• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제12권1호
• /
• pp.454-475
• /
• 2018

This paper presents a novel Android malware classification model planned to classify and categorize Android malicious code at Drebin dataset. The amount of malicious mobile application targeting Android based smartphones has increased rapidly. In this paper, Restricted Boltzmann Machine and Deep Belief Network are used to classify malware into families of Android application. A texture-fingerprint based approach is proposed to extract or detect the feature of malware content. A malware has a unique "image texture" in feature spatial relations. The method uses information on texture image extracted from malicious or benign code, which are mapped to uncompressed gray-scale according to the texture image-based approach. By studying and extracting the implicit features of the API call from a large number of training samples, we get the original dynamic activity features sets. In order to improve the accuracy of classification algorithm on the features selection, on the basis of which, it combines the implicit features of the texture image and API call in malicious code, to train Restricted Boltzmann Machine and Back Propagation. In an evaluation with different malware and benign samples, the experimental results suggest that the usability of this method---using Deep Belief Network to classify Android malware by their texture images and API calls, it detects more than 94% of the malware with few false alarms. Which is higher than shallow machine learning algorithm clearly.

• 정보보호학회논문지
• /
• 제29권1호
• /
• pp.105-115
• /
• 2019

최근 지능화된 안드로이드 악성코드는 정적 분석만으로는 악성행위에 대한 탐지가 어려워지고 있다. SO파일, 동적로딩을 이용한 코드 호출 및 문자열 난독화를 적용한 악성코드의 경우 분석을 위해 다양한 툴을 이용하여도 원본 코드에 대한 정보 추출이 어렵다. 이 문제를 해결하기 위해서 다양한 동적 분석기법이 있지만, 동적 분석은 루팅 환경이나 에뮬레이터 환경을 요구한다. 그러나 동적 분석의 경우 악성코드들이 루팅 및 에뮬레이터 탐지를 실시하여 분석 환경을 탐지 하고 있다. 본 논문은 이를 해결하고자 다양한 루팅 탐지 기법을 조사하여 실단말에서 루팅탐지 우회 환경을 구축하였다. 또한, Xposed를 이용하여 안드로이드 악성코드 분석을 위한 SDK 코드 후킹 모듈을 설계하였고, 코드 흐름을 위한 인텐트 추적, 동적 로딩 파일에 대한 정보, 다양한 API 정보 추출을 구현하였다. 이를 통해 악성코드의 난독화 된 정보 및 다양한 악성 행위 정보를 분석하고자 한다.

• 디지털융복합연구
• /
• 제11권12호
• /
• pp.381-386
• /
• 2013

안드로이드 플랫폼에서의 새로운 변종 악성코드가 기하급수적으로 증가함에 따라 보다 빠르고 능동적인 대처방안이 필요하다. 본 연구에서는 안드로이드 플랫폼에 High-Interaction 클라이언트 허니팟을 적용하였다. 시스템 적용방안을 위하여 전체 흐름을 설계하고 각 세부모듈의 기능을 분석하여 안드로이드 플랫폼에 최적화 하였다. 제안하는 시스템은 기존 PC 환경의 High-Interaction 클라이언트 허니팟의 장점을 모두 갖추고 있으며 관리 서버와 저장 서버를 분리하여 보다 유연하고 확장된 형태로 설계되었다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제9권3호
• /
• pp.1210-1230
• /
• 2015

Android is the world's most utilized smartphone OS which consequently, also makes it an attractive target for attackers. The most representative method of hacking used against Android apps is known as repackaging. This attack method requires extensive knowledge about reverse engineering in order to modify and insert malicious codes into the original app. However, there exists an easier way which circumvents the limiting obstacle of the reverse engineering. We have discovered a method of exploiting the Android code-signing process in order to mount a malware as an example. We also propose a countermeasure to prevent this attack. In addition, as a proof-of-concept, we tested a malicious code based on our attack technique on a sample app and improved the java libraries related to code-signing/verification reflecting our countermeasure.

• 한국콘텐츠학회논문지
• /
• 제18권4호
• /
• pp.305-313
• /
• 2018

스마트폰의 폭발적인 증가와 효율성으로 개방형 모바일 운영체제인 안드로이드의 활용도가 점차 증가하고 있고, 모바일 기기, 가전제품의 운영체제, IoT 관련 제품들과 더불어 메카트로닉스의 분야에도 활용될 수 있는 가용성과 안정성이 증명되고 있다. 하지만, 사용성이 증가하면 증가할수록 안드로이드 기반의 악성코드 역시 기하급수적으로 증가하고 있는 추세이다. 일반 PC와 다르게 모바일 제품에 악성코드가 유일될 경우, 모바일 기기가 Lock됨으로 사용할 수 없고, 불필요한 과금과 더불어 수많은 개인의 연락처가 외부로 유출될 수 있으며, 모바일 기기를 활용한 금융서비스를 통해 막대한 손실을 볼 수 있는 문제점이 있다. 따라서, 우리는 이 문제를 해결하기 위하여 유해한 악성 파일을 실시간으로 탐지 및 삭제할 수 있는 방법을 제시하였다. 또한 이 논문에서는 안드로이드 기반의 어플리케이션 설치 과정 및 시그니처 기반 악성코드 탐지방법을 통해 보다 효과적인 방법으로 악성코드를 실시간 감시하고 삭제할 수 있는 기법을 설계하였다. 우리가 제안하고 설계한 방법은 모바일 환경과 같이 제한적인 리소스 환경에서 악성코드를 효과적으로 탐지할 수 있다.

• 정보보호학회논문지
• /
• 제23권4호
• /
• pp.757-766
• /
• 2013

안드로이드 사용자의 증가와 함께 안드로이드를 타겟으로 하는 악성코드가 급격하게 증가하고 있으며, 대부분의 악성코드는 사용자의 개인정보 유출을 목적으로 하고 있다. 최근 국내에서도 악성코드를 이용해 개인정보를 유출하고, 소액결제를 시도하는 '체스트'라는 악성코드가 출현하여 금전피해를 발생시켰다. 안드로이드 플랫폼에서 개인정보 유출을 탐지하기 위한 다양한 기법들이 제안되었지만, 기존 기법들은 안드로이드 보안모델의 특성상 사용자의 스마트폰에 적용이 어려운 한계를 가지고 있다. 본 논문에서는 커널레벨의 시스템 콜 후킹과 white-list 기반의 접근정책을 이용해 허용되지 않은 개인정보의 접근과 인터넷 연결을 실시간으로 탐지하고, 차단하는 기법을 제안하였다. 또한 구현을 통해 실제 사용자의 스마트폰에 적용이 가능함을 증명하였다.

• 정보보호학회논문지
• /
• 제23권3호
• /
• pp.479-490
• /
• 2013

최근 삼성 갤럭시 노트 및 갤럭시 탭 10.1 등 안드로이드 기반 상용 모바일 단말을 대상으로 정상 어플리케이션인 것처럼 오픈 마켓에 배포된 악성 어플리케이션에 의한 공격들이 급증하고 있다. 공격자는 정상적인 어플리케이션에 악성코드를 삽입하여 상용 모바일 단말에 대한 루팅(Rooting) 공격을 수행한 후, 단말 내 저장된 사용자의 SMS, 전화번호부 등 개인정보와 공인인증서 등과 같은 금융정보를 외부 서버로 유출시키는 공격을 수행하게 된다. 따라서 상용 모바일 단말에 대한 악성코드 감염 여부를 판별하고 루팅 공격을 탐지 및 대응하기 위한 기법이 필요하다. 이에 본 논문에서는 안드로이드 기반 상용 모바일 단말에 대한 루팅 공격 기법에 대해 분석하고 이를 토대로 모니터링 데몬(Daemon)을 이용하여 상용 단말 내 공격 이벤트를 추출 및 수집하여 악성 어플리케이션으로 인한 공격에 능동적으로 대응하는 기법을 제시하였다.

• 정보보호학회논문지
• /
• 제25권1호
• /
• pp.17-30
• /
• 2015

본 논문은 기존에 널리 사용되는 바이트코드(bytecode) 중심의 안드로이드 어플리케이션 코드 난독화 방법과 달리 임의의 안드로이드 어플리케이션의 DEX 파일 자체를 추출하여 암호화하고, 암호화한 파일을 임의의 폴더에 저장한 후 코드를 수행하기 위한 로더 앱을 만드는 방법을 제시한다. 이벤트 처리 정보를 은닉하기 위하여, 로더 앱 내부의 암호화된 DEX 파일은 원본 코드와 Manifest 정보 일부를 포함한다. 로더 앱의 Manifest는 원본 앱의 Manifest 정보 중에서 암호화된 클래스에 포함되지 않은 정보만을 기재하였다. 제안기법을 사용시, 첫째로 공격자는 백신을 우회하기 위해 난독화된 코드를 포함한 악성코드 제작이 가능하고, 둘째로 프로그램 제작자의 입장에서는 제안기법을 이용하여 저작권 보호를 위해 핵심 알고리즘을 은폐하는 어플리케이션 제작이 가능하다. 안드로이드 버전 4.4.2(Kitkat)에서 프로토타입을 구현하고 바이러스 토탈을 이용하여 악성코드 난독화 능력을 점검해서 제안 기법의 실효성을 보였다.

• 정보보호학회논문지
• /
• 제28권3호
• /
• pp.617-623
• /
• 2018

본 연구는 안드로이드 정적분석을 기반으로 추출된 AndroidManifest 권한 특징을 통해 악성코드를 탐지하고자 한다. 특징들은 AndroidManifest의 권한을 기반으로 분석에 대한 자원과 시간을 줄였다. 악성코드 탐지 모델은 1500개의 정상어플리케이션과 500개의 악성코드들을 학습한 SVM(support vector machine), NB(Naive Bayes), GBC(Gradient Boosting Classifier), Logistic Regression 모델로 구성하여 98%의 탐지율을 기록했다. 또한, 악성앱 패밀리 식별은 알고리즘 SVM과 GPC (Gaussian Process Classifier), GBC를 이용하여 multi-classifiers모델을 구현하였다. 학습된 패밀리 식별 머신러닝 모델은 악성코드패밀리를 92% 분류했다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제13권4호
• /
• pp.2180-2197
• /
• 2019

With the proliferation of the Android malicious applications, malware becomes more capable of hiding or confusing its malicious intent through the use of code obfuscation, which has significantly weaken the effectiveness of the conventional defense mechanisms. Therefore, in order to effectively detect unknown malicious applications on the Android platform, we propose DroidVecDeep, an Android malware detection method using deep learning technique. First, we extract various features and rank them using Mean Decrease Impurity. Second, we transform the features into compact vectors based on word2vec. Finally, we train the classifier based on deep learning model. A comprehensive experimental study on a real sample collection was performed to compare various malware detection approaches. Experimental results demonstrate that the proposed method outperforms other Android malware detection techniques.