Escolar Documentos
Profissional Documentos
Cultura Documentos
I S!I!"!# MI$I!A% &E E GE 'A%IA P%A(A GE E%A$ !I)*%CI# +, - CEP .../,0.1, %I# &E 2A EI%# - )%ASI$
Monografias em Sistemas e Computao, No. /2013 Editor! "rof. #nderson $ernandes "ereira dos Santos
ISSN!
ii
%esponsvel pela pu3lica45o* .i,ardo Choren IME / Seo de Engenharia de Computao "raa )enera' 0i-1r,io 20, "raia &erme'ha 222304250, .io de 6aneiro/.6, 7rasi' 0e'. 899 21 29:;45030 E4mai'! ,horen+ime.e-.-r
ii
6 Introdu45o
5s dispositivos m6veis constituem um dos marcos mais importantes depois da cria/0o do computador pessoal. Aparelhos tais como smartphones# PDA7s 8personal digital assistant9 e celulares# tem provido a fle$ibilidade que os usu-rios precisam para realizar suas atividades di-rias. +sses dispositivos atualmente representam !:; dos usu-rios no mundo < = e segundo a tend1ncia estimada para o 20 > alcan/ar0o ?0; <2=. +ste crescimento e$ponencial responde @s inova/Aes apresentadas em diferentes -reas da Tecnologia da 'nforma/0o e Bomunica/0o 8T'B9# dentre as quais destacam&se* Computao ubqua C que integra a inform-tica com as a/Aes e comportamentos cotidianos das pessoas <!=D Computao autnoma C na qual os sistemas de informa/0o podem auto gerenciar seus pr6prios recursos para atender novos requisitos# prescindindo da intera/0o humana <E=D Computao sensvel ao contexto C que tem por finalidade a troca de informa/0o atrav,s da intercone$0o de sensores <F=D Redes de comunicao sem fio de curto alcance C permitem a troca autom-tica de informa/0o entre dispositivos compat3veis que esteGam pr6$imos# sem necessida& de de configura/Aes adicionais <>=D e Eficincia energtica C que procura a otimiza/0o das fontes de energia <F=D
Todas estas tecnologias convergem em um sistema operacional capaz de inter&rela& cionar os componentes f3sicos 8hardware9# com os servi/os e aplica/Aes presentes no dis& positivo 8software9. Administra/0o de recursos tais como* processamento# armazena& mento de dados e o controle de perif,ricos de entrada e sa3da# dependem diretamente do sistema operacional. "ortanto a import.ncia deste componente tem por obGetivo ga& rantir o correto funcionamento de qualquer dispositivo eletrHnico inteligente. +$istem alguns sistemas operacionais proGetados para dispositivos m6veis# entre os mais importantes citam&se* Android, iOS, Windows Phone, BlackBerryOS e Symbian. IoGe em dia# o sistema operacional Android, pertencente @ oogle !nc.# constitui E . ; do mercado global de dispositivos m6veis <:=. 5 sucesso desta plataforma tecnol6gica se deve @ variedade de produtos dispon3veis nas loGas virtuais e aos downloads gratuitos dos aplicativos. +ntre as categorias que o oogle proporciona no seu s3tio Web# encon& tram&se* comunica/Aes# finan/as# medicina# m3dia e v3deos# produtividade# social# fer& ramentas# viagens# bibliotecas e Gogos <?=. 5 volume em vendas 8>E. ;9 alcan/ado pelo Android em 20 2 <9=# representa para os ciber&criminosos uma maior oportunidade de e$ecutar delitos inform-ticos. Al,m disso# a natureza Open So"rce# do Android e a dificuldade de monitorar ataques realiza& dos desde plataformas m6veis# t1m tornado este sistema operacional alvo priorit-rio dos mais variados tipos de ataques de c6digo malicioso ou malware$
Open So"rce C ou c6digo aberto# , um termo usado para se referir a c6digo fonte leg3vel# de livre mo & difica/0o e distribui/0o.
676
A palavra malware tem origem no termo ingl1s Jmalicio"s software%, e representa um conGunto de tipos de c6digos maliciosos destinados a e$ecutar delitos inform-ticos me& diante a/Aes tais como* controlar navegadores Web# redirecionar buscas# mostrar anKn& cios indeseGados# rastrear s3tios Web# roubar informa/Aes pessoais# usar um dispositivo m6vel para enviar SPAM& ou realizar ataques a outros dispositivos < 0=. 'nicialmente# o malware foi desenvolvido para computadores pessoais! e depois aperfei/oado para tecnologias m6veis. 5 uso de sofisticadas t,cnicas baseadas em con& ceitos de encripta/0o# polimorfismo e ofusca/0o# proveram ao malware caracter3sticas comple$as para evadir os controles de antiv3rus ou ferramentas de an-lise de malware < =. +ntre 200F e 2009# n0o houve um desenvolvimento consider-vel de malware para dispositivos m6veis. +m 20 0# a Android foi alvo de 0.F; dos ataques de c6digo malici& oso# enquanto no 20 # eles aumentaram para E>.:; < 2=. Lo primeiro trimestre de 20 !# o Android foi respons-vel por 92; de ataques de malware conhecidos < 2# !=. 5 r-pido crescimento do malware deu origem a mercados proibidos de produtos e servi/os na Web, atualmente em s3tios como* blackhatpalace$com # for"m$rorta$net# www$carders$cc# www$hack-info$r"# www$clicks$ws, www$hots"rfs$com, www$talk-hyip$com# www$wifi-for"m$com# se oferecem servi/os 'nega/0o de servi/os, botnets, spam, banco de cartAes de cr,dito(, foros e ferramentas com seus respectivos custos# para desenvolver c6digo malicioso ou realizar ataques < E# F=. +ntre as motiva/Aes para criar malware# destacam&se as seguintes < >=* Demonstrar a vulnerabilidade do sistema operacional C isto inclui simples altera/Aes na configura/0o do dispositivo m6vel# tais como* tela de fundo# idioma# data e hora# regi0o# etc.D ender a informao do usu!rio C o malware utiliza as bibliotecas disponibilizadas pelo sistema operacional# para roubar informa/0o do usu-rio. 4ados como* lista de contatos# hist6rico do navegador Web# lista de aplica/Aes instaladas# e !M)!* s0o coletados e vendidos com fins financeiros. "or e$emplo um !M)!# pode ser utilizado para clonar a identidade de um dispositivo m6vel e habilitar outro que tenha sido reportado como roubado. Roubo de credenciais do usu!rio C as credenciais de acesso a contas bancarias# e& mail# senhas# armazenados em* navegadores Web# mensagens de te$to 8 SMS+9# mensagem instant.nea# e arquivos de te$to# s0o suscept3veis aos mecanismos de intercepta/0o do malware$ C"amadas e mensagens premium C e$istem s3tios Web 8especialmente para adultos9# que recebem um porcentagem de dinheiro por cada SMS ou chamada que um cliente realiza para acess-&los. 5 malware realiza a subscri/0o do usu-rio a esse tipo de servi/os sem nenhuma autoriza/0o e envia mensagens de maneira oculta.
2 SPAM C termo usado para referir&se a uma grande quantidade de e&mails n0o solicitados# que nor& malmente tem fins publicit-rios. ! +m 200E# Babir foi o primeiro v3rus de computador identificado como malware para dispositivos m6veis. +ste v3rus escrito em linguagem BMBNN foi e$ecutado como uma prova de conceito e teve como principal obGetivo propagar&se utilizando a rede %luetooth. E 'dentifica/0o 'nternacional de +quipamento (6vel 8!M)!9. F Short Messages Ser,ice ou Oervi/o de (ensagens Burtas
Envio de #$%& por #&# C dado que o SPAM , proibido em alguns pa3ses# o malware pode e$ecutar dos tipos de a/Aes* a9 utilizar remotamente os dispositivos infectados para enviar SMS com SPAM a outros dispositivos# ocultando a proce& d1ncia das mensagensD ou b9 'ncluir publicidade dentro de aplica/Aes leg3timas 8por e$emplo# incluir publicidade dentro de aplica/Aes leg3timas pode ter um custo entre P .90 e P 9.F0 QO4 por usu-rio por m1s9 < := 'timi(ao de m!quinas de )usca *#E' +, C o malware# aproveita a 5timiza/0o de m-quinas de busca para enviar de maneira oculta informa/0o referente @ locali& za/0o# hist6rico do navegador e lista de buscas do usu-rio# para s3tios que pro& cessam essa informa/0o e oferecem servi/os como* estudos de mercado# an-lise de tr-fego# an-lise de tend1ncias e necessidades# entre outros.
At, hoGe foram descobertas !> novas fam3lias de malware para Android# das quais a maior porcentagem , para troianos 8> . ;9# riskware 8 F.E;9# e monitoring-tools 8 F.E;9 < !=. Qma classifica/0o do malware , apresentada em forma hier-rquica da maior para o menor n3vel de amea/a# conforme a -abela #$
(,dia
Monitoring-tools, adware, hi2ackers, keylogger, stealer, dialer, ransomware, rog"e, 5bten/0o de dados e lucro scareware, fake, spyware, spam, la"ncher, downloader$ 4e encobrimento Backdoors# cavalos de Tr6ia# rootkits$ )6ploid, spooler, 7ombie 'botnet(, flooder 'e-mail, SMS, !M8(, hoa6, ,irtool, hacktool$
%ai$a
P3A4s5
67.
A principal contribui/0o deste trabalho , realizar um estudo das t,cnicas e m,todos utilizados para a an-lise de malware sobre dispositivos com sistema operacional Android. 5s resultados servir0o para identificar as t,cnicas que tem alcan/ado a maior efici1ncia e focalizar nestas# os trabalhos futuros. +ste documento encontra&se organizado da seguinte forma* na se/0o 2 realiza&se uma introdu/0o @ arquitectura do sistema operacional AndroidD na se/0o !# s0o estuda& das as t,cnicas para an-lise de malware# m,to *dos e ferramentas utilizadasD na se/0o E# apresentam&se os resultados obtidosD na se/0o F as conclusAesD na se/0o > as refer1n& cias @s fontes de pesquisa e na se/0o :# as refer1ncias das ferramentas Open So"rce para an-lise de malware para Android$
> Search )ngine Optimi7ation 'S)O( C tecnologia que otimiza a busca na 'nternet em fun/0o da sua re& lev.ncia. : Potencially 3nwanted Application 8P3A9 C ou aplicativos que cont,m algum tipo risco para o usu-rio. ? !nstant Messaging '!M( C ou mensagem intant.nea.
. Ar:uitetura de Android
A Kltima vers0o do sistema operacional Android est- baseado na distribui/0o de 3b"nt" 9-S #:$:* '9in"6( e consta de um conGunto de camadas que interagem entre elas# para administra/0o e controle de recursos computacionais como* redes de comunica& /Aes 8Bl"etooth# )D )# Wi;i, < # * (, banco de dados 8S=9ite9# bibliotecas de aplica/Aes 8Application ;ramework9 e m-quina virtual 8Dal,ik9 presentes no dispositivo m6vel. +n& tre as principais caracter3sticas das camadas citam&se < ?# 9=* Camada de %plica-es C Lesta camada encontram&se aplica/Aes pr,&instaladas do sistema operacional 8calend-rio# O(O# mapas# navegador Seb# calculadora# livro de contatos# gravador de voz# c.mara de fotos# Play Store# rel6gio9 e aplica/Aes do fabricante 'Sams"ng Apps, 9ayar($ .rame/or0 de %plica-es C 4isponibiliza um conGunto de servi/os e bibliotecas para os desenvolvedores com o fim de prover o acesso @ AP!, e aos componen& tes* Ristas '>iews( ? usadas para construir obGetos tais como* cai$as de te$to# quadr3culas# botAes# etc. "rovedores de BonteKdo 8/ontent Pro,iders9 C mesmas s0o utilizadas para compartilhar informa/0o entre aplica/Aes. Administradores de Tecursos 8@eso"rce Manager 9 C respons-veis por forne& cer o acesso aos recursos como* gr-ficos e arquivos de configura/0o do dis& positivo. Administrador de notifica/Aes 'Aotification Manager9 C permite a configura& /0o das alertas personalizados que s0o e$ibidos na barra de estado. Administrador de atividades 8Acti,ity Manager9 C gerencia as pol3ticas de navega/0o e do ciclo de vida para cada aplica/0o.
)ibliotecas 1 o Android dispAe de um conGunto de bibliotecas de BMBNN# mesmas s0o usadas pelos componentes do sistema operacional# entre as quais destacam& se* %ibliotecas B C , uma implementa/0o derivada da biblioteca 8libc9 de %O4# e adaptada para 9in"6$ %ibliotecas de m3dia C estas bibliotecas suportam a grava/0o de -udio# v3& deo e imagens com diferentes formatos como* U"V# A(T# ("!# "LV# AAB# ("+VE e I.2>E. %ibliotecas gr-ficas 8OVW9 C dispAem do suporte para trabalhar com gr-ficos 24. %ibliotecas para banco de dados 8 S=9ite9 C provem a comunica/0o ao banco de dados relacional S=9ite$ Acesso ao sistema de e$ibi/0o 8 S"rface Manager9 C facilitam o uso de aplica& /Aes 24 e !4. Lavegador Seb 89ibWeb/ore9 C s0o bibliotecas utilizadas pelo navegador Web pr,&instalado na Android 8Webkit9.
%ndroid Runtime o Android disponibiliza em torno de 90 bibliotecas com funcio& nalidades compat3veis com a linguagem de programa/0o Uava. Bada aplica/0o Android , e$ecutada na sua pr6pria inst.ncia da (-quina Rirtual Dal,ik 84R(9# a qual controla os arquivos de formato .de$ que s0o e$ecutados# procurando oti& mizar o rendimento do dispositivo. 2inux 0ernel C +sta camada cont,m servi/os respons-veis da administra/0o dos processos# mem6ria# seguran/a# redes# endere/amento# que funcionam no siste& ma operacional Android$ 5 kernel tamb,m cria uma abstra/0o entre a pilha de Software e o Bardware$
.76
"ara o desenvolvimento de aplica/Aes para Android , poss3vel utilizar a linguagem Uava ou BMBNN 8usando Android L4X9. "ara a estrutura de uma aplica/0o Android s0o utilizados os seguintes componentes* %tividades 1 interfaces visuais que respondem a eventos do usu-rio# podem retor& nar um valor ou endere/ar a outra atividade. 3ntents 1 s0o classes usadas para passar o controle de uma atividade para outra. Bonsistem em uma a/0o 8(A'L# R'+S# "'BX# +4'T# etc9 e uma QT' que aponta ao dado sobre o qual ser- e$ecutada a/0o. 3ntent .ilters 1 ou descritores das rela/Aes entre intents e broadcast receiver com as atividades. +stes est0o definidos no arquivo AndroidManifest$6ml$ )rodcast Receiver C este componente sem interface de usu-rio# recebe e envia mensagens para iniciar uma atividade. #ervice C , um processo# que se e$ecuta em segundo plana durante um tempo in& determinado. Content $rovider C o provedor de conteKdo , um componente que permite com& partilhar dados entre as aplica/Aes ou e$ecutar opera/Aes no banco de dados ins& talado no dispositivo.
A aplica/0o necessita um arquivo de configura/0o 8 AndroidManifest$6ml9# no qual ser0o descritos estes componentes com suas respectivas classes de implementa/0o# tipos de dados# ordem de e$ecu/0o das atividades# permissAes e par.metros de instrumenta/0o. Lem toda aplica/0o precisa ter todos os tipos# mas ter0o alguma combina/0o destes. A comunica/0o entre eles , mostrada na ;ig"ra#$
Comunicao entre %tividades Comunicao entre uma actividade Consulta a um $rovedorde Conte4dos e um servio comea
comea " para " vi cula chamada
Actividade
Actividade
Actividade
Oervi/o
Actividade
"rovedor de BonteKdos
Actividade Oervi/o
retor a
retor o da chamada
retor o de dados
Al,m destes desafios# as t,cnicas de an-lise de malware# tem outros adicionais na plataforma Android <22=* a9 avalia/0o dos produtos publicados no s3tio Web , atribu3da aos usu-rios finais# b9 o oogle n0o se compromete em monitorar os aplicativos ou seu conteKdo# c9 a retirada de um aplicativo , feita somente em caso de viola/0o de alguma regra estabelecida no contrato para desenvolvedores# d9 oogle# responsabiliza total& mente o desenvolvedor pelos danos que possam causar suas aplica/Aes. Tudo isto im& plica na possibilidade da presen/a de malware, tanto em loGas oficiais como n0o oficiais. As loGas virtuais de terceiros representam para o Android a principal origem das amea/as. Atualmente e$istem F00 loGas virtuais deste tipo# das quais a maior porcenta& gem encontra&se distribu3da na Bhina 8!E.>;9# TKssia 82>.E;9 e +stados Qnidos de Am,rica 8 F.2;9 < 2=. A quantidade de cont-gios nestes s3tios Web# responde @ necessi& dade dos usu-rios de descarregar aplica/Aes de maneira gratuita. 5 ciclo de cont-gio resume&se assim* 9 um desenvolvedor leg3timo cria um aplicati& vo e o carrega no oogle PlayD 29 um ciber&criminoso descarrega essa aplica/0o# altera o c6digo introduzindo malware e a empacota novamenteD !9 a aplica/0o maliciosa , car& regada novamente no oogle Play ou em uma loGa virtual de terceirosD E9 o usu-rio final descarrega a aplica/0o maliciosa# a mesma que ao ser instalada procura uma cone$0o com qualquer das redes sem fio dispon3veis# para enviar a informa/0o privada a servi&
dores remotos dos ciber&criminosos <2!=. Alguns s3tios s0o recomendados para encon& trar mostras deste tipo de c6digos maliciosos para an-lise < Ane6o A=.
;76
Oegundo <2E=# as t,cnicas para analisar malware dividem&se em* est-ticas ou enge& nharia reversa# e din.micas ou an-lise comportamental. A an-lise est-tica , realizada sem a instala/0o ou e$ecu/0o do malware# consiste em realizar a desmontagem dos arquivos suspeitos# observar as instru/Aes do programa e descobrir a maior quantidade de informa/0o relacionada com a proced1ncia do malware e seu funcionamento. "ara empregar esta t,cnica , preciso ter conhecimentos de des& montagem# constru/0o de c6digo# sistemas operacionais# entre outros. Qma vantagem desta t,cnica , que torna&se mais segura para os ambientes de an-lise. +ntre as desvan& tagens# pode&se frisar que , mais lenta e comple$a de e$ecutar# e se torna vulner-vel a m,todos de ofusca/0o do malware$ A an-lise din.mica# usa um depurador 8deb"gger9 para avaliar o comportamento do malware em e$ecu/0o sobre ambientes controlados e permite o levantamento de infor& ma/Aes detalhadas do e$ecut-vel quando a comple$idade do c6digo malicioso n0o permite uma an-lise est-tica. +ste tipo de an-lise pode ser realizada mediante as t,cni& cas de instrumenta/0o# com a virtualiza/0o de um dispositivo para monitorar as dife& rentes camadas da arquitetura de AndroidE e depura/0o C desmontagem# na qual se co& locam ganchos ou Fhookings% para uma an-lise mais detalhada a n3vel do kernel$ +sta t,cnica apresenta como vantagens# uma maior facilidade para identificar o malware e a capacidade de analisar grandes quantidades de dados. As desvantagens consistem em e$por o equipamento e redes fechadas na an-lise ao risco que representa o malware em e$ecu/0o# e @ detec/0o do ambiente emulado por parte do malware$ A sele/0o da t,cnica adequada# corresponde a fatores como* obGetivo do an-lise# tempo dispon3vel# recursos computacionais# comple$idade e quantidade do malware ser analisado. Atualmente e$istem solu/Aes comerciais para an-lise de malware para Android em s3tios como* www$cellebrite$com, www$encase$com# www$o6ygen-forensic$com, www.viaforensics, entre outras que provem servi/os de an-lise via Web $
;7.
!cnicas Estticas
5s m,todos e ferramentas de uso livre CAne6o AD para realizar uma an-lise est-tica s0o descritas em* ;7.76 Anlise por antivrus 'dentifica/0o do malware por uso de assinaturas e heur3stica de cada antiv3rus 8padrAes de c6digo malicioso9. Ferramentas* #tios 6eb C >ir"stotal, Shopos, 9ooko"t, A> , McAfee# entre outros. 7aintDroid 1 servi/o de monitoramento em tempo real para an-lise de aplicati& vos. ;7.7. 'as9ing Criptogr<ico Vera/0o de um c6digo Knico para o malware com um valor Iash que facilita sua iden & tifica/0o na 'nternet.
Ferramentas* &d8deep ? cont,m ferramentas para gerar c6digos em MD+, SBA-#, SBA-&+G# -iger o" Whirpool$ %xmlprinter 1 cont,m ferramentas para gerar c6digos em MD+, SBA-#, SBA-&+G, -iger o" Whirpool $ Anlise de Strings
;7.7;
%usca de informa/0o Ktil como* QTWZs# mensagens de erros# copias do c6digo# chama& das a bibliotecas e fun/Aes. Ferramentas* 9D:;<3 ? "ossui um ambiente gr-fico para reconstruir c6digo fonte de Uava# pro& curando fun/Aes e vari-veis. Anlise de pacotes e c>digo o<uscado
;7.7=
4etermina/0o do tipo de compilador usado pelo malware. Ferramentas. Dex=9ar 1 converte arquivos com formato de$ para o formato de classes Uava. Dexdump 1 converte arquivos com formato de$ para o formato de classes Uava. 9ava %ndroid Decompiler *9%D, 1 decompilador de c6digo para v-rios sistemas operacionais. #mali>)ac0#mali 1 ferramenta para montagem e desmontagem de c6digo em for& mato de6$ Anlise com m:uinas virtuais so3re 9ost reais
;7.7?
Bonfigura/0o de um ambiente isolado de e$ecu/0o e restri/Aes de acesso @ 'nternet# para determinar o comportamento do malware. Ferramentas* &obile #andbox 1 fornece uma an-lise est-tica do malware com uma interface Web$ Engen9aria reversa
;7.7@
An-lise da mem6ria principal# de instru/Aes em c6digo Assembler e c6digo B# an-lise de registros# identifica/0o de estruturas# desmontagem de arrays$ Ferramentas* 3D% $ro ? a partir da vers0o >. dispAe de componentes para an-lise de c6digo para Android. %$? 3nspector ? ferramenta gr-fica para an-lise de aplica/Aes Android$ %ndroguard ? conGunto de ferramentas de engenharia reversa para Android$ %ndrubis ? ferramenta para an-lise de ap)# produz relat6rios tanto para an-lise est-tica como din.mica.
%p0tool ? decodifica e reconstr6i arquivos$ 9ulia%nal@(er ? encontra bugs de Uava em programas Android# dispAe de compo& nentes para revis0o sint-tica e sem.ntica do c6digo. #mali>)a0smali ? a partir da vers0o .!.0 cont,m componentes para an-lise de aplica/Aes Android$ 2ime .orensics ? permite a captura completa da TA(. %RE 7ool0it ? , um entorno virtualizado pr,&configurado com >irt"alBo6 para an-lise de malware$ '#%. ? , um entorno virtualizado em >Mware.
;7;
!cnicas &inAmicas
5s m,todos e ferramentas de uso livre CAne6o AD para realizar uma an-lise din.mica s0o descritas em* ;7;76 Instrumenta45o
5 uso de Oandbo$ para emular um dispositivo# com o fim de monitorar a rede# proces& sos# compara/0o de cadeias e registros do sistema# e a identifica/0o de fun/Aes. Ferramentas* Droid)ox 1 esta m-quina de virtualiza/0o etiqueta as classes da A"' para o moni& toramento# detecta o vazamento de dados privados# chamadas @ A"'# atividade da rede sem fio# opera/Aes de criptografia# O(O e chamadas telef6nicas. &epura45o e &esmontagem BDebugging and Disassembly)
;7;7.
4epura/0o a n3vel do )ernel# controle de e$ce/Aes# modifica/0o da e$ecu/0o do malwa& re# interrup/0o do flu$o de e$ecu/0o de instru/Aes# carrega de bibliotecas# monitora& mento de chamadas 8hooking, deto"rs 9# an-lise de c6digo shell. Ferramentas* 3D% $ro a partir da vers0o >. inclui componentes para an-lise de c6digo para Android$ %ndroid #D? 7ools ? apresenta um ambiente completo para an-lise de malware# incluindo ferramentas como Dal,ik Deb"g Monitor Ser,er 8DDMS9# Monkey )m"lator, Pro "ard, Systrace, SHlite<, -race,iew, Iipalign, para an-lise de comporta& mento do malware. Deurus ? proGecto Open So"rce desenvolvido em +clipse para desmontagem de aplica/Aes. %ndroid %udit 7ools ? ferramenta Open So"rce para an-lise din.mica de aplica/Aes Android$ %ndrubis ? ferramenta para an-lise de ap)# produz relat6rios tanto para an-lise est-tica como din.mica.
;7=
5s par.metros da an-lise considerados foram* tipo de t,cnica utilizada# procedimento de e$ecu/0o da t,cnica# quantidade de e$perimentos e$ecutados# quantidade de ele& mentos analisados# quantidade de elementos n0o identificados# tipo de elemento anali& sado# efici1ncia na redu/0o da amea/a e camada obGetivo da an-lise.
= %esultados
+m fun/0o das vari-veis e par.metros selecionados foram analisadas as seguintes rela& /Aes* tipo de t,cnica utilizada & efici1ncia obtida# tipo de algoritmo utilizado & efici1ncia obtida# e camada obGeto do estudo & efici1ncia obtida.
=76
A ;ig"ra&# apresenta uma compara/0o entre as t,cnicas utilizadas em <!E# !F# !># !:=# alcan/ando as seguintes porcentagens de efici1ncia* engenharia reversa 9>;# e an-lise de strings 9!#2:;# an-lise por antiv3rus 8ser,i0o remoto de anJlise9 ?>#92;.
100,0= 39,0= 30,0= 29,0= 20,0= Efi,i<n,ia ;ig"ra &. -Kcnicas )stJticas - )ficiLncia alcan0ada La ;ig"ra<# mostra&se a compara/0o das t,cnicas utilizadas em <!?# !9# E0# E # E2# E!# EE# EF# E># E:# E?# E9# F0# F # F2# F!# FE# FF# F># F:# F?# F9# >0# > =# alcan/ando as seguintes porcentagens de efici1ncia* autom-ticas 9F;# h3bridas ?>. 9;# e manuais >>;.
Engenharia .e*ersa #n>'ise de Strings #n>'ise por anti*(rus
10
100,0= 39,0= 30,0= 29,0= 20,0= Efi,i<n,ia ;ig"ra <. -Kcnicas DinMmicas - )ficiLncia alcan0ada
Instrumentao ?epurao e ?esmontagem
A efici1ncia das t,cnicas mistas 8est-ticas N din.micas9 encontradas em <2 # >2# >!# >E# >F# >># >:# >?= , apresentada na ;ig"ra*# onde se obteve o seguinte resultado* +nge& nharia Teversa N 4esmontagem N 4ecompila/0o 9?.> ;# +ngenharia Teversa N 'nstru& menta/0o 9>;# An-lise de Otrings N 4esmontagem N 4ecompila/0o 90;# An-lise de Otrings N 'nstrumenta/0o ?:#F; e An-lise Strings N An-lise em (-quinas Rirtuais N 'nstrumenta/0o ?0;.
100,00= 39,00= 30,00= 29,00= 20,00= 59,00= 50,00= Efi,i<n,ia ;ig"ra *. -Kcnicas Mistas - )ficiLncia alcan0ada 5nde* +T C +ngenharia Teversa# ' C 'nstrumenta/0o# AO C An-lise de Otrings# 44 C 4esmontagem e 4ecompila/0o e AR( C An-lise em (-quinas Rirtuais.
E.8?? E.8I #S8?? #S8I #S8#&M8I
=7.
5 resultado correspondente @ efici1ncia das t,cnicas em fun/0o dos e$perimentos efe& tuados sobre as camadas de Android foi o seguinte* Middleware N Nernel 9!#E?;# Aplica& /0o N ;ramework N Middlework 9 .?2;# todas as camadas 9 .>:;# Middleware 90.9 ;# ;ramework N Middleware 90;# kernel ??.>;# ;ramework ?:.9 ; e Aplica/Aes ?E.F?;.
11
;ig"ra +. /amada de est"do - )ficiLncia alcan0ada 5nde* A C Aplica/0o# F C ;ramework# ( C Middleware# X C Nernel e T C Todas as ca& madas.
? ConclusEes
As t,cnicas de aprendizado de m-quina utilizadas nos e$perimentos estudados# re& querem um maior n3vel de precis0o nas predi/Aes dos dados# devem ser capazes de trabalhar com grandes quantidades de informa/0o e ser de f-cil implementa/0o# al,m de gastar o m3nimo de recursos computacionais. 5s sofisticados tipos de c6digos maliciosos que e$istem hoGe em dia aproveitam o paradigma do Jtudo ou nadaY# ou seGa# para que um aplicativo possa ser instalado# o usu-rio tem que autorizar as permissAes no sistema operacional. 4epois da instala/0o# os efeitos do malware tornam&se imprevis3veis# o c6digo malicioso ter- acesso aos da& dos privados e a oportunidade de realizar uma escada de privil,gios no sistema opera& cional para alcan/ar o controle total do dispositivo. 5 verdadeiro desafio para os antiv3rus se apresenta quando um dispositivo n0o tem acesso @ 'nternet para atualizar sua heur3stica# pelo que , preciso desenvolver solu/Aes que atuem de maneira local e seGam autossuficientes para conter a amea/a e adminis& trar o risco de cont-gio. 4os resultados obtidos# , poss3vel dimensionar que os trabalhos futuros de pesquisa deveriam estar focalizados nas camadas intermedi-ria 'Middleware( e na camada do nKcleo 8kernel9 e na configura/0o de t,cnicas est-ticas e din.micas superpostas com as quais se alcance uma maior porcentagem de efici1ncia 8[9>;9.
12
@ %e<erCncias
< = %TAVA# AD 45 LAOB'(+LT5# +D T54T'VQ+O# WD T5OA# T. 'ntrodu/0o @ Oe& guran/a de 4ispositivos (6veis (odernos C Qm Baso de Android. +m* O'(& "5O'5 %TAO'W+T5 +( O+VQTAL\A 4A 'LF5T(A\]5 + 4+ O'OT+(AO B5("QTAB'5LA'O. Buritiba# 20 2# p. F2& 00. B5B5TAO# A. The #uture o# mobile . 4ispon3vel em* ^http*MMwww.busines& sinsider.comMthe&future&of&mobile&dec)&20 2&!_&F[. Acesso em* 0F ago. 20 !. S+'O+T# (. The Bomputer for the 2 st century. Ocientific American# v. 2>F# n. !# p. 9E& 0E# 99 . X+"IATT# U.D BI+OO# 4. The vision of autonomic computing. Bomputer# v. !># n. # p. E &F0# 200!. OAT`ALATA`ALAL# (. (obile Bomputing* the ne$t decade. AB( O'V(5& %'W+ (obile Bomputing and Bommunications Teview# v. F# n. 2# p. 2& 0# 20 . LFB&F5TQ(. The Keys to Truly ! teroperable Commu icatio s . 4ispon3vel em* ^http*MMwww.nfc&forum.orgMresourcesMwhiteapapersM[. Acesso em* 0F ago. 20 !. '4B. A droid a d i$% Combi e #or &'.() o# All %martpho e $perative %ystem %hipme ts i the *irst +uarter ,hile ,i dows Pho e -eap#rogs .lac/.erry. 4ispon3vel em* ^http*MMwww.idc.comMgetdoc.Gspb container'dcprQO2E 0?9 ![. Acesso em* 02 ago. 20 !. V55VW+ 'LB. Categorias de Aplicativos em 0oogle Play. 4ispon3vel em* ^https*MMplay.google.comMstoreMappsMdetailsbidccom.idintel.categorias.free[. Acesso em* 02 ago. 20 !. VATTL+T. 0art er %ay ,orldwidw %ales o# 1obile Pho e 2ecli ed '.( perce t i %eco d +uarter o# '34' . 4ispon3vel em* ^ https*MMwww.gartner.comMnewsroomMidM2 200 Fbbrandc [. Acesso em 02 Agosto 20 !. F&O+BQT+. *-%ecure A ti-5irus '34(. 4ispon3vel em* ^http*MMwww.f&secure.& comMenMcMdocumentalibraryMgetafilebuuidccE?f009c&ea2d&E9bF&9F:d& 0! !bd?!>f:!dgroup'dc20?9![. Acesso em* 0> ago. 20 !. OIAT'F# (.'. et al. 'mpeding (alware Analysis Qsing Bonditional Bode 5b& fuscation. +m* L4OO. 200?. UQL'"+T L+TS5TXO. 6u iper Networ/s Third A ual 1obile Threats Report. 4ispon3vel em* ^http*MMwww.Guniper.netMusMenMlocalMpdfMadditional& resourcesMGnpr&20 2&mobile&threats&report.pdf[. Acesso em* 0> ago. 20 !. F&O+BQT+ WA%O. 1obile Threat Report 7 6a uary-1arch '34( . 4ispon3vel em* ^http*MMwww.f& secure.comMstaticMdocMlabsaglobalMTesearchM(obileaThreataTeportae a20 ! .pdf[. Acesso em* 02 ago. 20 !. O`(ALT+B. 8 dergrou d 9co omy %ervers 7 0oods a d %ervices Available #or %ale. 4ispon3vel em* ^http*MMwww.symantec.comMesMesMthreatreportMto& pic.Gspbidcfraudaactivityatrendsdaidcundergroundaeconomyaservers[.
<:=
<?=
<9=
< 0=
<
< 2=
< !=
< E=
13
< F=
FAWW(ALL# IannoD S5L4TAB+X# VilbertD "WATf+T# Bhristian. Bovertly probing underground economy mar)etplaces. 'n* 4+T+BT'5L 5F 'LTTQO'& 5LO AL4 (AWSAT+# AL4 RQWL+TA%'W'T` AOO+OO(+LT. Opringer %er& lin Ieidelberg# 20 0. p. 0 & 0. F+WT. A Ourvey of (obile (alware in the Sild. "T5B++4'LVO 5F TI+ OT AB( S5TXOI5" 5L O+BQT'T` AL4 "T'RAB` 'L O(ATT"I5L+O AL4 (5%'W+ 4+R'B+O# pp. !& E# 20 . (5%BW'g. 1o thly value o# a app user . 4ispon3vel em* ^http*MMblog.mob& cli$.comMinde$M"4FMGanuaryainfographic.pdf[. Acesso em* 0? ago. 20 !. V55VW+ 'LB. ,hat is A droid. 2ispo vel em* ^http*MMdeveloper.android.& comMguideMbasicsMwhat&is&android.html[. Acesso em* 0? ago. 20 !. VATV+LTA# (ar)o. -ear i g A droid. 5hTeilly (edia# 'nc.# 20 . OALO 'nstitute 'nfoOec Teading Toom# Reverse 9 gi eeri g $# 1alware $ A droid. 4ispon3vel em* ^http*MMwww.google.com.brMurlb sactdrctcGdqcdesrccsdsourcecwebdcdc dvedc0BBEeFGAAdurlchttp;!A ;2F;2Fwww.sans.org;2Freading&room;2Fwhitepapers;2Fpda;2Frever& se&engineering&malware&androida!!:>9deicER(GQp5zW& qiseTRE'V'4edusgcAFeGBLFhvngVg? wfLgv4Sv"2E"Tm X& Xedsig2cUtp?e>en'TEeiSvfmy?h4edbvmcbv.F E9F!9?#d.cSc[. Acesso em* ? ago. 20 !. +LBX# S. et al. Taint4roid* An 'nformation&Flow Trac)ing Oystem for Tealti& me "rivacy (onitoring on Omartphones. +m* 5O4'. 20 0. p. 2FF&2:0. V55VW+ 'LB. Co trato de servios ao 2ese volvedor . 4ispon3vel em* ^https*MMplay.google.comMaboutMdeveloper&distribution&agreement.html[. Acesso em* 0F ago. 20 !. W55X5QT. 1obile Threat Report '344. 4ispon3vel em* ^https*MMwww.lo& o)out.comMresourcesMreportsMmobile&threat&report[. Acesso em* 0: ago. 20 !. O'X5TOX'# (.D I5L'V# A.D WASW+T# O. "ractical (alware Analysis* The Iands&5n Vuide to 4issecting (alicious Ooftware. Lo Otarch "ress# 20 2. 4QLIA(# X+L. 1obile 1alware Attac/s a d 2e#e se . Oyngress# 200?. ".:E +LBX# S. 4efending users against smartphone apps* Techniques and future directions. +m* 'LF5T(AT'5L O`OT+(O O+BQT'T`. Opringer %erlin Ieidel& berg# 20 . p. E9&:0. %lue%o$ Wabs. *ree A droid malware a alysis tool 4ispon3vel em* ^http*MMwww.net&security.orgMsecworld.phpbidc E>0F[.
< >=
<2 = <22=
<2:=
<2?=
Oecurity 4ar) Teading. New *ree Tools %impli#y A alysis o# A droid 1alware. ^http*MMwww.dar)reading.comMmobileMnew&free&tools&simplify&a& nalysis&of&andrM2! >00F9:[. O+BF+LB+ WA%. Per#ormi g A droid malware a alysis . 4ispon3vel em* ^http*MMblog.secfence.comM20 !M0?Mperforming&android&malware&analysisM[. OI+TT` 4. 2emysti#yi g the A droid 1alware . 4ispon3vel em* ^http*MMse& curity$ploded.comMdemystifying&android&malware.php[. Acesso em* 29 ago.
<29= <!0=
1:
20 !. <! = f+WTO+T W. : Articles #or -ear i g A droid 1obile 1alware A alysis . 4is& pon3vel em* ^http*MMcomputer&forensics.sans.orgMblogM20 M0>M09Mandroid& mobile&malware&analysis&article[. Acesso em* 20 ago. 20 !. LAT'5LAW O+BQT'T` AW+TT 'TAW'A. 4e$ter C A tool #or mobile malware a alysis. 4ispon3vel em* ^http*MMwww.nsai.itM20 !M0!M ?Mde$ter&a&tool&for& mobile&malware&analysis&bluebo$&labsM[ Acesso em* 2? ago. 20 !. "TTS+%. .luebo; -abs Releases A droid 1alware A alysis Tool . 4ispon3& vel em* ^http*MMwww.prweb.comMreleasesM20 !M!Mprweb 0F20:!!.htm[. Acesso em* 2? ago. 20 !. +LBX# S. J5n lightweight mobile phone application certification#Y "T5B++& 4'LVO 5F TI+ >TI AB( B5LF+T+LB+ 5L B5("QT+T AL4 B5((Q& L'BAT'5LO O+BQT'T`# pp. 2!F&&2EF# 2009. OBI('4T# JOtatic analysis of e$ecutables for collaborative malware detection on android#Y em B5((QL'BAT'5LO# 2009. 'BBh09. '+++ 'LT+TLAT'5LAW B5LF+T+LB+ 5L# 2009. OIA%TA'# JAutomated static code analysis for classifying android applications using machine learning#Y em B5("QTAT'5LAW 'LT+WW'V+LB+ AL4 O+& BQT'T` 8B'O9# 20 0 'LT+TLAT'5LAW B5LF+T+LB+ 5L# 20 0 `'(# J4etecting mobile malware threats to homeland security through static analysis#Y Uournal of Letwor) and Bomputer Applications# 20 !. %ATT+TA# JA (ethodology for +mpirical Analysis of "ermission&%ased Oecu& rity (odels and its Application to Android#Y "roceedings of the :th AB( con& ference on Bomputer and communications security# pp. :!&?E# 20 0. OIA%TA'# J'ntrusion detection for mobile devices using the )nowledge&based# temporal abstraction method#Y Uournal of Oystems and Ooftware# vol. ?!# pp. F2E& F!:# 20 0. I5TL`ABX# JThese arenht the droids youhre loo)ing for* retrofitting android to protect data from imperious applications#Y "T5B++4'LVO 5F TI+ ?TI AB( B5LF+T+LB+ 5L B5("QT+T AL4 B5((QL'BAT'5LO O+BQ& T'T`# pp. >!9&>F2# 20 . F+WT# JA Ourvey of (obile (alware in the Sild#Y "roceedings of the st AB( wor)shop on Oecurity and privacy in smartphones and mobile devices# pp. !& E# 20 .
<!2=
<!!=
<!E=
<!F=
<!>=
<!:= <!?=
<!9=
<E0=
<E =
<E2=
BI'L# JAnalyzing inter&application communication in Android#Y "T5B++& 4'LVO 5F TI+ 9TI 'LT+TLAT'5LAW B5LF+T+LB+ 5L (5%'W+ O`O& T+(O# A""W'BAT'5LO# AL4 O+TR'B+O# pp. 2!9&2F2# 20 . %QTVQ+TA# JBrowdroid* behavior&based malware detection system for an& droid#Y "T5B++4'LVO 5F TI+ OT AB( S5TXOI5" 5L O+BQT'T` AL4 "T'RAB` 'L O(ATT"I5L+O AL4 (5%'W+ 4+R'B+O# pp. F&2># 20 . 4' B+T%5# J4etection of malicious applications on android os#Y Bomputatio& nal Forensics# ni Opringer# pp. !?& E9# 20 . 'O5IATA# JXernel&based %ehavior Analysis for Android (alware 4etection#Y
<E!=
<EE= <EF=
19
em B5("QTAT'5LAW 'LT+WW'V+LB+ AL4 O+BQT'T` 8B'O9# 20 TI 'LT+TLAT'5LAW B5LF+T+LB+ 5L# 20 . <E>= <E:=
O+R+L&
F+WT# J"ermission Te&4elegation* Attac)s and 4efenses#Y em QO+L'g O+BQ& T'T` O`("5O'Q(# 20 . %QV'+W# J"ractical and lightweight domain isolation on android#Y em "T5& B++4'LVO 5F TI+ OT AB( S5TXOI5" 5L O+BQT'T` AL4 "T'RAB` 'L O(ATT"I5L+O AL4 (5%'W+ 4+R'B+O# 20 . %QV'+W# Jgmandroid* A new android evolution to mitigate privilege escalati& on attac)s#Y Technische Qniversit at 4armstadt# Technical Teport TT&20 &0E# 20 . TALV# JBlean5O* Wimiting mobile data e$posure with idle eviction#Y "T5B++& 4'LVO 5F TI+ QO+L'g B5LF+T+LB+ 5L 5"+TAT'LV O`OT+(O 4+O'VL AL4 '("W+(+LTAT'5L# 20 2. fI5Q# J4issecting Android (alware* Bharacterization and +volution#Y O+& BQT'T` AL4 "T'RAB` 8O"9# 20 2 '+++ O`("5O'Q( 5L# pp. 9F& 09# 20 2. fI5Q# JIey# `ou# Vet 5ff of (y (ar)et* 4etecting (alicious Apps in 5fficial and Alternative Android (ar)ets#Y "T5B++4'LVO 5F TI+ 9TI ALLQAW L+TS5TX AL4 4'OTT'%QT+4 O`OT+( O+BQT'T` O`("5O'Q(# 20 2. IALLA# JUu$tapp* a scalable system for detecting code reuse among android applications#Y 4etection of 'ntrusions and (alware# and Rulnerability Assess& ment# pp. >2&? # 20 !. "ATX# JTV%4roid* a novel response&based approach to android privilege esca& lation attac)s#Y "roc. of the Fth QO+L'g conference on Warge&Ocale +$ploits and +mergent Threats 8W++TZ 29# 20 2. +LBX# JTaint4roid* An 'nformation&Flow Trac)ing Oystem for Tealtime "ri& vacy (onitoring on Omartphones#Y 5O4'# pp. 2FF&2:0# 20 0. "+LV# JTesearch on Android (alware 4etection and 'nterception %ased on %ehavior (onitoring#Y Suhan Qniversity Uournal of Latural Ociences# pp. E2 & E2:# 20 2. A"RT'WW+# JTeducing the Sindow of 5pportunity for Android (alware Vot& ta catchZem all#Y Uournal in Bomputer Rirology# pp. > &: # 20 2. "+LV# JQsing probabilistic generative models for ran)ing ris)s of android apps#Y "roceedings of the 20 2 AB( conference on Bomputer and communica& tions security# pp. 2E &2F2# 20 2.
<E?=
<E9=
<F0= <F =
<F2=
<F!=
<FE= <FF=
<F>= <F:=
<F?=
fI+LV# JAdam* An automatic and e$tensible platform to stress test android anti&virus systems#Y 4etection of 'ntrusions and (alware# and Rulnerability Assessment# pp. ?2& 0 . TAOT5V'# JApps"layground* automatic security analysis of smartphone appli& cations#Y "T5B++4'LVO 5F TI+ TI'T4 AB( B5LF+T+LB+ 5L 4ATA AL4 A""W'BAT'5L O+BQT'T` AL4 "T'RAB`# pp. 209&220# 20 !. 4+((+# J5n the feasibility of online malware detection with performance counters#Y "T5B++4'LVO 5F TI+ E0TI ALLQAW 'LT+TLAT'5LAW O`(& "5O'Q( 5L B5("QT+T ATBI'T+BTQT+# pp. FF9&F:0# 20 !.
<F9=
<>0=
1;
FT'Tf# JIighly "recise Taint Analysis for Android Application#Y 20 !. OIA%TA'# JVoogle Android* A Otate&of&the&Art Teview of Oecurity (echa& nisms#Y argiv preprint argiv*09 2.F 0 # 2009. OBI('4T# J(onitoring Omartphones for Anomaly 4etection#Y (obile Letwor)s and Applications# pp. 92& 0># 2009. %WAO'LV# JAn Android Application Oandbo$ Oystem for Ouspicious Ooftware 4etection#Y (AW'B'5QO AL4 QLSALT+4 O5FTSAT+ 8(AWSAT+9# 20 0 FTI 'LT+TLAT'5LAW B5LF+T+LB+ on# pp. FF&>2# 20 0 OIA%TA'# JVoogle android* A comprehensive Oecurity jd "rivacy# '+++# pp. !F&EE# 20 0. security assessment#Y
<>F= <>>=
LATATAU# JA Bomparative Assessment of (alware Blassification using %i& nary Te$ture Analysis and 4ynamic Analysis#Y "T5B++4'LVO 5F TI+ ETI AB( S5TXOI5" 5L O+BQT'T` AL4 ATT'F'B'AW 'LT+WW'V+LB+# pp. 2 &!0# 20 . OIAIfA4# JA Iybrid Framewor) for (alware 4etection on Omartphones using +WF Otructural jd "B% Tuntime Traces#Y 20 2 BIAXTA4+5# J(AOT* triage for mar)et&scale mobile malware analysis#Y "ro& ceedings of the si$th AB( conference on Oecurity and privacy in wireless and mobile networ)s# pp. !&2E# 20 !.
<>:= <>?=
15
*errame tas para a <lise est<tica Nome Androguard Andrubis APK Inspector Apktool Android Audit Tools Android SDK Tools ARE Toolkit A$mlprinter 4e$2Uar 4e$dump Deurus DroidBox IDA Pro U4&VQ' JuliaAnalyzer i!e "orensics (4F4eep #obile Sandbox $SA" S!ali%BackS!ali Tand4roid 2ispo vel em= Ohttp.PPcode$google$comPpPandrog"ardPQ Ohttp.PPan"bis$iseclab$orgPQ Ohttps.PPgith"b$comPhoneynetPapkinspectorPQ Ohttps.PPcode$google$comPpPandroid-apktoolPQ Ohttps.PPgith"b$comPw"nteePandroidA"dit-oolsQ$ Ohttp.PPde,eloper$android$comPsdkPinde6$htmlQ$ Ohttp.PPredmine$honeynet$orgPpro2ectsParePwikiQ Ohttps.PPcode$google$comPpPandroid*mePdownloadsPlistQ$ Ohttp.PPcode$google$comPpPde6&2arP Ohttp.PPcode$google$comPpPde6-decomplierPQ$ Ohttp.PPcrackmes$deP"sersPde"r"sPandroidRcrackme:<PQ Ohttp.PPcode$google$comPpPdroidbo6PQ Ohttp.PPwww$he6-rays$comPprod"ctsPidaPG$#Pinde6$shtmlQ Ohttp.PP2a,a$decompiler$free$frPSHT2dg"iQ$ Ohttp.PPwww$2"liasoft$comPtry$htmlQ Ohttp.PPcode$google$comPpPlime-forensicsPQ Ohttp.PPmd+deep$so"rceforge$netPUdownloadQ$ Ohttp.PPwww$mobile-sandbo6$com Q Owww$osaf-comm"nity$orgQ Ohttp.PPcode$google$comPpPsmaliPQ Ohttp.PPappanalysis$orgPQ$
12
*errame tas para a <lise est<tica Nome Android Audit Tools Android SDK Tools Andrubis DroidBox Deurus IDA Pro 2ispo vel em= Ohttps.PPgith"b$comPw"nteePandroidA"dit-oolsQ Ohttp.PPde,eloper$android$comPsdkPinde6$htmlQ Ohttp.PPan"bis$iseclab$orgPQ Ohttp.PPcode$google$comPpPdroidbo6PQ Ohttp.PPcrackmes$deP"sersPde"r"sPandroidRcrackme:<PQ Ohttp.PPwww$he6-rays$comPprod"ctsPidaPG$#Pinde6$shtmlQ
13