Creación de un software de análisis para Malware en aplicaciones de Android OS - SAMSARAA

Abstract

Los dispositivos móviles están cada vez más presentes en el día a día de las personas. A medida que evolucionan se utilizan más frecuentemente para revisar mails, gestionar información financiera de la empresa y hasta realizar transacciones bancarias. El aumento de popularidad sumado a la complejidad de los sistemas operativos móviles y a la información que se puede obtener al atacar estos dispositivos, genera un fuerte incentivo para los desarrolladores de malware. Android, en particular, con una cuota de mercado del 22%, es el sistema que presenta mayor cantidad de aplicaciones maliciosas, con un aumento exponencial durante el 2011. El objetivo de este proyecto consiste en diseñar e implementar un sistema de análisis estático de aplicaciones para Android. Este sistema debe ser capaz de analizar grandes cantidades de muestras en poco tiempo y generar un ranking con las aplicaciones más sospechosas y peligrosas. Este ranking será utilizado por los investigadores para elegir las muestras más riesgosas y realizar un análisis manual más profundo en busca de malware. El trabajo fue realizado completamente en las oficinas de McAfee Labs Chile junto al equipo de Mobile Security. En primer lugar se revisaron las técnicas y herramientas para analizar aplicaciones de Android. Luego se detallaron los requisitos del sistema y se eligieron los lenguajes y las tecnologías de uso. A continuación se diseñó, implementó y testeó el sistema de análisis para finalmente implementar un sistema de calificación junto con los mecanismos necesarios para generar el ranking. Del estudio de las capacidades del malware actual se concluyó que, si bien aún no presentan la misma complejidad que en el mundo de PC, las técnicas de ataque utilizadas han experimentado una significativa evolución. Existen pocos exploits conocidos para Android y la mayor parte del malware usa ingeniería social para entrar a los dispositivos. Por otro lado, aunque se han dado casos de malware en Google Play, la mayoría se ha encontrado en markets alternativos y páginas web maliciosas. Finalmente, Samsaraa, el sistema desarrollado, tiene la capacidad para analizar y calificar grandes cantidades de aplicaciones. El resultado es un informe detallado de sus características y del riesgo potencial que presenta. Esta información es utilizada para generar el ranking para los investigadores. Además, posee la facilidad para generar estadísticas, comparar aplicaciones y grupos de muestras; entregar una base sólida para realizar estudios de minería de datos y profundizar el estudio del malware. El diseño del sistema es modular y flexible para facilitar su escalabilidad y utilidad en un entorno de producción, analizando miles de aplicaciones diarias.