Fraihs, N. (2017). Malvertising und Malware im Kontext von Android [Diploma Thesis, Technische Universität Wien]. reposiTUm. https://doi.org/10.34726/hss.2017.45548
Smartphones erobern die Welt und der Großteil der Bewohner dieser Erde wird innaher Zukunft einen dieser intelligenten Wegbegleiter besitzen. Von dem ursprünglich puren Kommunikationsmittel, entwickelte sich das Handy bis heute zu einem wichtigen Helfer bei der täglichen Informationsbeschaffung von Internetnutzern. Malware-Entwickler erkennen diesen Wandel und kreieren demzufolge ausgeklügelte Mechanismen, um mobile Betriebssystem wie Android oder iOS mit schädlichem Code zu infizieren. Anlässlich derUnabhängigkeit angesichts der nötigen Benutzerinteraktion, bilden Drive-by-Downloads für mobile Endgeräte eine attraktive Alternative zu herkömmlichen Angriffsvektoren wie Social Engineering Kampagnen. Trotz der Tatsache, dass bisher keine Drive-By-Downloads für Android in-the-wild beobachtet wurden, steht die Lokalisierung dieses Angrifftyps im Fokus dieser Arbeit. Zu Beginn wird ein Überblick über aktuelle und vergangene Angriffstechniken gegeben, um ein Grundwissen über Malware und deren Angriffsvektoren zu vermitteln. Anschließend illustriert die detaillierte Darstellung und Erklärung einzelner Sicherheitslücken, deren Verwendung in Drive-by-Downloads auf böswilligen Webseiten im Kontext des Androidbetriebssystems. Anlässlich der davon ausgehenden Gefahr für Internetnutzer mit Androidgeräten, wird ein neuartiger Webcrawler präsentiert, welcher Drive-by-Downloadsin Malvertising-Kampagnen aufspürt. Damit der Crawler bei Fingerprinting-Prozessen von böswilligen Skripten nicht als solcher erkannt wird, werden ausgewählte Android- und Browseremulatoren sowie zwei Echtgeräte anhand webbasierten Erkennungsmerkmalen verglichen. Die Parameter zur Differenzierung der überprüften Systeme beinhalten unter anderem verfügbare Javascript Objekte, Sensordaten, Bildschirmauflösung und unterstützte Schriftarten. Angesichts der gewonnen Informationen wird eine Konfiguration für den implementierten Webcrawler präsentiert, welche ihn als perfekte Imitation eines Androidsmartphones erscheinen lässt.
de
Smartphones are on the rise and the majority of the people on this planet, will be inpossession of such a small helper in the near future. From a pure tool of communication, mobile phones have changed their daily usage to a valuable assistant in the sustaining quest of information by users. To address this transformation, malware developers issues ophisticated paths to compromise mobile operating systems like iOS or Android. Due to the independence of user interactions, drive-by downloads on smartphones providean excellent choice in contrast to conventional attack vectors like social Engineering campaigns. The automatic detection of drive-by downloads builds the main focus of this work, despite the fact, that there hasn’t been such an attack for android in the wild yet. To impart knowledge of malware and related attack vectors, there is an outline of current and past attack techniques. Furthermore, some chosen vulnerabilities of the android operatingsystem and their utilization in potential drive-by downloads are declared. In consequence of posing a threat to Android users, a novel web crawler is presented, which recognizes drive-by downloads in malvertising campaigns. In order that the implemented crawler is not spotted by malicious fingerprinting web pages, selected Android and browser emulators are compared with two real devices by web-based characteristics. The examined list of parameters includes without limitation available Javascript objects, calculated accelerometer data, screen resolutions and supported fonts. Regarding the acquired information, a crawler configuration is showcased, which obtains a superb illusion of a real android device in respect of available web parameters.