Untersuchung von State-of-the-Art Malware-Analyse-Techniken auf mobilen Endgeräten und Ableitung einer generalisierten Malware-Analyse-Methodologie am Beispiel von Android

Abstract

Seit Jahrzehnten bedroht Malware eine Vielzahl der eingesetzten Softwaresysteme und deren Benutzer. Bis heute existiert kein allgemein gueltiges Verfahren, um Systeme vor Schadsoftware zu schuetzen. Mit Android.FakePlayer, der ersten realen Android-Malware aus dem Jahr 2010, haben Cyberkriminelle erstmals Malware auf mobilen Geraeten in Umlauf gebracht. Android ist nach IDC [73] mit einem Marktanteil von 87,6% das am weitesten verbreitete Betriebssystem auf mobilen Geraeten und wurde somit, aehnlich wie Windows in der Desktop-Welt, zum primaeren Ziel von mobiler Schadsoftware. Im Gegensatz zu Laptops oder Desktop-Computern ist das Smartphone zu einem staendigen und alltaeglichen Begleiter geworden, mit dem wir Zugriff auf unsere digitale Welt haben und sie gestalten. Durch diese enge Verbindung zwischen Mensch und Maschine ist es nicht verwunderlich, dass diese Geraete persoenliche, geheime oder sensible Daten beinhalten, die wiederum durch mobile Schadsoftware gefaehrdet sind. Industrie und Forschung sind auf automatisierte Loesungsansaetze fokussiert, wobei Ergebnisse aus der Forschung oft nicht fuer den realen Einsatz geeignet sind oder industrielle Ansaetze einen umfassenden Schutz, aufgrund fehlerhafter Resultate, nicht gewaehrleisten koennen. Manuelle softwaretechnische Untersuchungen durch ausgebildete Analysten sind daher notwendig, um die Entwicklung von geeigneten Gegenmassnahmen voranzutreiben, indem schadhaftes Verhalten und Funktionsweisen von mobiler Malware aufgedeckt werden. Weiters kann durch die Rekonstruktion von schadhaftem Verhalten die unmittelbare Gefahr eingeschaetzt und entsprechend reagiert werden. Diese Arbeit verfolgt das Ziel, geeignete Techniken und Werkzeuge fuer die softwaretechnische Analyse von Android Malware zusammenzutragen und zu erlaeutern. Aus allgemeinen State-of- the-Art-Techniken zur Malware-Analyse werden spezifische Vorgehensweisen fuer Android abgeleitet. Weiters werden bekannte Charakteristiken von Android Malware und Anti-Virus Apps untersucht, um ein geeignetes Bewusstsein fuer Malware-Analysen zu schaffen. Eine weiterfuehrende Diskussion von Obfuscation-Strategien gewaehrt Einblick, mit welchen zusaetzlichen Huerden bei der Untersuchung von Schadsoftware gerechnet werden muss und wie Malware-Autoren die Analyse ihrer Software verlangsamen wollen. Da die gesammelten Konzepte nur in Kombination bei der Untersuchung von realer Malware unterstuetzen koennen, wurde eine praxisnahe Android Malware-Analyse-Methodologie, basierend auf bereits existierenden Vorgehensmodellen zur Malware-Analyse, entwickelt. Diese Methodologie ermoeglicht eine effiziente und strukturierte Analyse, ohne dabei auf notwendige Freiheiten bei der Untersuchung zu verzichten, um kreative Vorgehensweisen zu foerdern. Eine abschliessende Fallstudie zur Analyse der Malware Android.FakePlayer demonstriert die praktische Umsetzung der Methodologie und belegt dadurch deren Praxisrelevanz.

For decades malware has been a threat to many software systems and their users. Until today, no generically applicable scheme exists to protect these systems from malware. The first known malware to be considered a threat to mobile devices was Android.FakePlayer, which was circulated by cyber criminals in 2010. Similar to the desktop versions of Windows, Android became the primary target of malware on mobile devices due to its dominant market share of 87.6% as documented in IDC [73]. In contrast to notebooks and desktop computers, smartphones have become our everyday and all-day companion for accessing and managing our digital life. Due to this strong tie between human and machine, personal, secret and even sensitive data is stored on these devices. Doubtlessly this fact makes them primary targets for cyber criminals and their malicious software. Both industrial and research communities try to solve this issue by developing automatic malware detection systems, but often research results are unsuitable for real-life application and industrial approaches are fault-prone and do not provide comprehensive protection. Manual analysis, executed by skilled professionals, is needed to drive and support the development of malware countermeasures, deconstructing malicious software to show its goals and internal mechanisms. Furthermore, the result of such analysis helps to judge imminent risks and provide possible solutions to limit hazards. This thesis elaborates on appropriate techniques and tools to analyze Android malware. Android protection schemes are derived from generic state-of-the-art malware analysis approaches. Also, known malware and anti-virus characteristics are discussed to form an appropriate mindset for malware analyses. The discussion of different obfuscation strategies shows the complexity of malicious mobile applications and identifies techniques that are used by malware authors to hinder analyses. To ensure an efficient and goal-oriented approach, this thesis suggests ways to combine techniques into an Android malware analysis methodology, which is derived from existing analysis models. This methodology allows an efficient and structured analysis without restricting the usage of creative approaches. To conclude the thesis, a case study on the analysis of Android.FakePlayer demonstrates the practice-oriented application of the methodology described.