pipeline führten wir eine umfassende Analyse an einem Datensatz von 100 cross-platform Apps durch. Unsere Ergebnisse zeigen, dass aktuelle Methoden der binary Analyse ihre Grenzen haben, wenn es darum geht, direkte plattformübergreifende Ähnlichkeiten zwischen Anwendungen zu identifizieren. Allerdings konnten wir zeigen, dass die Einbeziehung von Drittanbieter-Libraries die Analyse erheblich verbessert, wodurch sich wertvolle Erkenntnisse gewinnen lassen. Dies unterstreicht die zentrale Rolle, die Libraries in der plattformübergreifenden App-Analyse spielen können. Darüber hinaus zeigten wir, dass die Wahl des Disassemblers einen erheblichen Einfluss auf die Analyseergebnisse haben kann.Letztendlich liefert diese Arbeit wertvolle Einblicke in die Herausforderungen und Möglichkeiten der plattformübergreifenden App-Analyse mittels traditioneller Binary-Diffing-Techniken und schafft so eine solide Grundlage für zukünftige Forschung in diesem sich stetig weiterentwickelnden Forschungsbereich.

Android and iOS are the two dominant mobile operating systems in the rapidly expanding smartphone market, serving billions of users worldwide. Both platforms feature extensive app stores with millions of applications available for download. While security measures are in place to prevent the distribution of malicious or vulnerable apps, instances of malware have still been discovered in both stores. These incidents highlight a significant security risk that threatens user privacy and highlights the urgent need for advanced research in detecting malicious code and security vulnerabilities in mobile applications.As a step toward addressing this challenge, this thesis explores the feasibility of using binary similarity detection techniques to identify similarities between Android and iOS applications. To achieve this, we designed and implemented a novel analysis pipeline specifically tailored for comparing Android apps (compiled into binary OAT files) with iOS binaries. This pipeline enables the automatic identification of matches between corresponding applications across both platforms. The pipeline comprises several key stages, including preparing the apps and their third-party libraries for binary analysis, disassembling the binaries using both IDA Pro and Ghidra to account for potential variations introduced by different disassemblers, and conducting similarity analysis on the disassembly results.To assess the effectiveness of our pipeline, we conducted a comprehensive analysis on a dataset of 100 cross-platform apps. Our findings indicate that current binary similarity analysis methods have limitations in directly identifying cross-platform similarities between applications. However, we demonstrated that incorporating third-party libraries into the analysis significantly enhances similarity detection and can help to provide meaningful insights. This highlights the crucial role that third-party libraries play in cross-platform app analysis.Additionally, we found that the choice of disassembler has a significant impact on analysis results. Notably, no single disassembler proved to be clearly superior, as both exhibited their own strengths and limitations. Ultimately, this study offers valuable insights into the challenges and potential of cross-platform binary app analysis using traditional binary diffing techniques, laying a strong foundation for future research in this evolving field.