IME

ISSN Monografias em Sistemas e Computao n /2013

Estudo comparativo de tcnicas e mtodos para anlise de malware para Android

Andrs Fernando Velastegu Carrera Claudio Gomes de Mello Anderson Fernandes Pereira dos Santos

Seo de Engenharia de Computao

I S!I!"!# MI$I!A% &E E GE 'A%IA P%A(A GE E%A$ !I)*%CI# +, - CEP .../,0.1, %I# &E 2A EI%# - )%ASI$

Monografias em Sistemas e Computao, No. /2013 Editor! "rof. #nderson $ernandes "ereira dos Santos

ISSN!

Estudo comparativo de tcnicas e mtodos para anlise de malware para Android

#ndr%s $ernando &e'astegu( Carrera 1, C'audio )omes de Me''o2, #nderson $ernandes "ereira dos Santos 3
af*e'astegui+gmai'.,om, anderson+ime.e-.-r, ,gme''o+gmai'.,om Abstract. This paper presents a comparative study of static and dynamic techniques for analyzing malware on the Android platform. For study were chosen most relevant papers between 2009 and 20 !. "arameters selected were type of technique used# the number of e$periments performed# number of items scanned# number of elements identified# analyzed element type and efficiency for reducing of the threat. %efore to studying we made the classification of analysis techniques with their respective cha& racteristics# advantages# disadvantages and implementation tools. 'n results# reverse engineering represented the most efficient method for static analysis and the instru& mentation method was the most efficient for dynamic analysis. The analyzes in the (iddleware layer and )ernel layer achieved the most efficiency in static and dynamic analysis. Keywords* techniques# analysis# malware# android# efficient Resumo. +ste artigo apresenta um estudo comparativo das t,cnicas est-ticas e din.mi& cas utilizadas para an-lise de malware na plataforma Android. "ara o estudo foram es& colhidos os trabalhos mais relevantes entre 2009 e 20 !# e selecionados como par.me& tros de compara/0o* tipo de t,cnica utilizada# quantidade de e$perimentos e$ecutados# quantidade de elementos analisados# quantidade de elementos n0o identificados# tipo de elemento analisado# efici1ncia na redu/0o da amea/a. 2 realizada uma abordagem de classifica/0o das t,cnicas de an-lise com suas respectivas caracter3sticas# vantagens# desvantagens# e ferramentas para implementa/0o. 4os resultados obtidos# engenharia reversa representou o m,todo mais efici1nte para an-lise est-tica# e a instrumenta/0o para an-lise din.mica. 5 estudo das camadas de Middleware e kernel mostraram uma maior efici1ncia na an-lise est-tica e din.mica. Palavras-chave* t,cnicas# an-lise# malware# android# efici1ncia.

ii

%esponsvel pela pu3lica45o* .i,ardo Choren IME / Seo de Engenharia de Computao "raa )enera' 0i-1r,io 20, "raia &erme'ha 222304250, .io de 6aneiro/.6, 7rasi' 0e'. 899 21 29:;45030 E4mai'! ,horen+ime.e-.-r

ii

6 Introdu45o
5s dispositivos m6veis constituem um dos marcos mais importantes depois da cria/0o do computador pessoal. Aparelhos tais como smartphones# PDA7s 8personal digital assistant9 e celulares# tem provido a fle$ibilidade que os usu-rios precisam para realizar suas atividades di-rias. +sses dispositivos atualmente representam !:; dos usu-rios no mundo < = e segundo a tend1ncia estimada para o 20 > alcan/ar0o ?0; <2=. +ste crescimento e$ponencial responde @s inova/Aes apresentadas em diferentes -reas da Tecnologia da 'nforma/0o e Bomunica/0o 8T'B9# dentre as quais destacam&se* Computao ubqua C que integra a inform-tica com as a/Aes e comportamentos cotidianos das pessoas <!=D Computao autnoma C na qual os sistemas de informa/0o podem auto gerenciar seus pr6prios recursos para atender novos requisitos# prescindindo da intera/0o humana <E=D Computao sensvel ao contexto C que tem por finalidade a troca de informa/0o atrav,s da intercone$0o de sensores <F=D Redes de comunicao sem fio de curto alcance C permitem a troca autom-tica de informa/0o entre dispositivos compat3veis que esteGam pr6$imos# sem necessida& de de configura/Aes adicionais <>=D e Eficincia energtica C que procura a otimiza/0o das fontes de energia <F=D

Todas estas tecnologias convergem em um sistema operacional capaz de inter&rela& cionar os componentes f3sicos 8hardware9# com os servi/os e aplica/Aes presentes no dis& positivo 8software9. Administra/0o de recursos tais como* processamento# armazena& mento de dados e o controle de perif,ricos de entrada e sa3da# dependem diretamente do sistema operacional. "ortanto a import.ncia deste componente tem por obGetivo ga& rantir o correto funcionamento de qualquer dispositivo eletrHnico inteligente. +$istem alguns sistemas operacionais proGetados para dispositivos m6veis# entre os mais importantes citam&se* Android, iOS, Windows Phone, BlackBerryOS e Symbian. IoGe em dia# o sistema operacional Android, pertencente @ oogle !nc.# constitui E . ; do mercado global de dispositivos m6veis <:=. 5 sucesso desta plataforma tecnol6gica se deve @ variedade de produtos dispon3veis nas loGas virtuais e aos downloads gratuitos dos aplicativos. +ntre as categorias que o oogle proporciona no seu s3tio Web# encon& tram&se* comunica/Aes# finan/as# medicina# m3dia e v3deos# produtividade# social# fer& ramentas# viagens# bibliotecas e Gogos <?=. 5 volume em vendas 8>E. ;9 alcan/ado pelo Android em 20 2 <9=# representa para os ciber&criminosos uma maior oportunidade de e$ecutar delitos inform-ticos. Al,m disso# a natureza Open So"rce# do Android e a dificuldade de monitorar ataques realiza& dos desde plataformas m6veis# t1m tornado este sistema operacional alvo priorit-rio dos mais variados tipos de ataques de c6digo malicioso ou malware$

Open So"rce C ou c6digo aberto# , um termo usado para se referir a c6digo fonte leg3vel# de livre mo & difica/0o e distribui/0o.

676

Evolu45o do malware para Android

A palavra malware tem origem no termo ingl1s Jmalicio"s software%, e representa um conGunto de tipos de c6digos maliciosos destinados a e$ecutar delitos inform-ticos me& diante a/Aes tais como* controlar navegadores Web# redirecionar buscas# mostrar anKn& cios indeseGados# rastrear s3tios Web# roubar informa/Aes pessoais# usar um dispositivo m6vel para enviar SPAM& ou realizar ataques a outros dispositivos < 0=. 'nicialmente# o malware foi desenvolvido para computadores pessoais! e depois aperfei/oado para tecnologias m6veis. 5 uso de sofisticadas t,cnicas baseadas em con& ceitos de encripta/0o# polimorfismo e ofusca/0o# proveram ao malware caracter3sticas comple$as para evadir os controles de antiv3rus ou ferramentas de an-lise de malware < =. +ntre 200F e 2009# n0o houve um desenvolvimento consider-vel de malware para dispositivos m6veis. +m 20 0# a Android foi alvo de 0.F; dos ataques de c6digo malici& oso# enquanto no 20 # eles aumentaram para E>.:; < 2=. Lo primeiro trimestre de 20 !# o Android foi respons-vel por 92; de ataques de malware conhecidos < 2# !=. 5 r-pido crescimento do malware deu origem a mercados proibidos de produtos e servi/os na Web, atualmente em s3tios como* blackhatpalace$com # for"m$rorta$net# www$carders$cc# www$hack-info$r"# www$clicks$ws, www$hots"rfs$com, www$talk-hyip$com# www$wifi-for"m$com# se oferecem servi/os 'nega/0o de servi/os, botnets, spam, banco de cartAes de cr,dito(, foros e ferramentas com seus respectivos custos# para desenvolver c6digo malicioso ou realizar ataques < E# F=. +ntre as motiva/Aes para criar malware# destacam&se as seguintes < >=* Demonstrar a vulnerabilidade do sistema operacional C isto inclui simples altera/Aes na configura/0o do dispositivo m6vel# tais como* tela de fundo# idioma# data e hora# regi0o# etc.D ender a informao do usu!rio C o malware utiliza as bibliotecas disponibilizadas pelo sistema operacional# para roubar informa/0o do usu-rio. 4ados como* lista de contatos# hist6rico do navegador Web# lista de aplica/Aes instaladas# e !M)!* s0o coletados e vendidos com fins financeiros. "or e$emplo um !M)!# pode ser utilizado para clonar a identidade de um dispositivo m6vel e habilitar outro que tenha sido reportado como roubado. Roubo de credenciais do usu!rio C as credenciais de acesso a contas bancarias# e& mail# senhas# armazenados em* navegadores Web# mensagens de te$to 8 SMS+9# mensagem instant.nea# e arquivos de te$to# s0o suscept3veis aos mecanismos de intercepta/0o do malware$ C"amadas e mensagens premium C e$istem s3tios Web 8especialmente para adultos9# que recebem um porcentagem de dinheiro por cada SMS ou chamada que um cliente realiza para acess-&los. 5 malware realiza a subscri/0o do usu-rio a esse tipo de servi/os sem nenhuma autoriza/0o e envia mensagens de maneira oculta.

2 SPAM C termo usado para referir&se a uma grande quantidade de e&mails n0o solicitados# que nor& malmente tem fins publicit-rios. ! +m 200E# Babir foi o primeiro v3rus de computador identificado como malware para dispositivos m6veis. +ste v3rus escrito em linguagem BMBNN foi e$ecutado como uma prova de conceito e teve como principal obGetivo propagar&se utilizando a rede %luetooth. E 'dentifica/0o 'nternacional de +quipamento (6vel 8!M)!9. F Short Messages Ser,ice ou Oervi/o de (ensagens Burtas

Envio de #$%& por #&# C dado que o SPAM , proibido em alguns pa3ses# o malware pode e$ecutar dos tipos de a/Aes* a9 utilizar remotamente os dispositivos infectados para enviar SMS com SPAM a outros dispositivos# ocultando a proce& d1ncia das mensagensD ou b9 'ncluir publicidade dentro de aplica/Aes leg3timas 8por e$emplo# incluir publicidade dentro de aplica/Aes leg3timas pode ter um custo entre P .90 e P 9.F0 QO4 por usu-rio por m1s9 < := 'timi(ao de m!quinas de )usca *#E' +, C o malware# aproveita a 5timiza/0o de m-quinas de busca para enviar de maneira oculta informa/0o referente @ locali& za/0o# hist6rico do navegador e lista de buscas do usu-rio# para s3tios que pro& cessam essa informa/0o e oferecem servi/os como* estudos de mercado# an-lise de tr-fego# an-lise de tend1ncias e necessidades# entre outros.

At, hoGe foram descobertas !> novas fam3lias de malware para Android# das quais a maior porcentagem , para troianos 8> . ;9# riskware 8 F.E;9# e monitoring-tools 8 F.E;9 < !=. Qma classifica/0o do malware , apresentada em forma hier-rquica da maior para o menor n3vel de amea/a# conforme a -abela #$

-abela #. /lassifica01o do Malware

Nvel de Ameaa Alta Categoria 'nfecioso R3rus# worms Tipo

(,dia

Monitoring-tools, adware, hi2ackers, keylogger, stealer, dialer, ransomware, rog"e, 5bten/0o de dados e lucro scareware, fake, spyware, spam, la"ncher, downloader$ 4e encobrimento Backdoors# cavalos de Tr6ia# rootkits$ )6ploid, spooler, 7ombie 'botnet(, flooder 'e-mail, SMS, !M8(, hoa6, ,irtool, hacktool$

%ai$a

P3A4s5

67.

Contri3ui45o e organi8a45o do tra3al9o

A principal contribui/0o deste trabalho , realizar um estudo das t,cnicas e m,todos utilizados para a an-lise de malware sobre dispositivos com sistema operacional Android. 5s resultados servir0o para identificar as t,cnicas que tem alcan/ado a maior efici1ncia e focalizar nestas# os trabalhos futuros. +ste documento encontra&se organizado da seguinte forma* na se/0o 2 realiza&se uma introdu/0o @ arquitectura do sistema operacional AndroidD na se/0o !# s0o estuda& das as t,cnicas para an-lise de malware# m,to *dos e ferramentas utilizadasD na se/0o E# apresentam&se os resultados obtidosD na se/0o F as conclusAesD na se/0o > as refer1n& cias @s fontes de pesquisa e na se/0o :# as refer1ncias das ferramentas Open So"rce para an-lise de malware para Android$

> Search )ngine Optimi7ation 'S)O( C tecnologia que otimiza a busca na 'nternet em fun/0o da sua re& lev.ncia. : Potencially 3nwanted Application 8P3A9 C ou aplicativos que cont,m algum tipo risco para o usu-rio. ? !nstant Messaging '!M( C ou mensagem intant.nea.

. Ar:uitetura de Android
A Kltima vers0o do sistema operacional Android est- baseado na distribui/0o de 3b"nt" 9-S #:$:* '9in"6( e consta de um conGunto de camadas que interagem entre elas# para administra/0o e controle de recursos computacionais como* redes de comunica& /Aes 8Bl"etooth# )D )# Wi;i, < # * (, banco de dados 8S=9ite9# bibliotecas de aplica/Aes 8Application ;ramework9 e m-quina virtual 8Dal,ik9 presentes no dispositivo m6vel. +n& tre as principais caracter3sticas das camadas citam&se < ?# 9=* Camada de %plica-es C Lesta camada encontram&se aplica/Aes pr,&instaladas do sistema operacional 8calend-rio# O(O# mapas# navegador Seb# calculadora# livro de contatos# gravador de voz# c.mara de fotos# Play Store# rel6gio9 e aplica/Aes do fabricante 'Sams"ng Apps, 9ayar($ .rame/or0 de %plica-es C 4isponibiliza um conGunto de servi/os e bibliotecas para os desenvolvedores com o fim de prover o acesso @ AP!, e aos componen& tes* Ristas '>iews( ? usadas para construir obGetos tais como* cai$as de te$to# quadr3culas# botAes# etc. "rovedores de BonteKdo 8/ontent Pro,iders9 C mesmas s0o utilizadas para compartilhar informa/0o entre aplica/Aes. Administradores de Tecursos 8@eso"rce Manager 9 C respons-veis por forne& cer o acesso aos recursos como* gr-ficos e arquivos de configura/0o do dis& positivo. Administrador de notifica/Aes 'Aotification Manager9 C permite a configura& /0o das alertas personalizados que s0o e$ibidos na barra de estado. Administrador de atividades 8Acti,ity Manager9 C gerencia as pol3ticas de navega/0o e do ciclo de vida para cada aplica/0o.

)ibliotecas 1 o Android dispAe de um conGunto de bibliotecas de BMBNN# mesmas s0o usadas pelos componentes do sistema operacional# entre as quais destacam& se* %ibliotecas B C , uma implementa/0o derivada da biblioteca 8libc9 de %O4# e adaptada para 9in"6$ %ibliotecas de m3dia C estas bibliotecas suportam a grava/0o de -udio# v3& deo e imagens com diferentes formatos como* U"V# A(T# ("!# "LV# AAB# ("+VE e I.2>E. %ibliotecas gr-ficas 8OVW9 C dispAem do suporte para trabalhar com gr-ficos 24. %ibliotecas para banco de dados 8 S=9ite9 C provem a comunica/0o ao banco de dados relacional S=9ite$ Acesso ao sistema de e$ibi/0o 8 S"rface Manager9 C facilitam o uso de aplica& /Aes 24 e !4. Lavegador Seb 89ibWeb/ore9 C s0o bibliotecas utilizadas pelo navegador Web pr,&instalado na Android 8Webkit9.

%ndroid Runtime o Android disponibiliza em torno de 90 bibliotecas com funcio& nalidades compat3veis com a linguagem de programa/0o Uava. Bada aplica/0o Android , e$ecutada na sua pr6pria inst.ncia da (-quina Rirtual Dal,ik 84R(9# a qual controla os arquivos de formato .de$ que s0o e$ecutados# procurando oti& mizar o rendimento do dispositivo. 2inux 0ernel C +sta camada cont,m servi/os respons-veis da administra/0o dos processos# mem6ria# seguran/a# redes# endere/amento# que funcionam no siste& ma operacional Android$ 5 kernel tamb,m cria uma abstra/0o entre a pilha de Software e o Bardware$

.76

Componentes de uma aplica45o Android

"ara o desenvolvimento de aplica/Aes para Android , poss3vel utilizar a linguagem Uava ou BMBNN 8usando Android L4X9. "ara a estrutura de uma aplica/0o Android s0o utilizados os seguintes componentes* %tividades 1 interfaces visuais que respondem a eventos do usu-rio# podem retor& nar um valor ou endere/ar a outra atividade. 3ntents 1 s0o classes usadas para passar o controle de uma atividade para outra. Bonsistem em uma a/0o 8(A'L# R'+S# "'BX# +4'T# etc9 e uma QT' que aponta ao dado sobre o qual ser- e$ecutada a/0o. 3ntent .ilters 1 ou descritores das rela/Aes entre intents e broadcast receiver com as atividades. +stes est0o definidos no arquivo AndroidManifest$6ml$ )rodcast Receiver C este componente sem interface de usu-rio# recebe e envia mensagens para iniciar uma atividade. #ervice C , um processo# que se e$ecuta em segundo plana durante um tempo in& determinado. Content $rovider C o provedor de conteKdo , um componente que permite com& partilhar dados entre as aplica/Aes ou e$ecutar opera/Aes no banco de dados ins& talado no dispositivo.

A aplica/0o necessita um arquivo de configura/0o 8 AndroidManifest$6ml9# no qual ser0o descritos estes componentes com suas respectivas classes de implementa/0o# tipos de dados# ordem de e$ecu/0o das atividades# permissAes e par.metros de instrumenta/0o. Lem toda aplica/0o precisa ter todos os tipos# mas ter0o alguma combina/0o destes. A comunica/0o entre eles , mostrada na ;ig"ra#$
Comunicao entre %tividades Comunicao entre uma actividade Consulta a um $rovedorde Conte4dos e um servio comea
comea " para " vi cula chamada

Recebendo comunica-es de 3ntents

leitura " escrita " co sulta

Oistema e vo do ! te t %roadcast Teceiver

Actividade

Actividade

Actividade

Oervi/o

Actividade

"rovedor de BonteKdos

Actividade Oervi/o

retor a

retor o da chamada

retor o de dados

;ig"ra #. /om"nica01o entre componentes de AndroidC&:D

; !cnicas de anlise de malware

5s computadores pessoais utilizam modelos de seguran/a perimetral centralizados# que s0o ideais para uma configura/0o de rede de -rea local < =. +sses modelos# que fo& ram modificados para os ambientes m6veis# apresentam vulnerabilidades nos limites estabelecidos por* firewalls, pro6ies e sistemas de detec/0o de intrusos. A capacidade de tablets e smartphones para se interconectar a redes sem fio# permeabilizaram as frontei& ras de controle e dificultaram o monitoramento dos aplicativos e servi/os que funcio& nam nestes aparelhos. As t,cnicas de an-lise de malware surgiram da necessidade de avaliar as amea/as# erradicar infe/Aes e fortalecer a defesa dos sistemas operacionais. Alguns dos antiv3rus conhecidos atualmente s0o produtos das mais sofisticadas t,cnicas de identifica/0o e monitoramento de malware$ +ntre os desafios propostos para as t,cnicas de an-lise de malware# destacam&se <2 =* 2imitada capacidade de recursos C processamento e armazenamento limitados# di& ficultam o uso de sistemas avan/ados para o controle e monitoramento da infor& ma/0oD 2ivre acesso a lo5as virtuais de terceiros C a loGa oficial da Android , a oogle Play mas# e$istem loGas n0o oficiais ou chamadas Jde terceirosY# que cont,m uma grande quantidade de aplicativos com c6digo maliciosoD Dificuldade para identificar informao C cont3nua troca de informa/0o dificulta a tarefa de identificar os tipos de dados enviados e recebidos no dispositivo. "or e$emplo# algumas aplica/Aes leg3timas requerem atualiza/Aes peri6dicas para seu correto funcionamento# mas o malware tamb,m precisa fazer o download de componentes para e$ecutar a escada de privil,gios. Escalonamento de privilgios das aplica-es C discriminar entre a/Aes autorizadas pelos usu-rios e as n0o autorizadas# e$ige do sistema operacional um maior es& for/o computacional e representa um dos grandes obGetivos das t,cnicas de an-li& se de malware.

Al,m destes desafios# as t,cnicas de an-lise de malware# tem outros adicionais na plataforma Android <22=* a9 avalia/0o dos produtos publicados no s3tio Web , atribu3da aos usu-rios finais# b9 o oogle n0o se compromete em monitorar os aplicativos ou seu conteKdo# c9 a retirada de um aplicativo , feita somente em caso de viola/0o de alguma regra estabelecida no contrato para desenvolvedores# d9 oogle# responsabiliza total& mente o desenvolvedor pelos danos que possam causar suas aplica/Aes. Tudo isto im& plica na possibilidade da presen/a de malware, tanto em loGas oficiais como n0o oficiais. As loGas virtuais de terceiros representam para o Android a principal origem das amea/as. Atualmente e$istem F00 loGas virtuais deste tipo# das quais a maior porcenta& gem encontra&se distribu3da na Bhina 8!E.>;9# TKssia 82>.E;9 e +stados Qnidos de Am,rica 8 F.2;9 < 2=. A quantidade de cont-gios nestes s3tios Web# responde @ necessi& dade dos usu-rios de descarregar aplica/Aes de maneira gratuita. 5 ciclo de cont-gio resume&se assim* 9 um desenvolvedor leg3timo cria um aplicati& vo e o carrega no oogle PlayD 29 um ciber&criminoso descarrega essa aplica/0o# altera o c6digo introduzindo malware e a empacota novamenteD !9 a aplica/0o maliciosa , car& regada novamente no oogle Play ou em uma loGa virtual de terceirosD E9 o usu-rio final descarrega a aplica/0o maliciosa# a mesma que ao ser instalada procura uma cone$0o com qualquer das redes sem fio dispon3veis# para enviar a informa/0o privada a servi&

dores remotos dos ciber&criminosos <2!=. Alguns s3tios s0o recomendados para encon& trar mostras deste tipo de c6digos maliciosos para an-lise < Ane6o A=.

;76

Classi<ica45o das tcnicas para anlise de malware para Android

Oegundo <2E=# as t,cnicas para analisar malware dividem&se em* est-ticas ou enge& nharia reversa# e din.micas ou an-lise comportamental. A an-lise est-tica , realizada sem a instala/0o ou e$ecu/0o do malware# consiste em realizar a desmontagem dos arquivos suspeitos# observar as instru/Aes do programa e descobrir a maior quantidade de informa/0o relacionada com a proced1ncia do malware e seu funcionamento. "ara empregar esta t,cnica , preciso ter conhecimentos de des& montagem# constru/0o de c6digo# sistemas operacionais# entre outros. Qma vantagem desta t,cnica , que torna&se mais segura para os ambientes de an-lise. +ntre as desvan& tagens# pode&se frisar que , mais lenta e comple$a de e$ecutar# e se torna vulner-vel a m,todos de ofusca/0o do malware$ A an-lise din.mica# usa um depurador 8deb"gger9 para avaliar o comportamento do malware em e$ecu/0o sobre ambientes controlados e permite o levantamento de infor& ma/Aes detalhadas do e$ecut-vel quando a comple$idade do c6digo malicioso n0o permite uma an-lise est-tica. +ste tipo de an-lise pode ser realizada mediante as t,cni& cas de instrumenta/0o# com a virtualiza/0o de um dispositivo para monitorar as dife& rentes camadas da arquitetura de AndroidE e depura/0o C desmontagem# na qual se co& locam ganchos ou Fhookings% para uma an-lise mais detalhada a n3vel do kernel$ +sta t,cnica apresenta como vantagens# uma maior facilidade para identificar o malware e a capacidade de analisar grandes quantidades de dados. As desvantagens consistem em e$por o equipamento e redes fechadas na an-lise ao risco que representa o malware em e$ecu/0o# e @ detec/0o do ambiente emulado por parte do malware$ A sele/0o da t,cnica adequada# corresponde a fatores como* obGetivo do an-lise# tempo dispon3vel# recursos computacionais# comple$idade e quantidade do malware ser analisado. Atualmente e$istem solu/Aes comerciais para an-lise de malware para Android em s3tios como* www$cellebrite$com, www$encase$com# www$o6ygen-forensic$com, www.viaforensics, entre outras que provem servi/os de an-lise via Web $

;7.

!cnicas Estticas

5s m,todos e ferramentas de uso livre CAne6o AD para realizar uma an-lise est-tica s0o descritas em* ;7.76 Anlise por antivrus 'dentifica/0o do malware por uso de assinaturas e heur3stica de cada antiv3rus 8padrAes de c6digo malicioso9. Ferramentas* #tios 6eb C >ir"stotal, Shopos, 9ooko"t, A> , McAfee# entre outros. 7aintDroid 1 servi/o de monitoramento em tempo real para an-lise de aplicati& vos. ;7.7. 'as9ing Criptogr<ico Vera/0o de um c6digo Knico para o malware com um valor Iash que facilita sua iden & tifica/0o na 'nternet.

Ferramentas* &d8deep ? cont,m ferramentas para gerar c6digos em MD+, SBA-#, SBA-&+G# -iger o" Whirpool$ %xmlprinter 1 cont,m ferramentas para gerar c6digos em MD+, SBA-#, SBA-&+G, -iger o" Whirpool $ Anlise de Strings

;7.7;

%usca de informa/0o Ktil como* QTWZs# mensagens de erros# copias do c6digo# chama& das a bibliotecas e fun/Aes. Ferramentas* 9D:;<3 ? "ossui um ambiente gr-fico para reconstruir c6digo fonte de Uava# pro& curando fun/Aes e vari-veis. Anlise de pacotes e c>digo o<uscado

;7.7=

4etermina/0o do tipo de compilador usado pelo malware. Ferramentas. Dex=9ar 1 converte arquivos com formato de$ para o formato de classes Uava. Dexdump 1 converte arquivos com formato de$ para o formato de classes Uava. 9ava %ndroid Decompiler *9%D, 1 decompilador de c6digo para v-rios sistemas operacionais. #mali>)ac0#mali 1 ferramenta para montagem e desmontagem de c6digo em for& mato de6$ Anlise com m:uinas virtuais so3re 9ost reais

;7.7?

Bonfigura/0o de um ambiente isolado de e$ecu/0o e restri/Aes de acesso @ 'nternet# para determinar o comportamento do malware. Ferramentas* &obile #andbox 1 fornece uma an-lise est-tica do malware com uma interface Web$ Engen9aria reversa

;7.7@

An-lise da mem6ria principal# de instru/Aes em c6digo Assembler e c6digo B# an-lise de registros# identifica/0o de estruturas# desmontagem de arrays$ Ferramentas* 3D% $ro ? a partir da vers0o >. dispAe de componentes para an-lise de c6digo para Android. %$? 3nspector ? ferramenta gr-fica para an-lise de aplica/Aes Android$ %ndroguard ? conGunto de ferramentas de engenharia reversa para Android$ %ndrubis ? ferramenta para an-lise de ap)# produz relat6rios tanto para an-lise est-tica como din.mica.

%p0tool ? decodifica e reconstr6i arquivos$ 9ulia%nal@(er ? encontra bugs de Uava em programas Android# dispAe de compo& nentes para revis0o sint-tica e sem.ntica do c6digo. #mali>)a0smali ? a partir da vers0o .!.0 cont,m componentes para an-lise de aplica/Aes Android$ 2ime .orensics ? permite a captura completa da TA(. %RE 7ool0it ? , um entorno virtualizado pr,&configurado com >irt"alBo6 para an-lise de malware$ '#%. ? , um entorno virtualizado em >Mware.

;7;

!cnicas &inAmicas

5s m,todos e ferramentas de uso livre CAne6o AD para realizar uma an-lise din.mica s0o descritas em* ;7;76 Instrumenta45o

5 uso de Oandbo$ para emular um dispositivo# com o fim de monitorar a rede# proces& sos# compara/0o de cadeias e registros do sistema# e a identifica/0o de fun/Aes. Ferramentas* Droid)ox 1 esta m-quina de virtualiza/0o etiqueta as classes da A"' para o moni& toramento# detecta o vazamento de dados privados# chamadas @ A"'# atividade da rede sem fio# opera/Aes de criptografia# O(O e chamadas telef6nicas. &epura45o e &esmontagem BDebugging and Disassembly)

;7;7.

4epura/0o a n3vel do )ernel# controle de e$ce/Aes# modifica/0o da e$ecu/0o do malwa& re# interrup/0o do flu$o de e$ecu/0o de instru/Aes# carrega de bibliotecas# monitora& mento de chamadas 8hooking, deto"rs 9# an-lise de c6digo shell. Ferramentas* 3D% $ro a partir da vers0o >. inclui componentes para an-lise de c6digo para Android$ %ndroid #D? 7ools ? apresenta um ambiente completo para an-lise de malware# incluindo ferramentas como Dal,ik Deb"g Monitor Ser,er 8DDMS9# Monkey )m"lator, Pro "ard, Systrace, SHlite<, -race,iew, Iipalign, para an-lise de comporta& mento do malware. Deurus ? proGecto Open So"rce desenvolvido em +clipse para desmontagem de aplica/Aes. %ndroid %udit 7ools ? ferramenta Open So"rce para an-lise din.mica de aplica/Aes Android$ %ndrubis ? ferramenta para an-lise de ap)# produz relat6rios tanto para an-lise est-tica como din.mica.

;7=

Sele45o dos parAmetros de estudo

5s par.metros da an-lise considerados foram* tipo de t,cnica utilizada# procedimento de e$ecu/0o da t,cnica# quantidade de e$perimentos e$ecutados# quantidade de ele& mentos analisados# quantidade de elementos n0o identificados# tipo de elemento anali& sado# efici1ncia na redu/0o da amea/a e camada obGetivo da an-lise.

= %esultados
+m fun/0o das vari-veis e par.metros selecionados foram analisadas as seguintes rela& /Aes* tipo de t,cnica utilizada & efici1ncia obtida# tipo de algoritmo utilizado & efici1ncia obtida# e camada obGeto do estudo & efici1ncia obtida.

=76

!ipo de tcnica empregada - e<iciCncia alcan4ada

A ;ig"ra&# apresenta uma compara/0o entre as t,cnicas utilizadas em <!E# !F# !># !:=# alcan/ando as seguintes porcentagens de efici1ncia* engenharia reversa 9>;# e an-lise de strings 9!#2:;# an-lise por antiv3rus 8ser,i0o remoto de anJlise9 ?>#92;.

100,0= 39,0= 30,0= 29,0= 20,0= Efi,i<n,ia ;ig"ra &. -Kcnicas )stJticas - )ficiLncia alcan0ada La ;ig"ra<# mostra&se a compara/0o das t,cnicas utilizadas em <!?# !9# E0# E # E2# E!# EE# EF# E># E:# E?# E9# F0# F # F2# F!# FE# FF# F># F:# F?# F9# >0# > =# alcan/ando as seguintes porcentagens de efici1ncia* autom-ticas 9F;# h3bridas ?>. 9;# e manuais >>;.
Engenharia .e*ersa #n>'ise de Strings #n>'ise por anti*(rus

10

100,0= 39,0= 30,0= 29,0= 20,0= Efi,i<n,ia ;ig"ra <. -Kcnicas DinMmicas - )ficiLncia alcan0ada
Instrumentao ?epurao e ?esmontagem

A efici1ncia das t,cnicas mistas 8est-ticas N din.micas9 encontradas em <2 # >2# >!# >E# >F# >># >:# >?= , apresentada na ;ig"ra*# onde se obteve o seguinte resultado* +nge& nharia Teversa N 4esmontagem N 4ecompila/0o 9?.> ;# +ngenharia Teversa N 'nstru& menta/0o 9>;# An-lise de Otrings N 4esmontagem N 4ecompila/0o 90;# An-lise de Otrings N 'nstrumenta/0o ?:#F; e An-lise Strings N An-lise em (-quinas Rirtuais N 'nstrumenta/0o ?0;.

100,00= 39,00= 30,00= 29,00= 20,00= 59,00= 50,00= Efi,i<n,ia ;ig"ra *. -Kcnicas Mistas - )ficiLncia alcan0ada 5nde* +T C +ngenharia Teversa# ' C 'nstrumenta/0o# AO C An-lise de Otrings# 44 C 4esmontagem e 4ecompila/0o e AR( C An-lise em (-quinas Rirtuais.
E.8?? E.8I #S8?? #S8I #S8#&M8I

=7.

Camada #3Detivo de estudo - E<iciCncia o3tida

5 resultado correspondente @ efici1ncia das t,cnicas em fun/0o dos e$perimentos efe& tuados sobre as camadas de Android foi o seguinte* Middleware N Nernel 9!#E?;# Aplica& /0o N ;ramework N Middlework 9 .?2;# todas as camadas 9 .>:;# Middleware 90.9 ;# ;ramework N Middleware 90;# kernel ??.>;# ;ramework ?:.9 ; e Aplica/Aes ?E.F?;.

11

100,00= 39,00= 30,00= 29,00= 20,00= 59,00= 50,00= Efi,i<n,ia

M8@ #8$8M 0 M $8M @ $ #

;ig"ra +. /amada de est"do - )ficiLncia alcan0ada 5nde* A C Aplica/0o# F C ;ramework# ( C Middleware# X C Nernel e T C Todas as ca& madas.

? ConclusEes
As t,cnicas de aprendizado de m-quina utilizadas nos e$perimentos estudados# re& querem um maior n3vel de precis0o nas predi/Aes dos dados# devem ser capazes de trabalhar com grandes quantidades de informa/0o e ser de f-cil implementa/0o# al,m de gastar o m3nimo de recursos computacionais. 5s sofisticados tipos de c6digos maliciosos que e$istem hoGe em dia aproveitam o paradigma do Jtudo ou nadaY# ou seGa# para que um aplicativo possa ser instalado# o usu-rio tem que autorizar as permissAes no sistema operacional. 4epois da instala/0o# os efeitos do malware tornam&se imprevis3veis# o c6digo malicioso ter- acesso aos da& dos privados e a oportunidade de realizar uma escada de privil,gios no sistema opera& cional para alcan/ar o controle total do dispositivo. 5 verdadeiro desafio para os antiv3rus se apresenta quando um dispositivo n0o tem acesso @ 'nternet para atualizar sua heur3stica# pelo que , preciso desenvolver solu/Aes que atuem de maneira local e seGam autossuficientes para conter a amea/a e adminis& trar o risco de cont-gio. 4os resultados obtidos# , poss3vel dimensionar que os trabalhos futuros de pesquisa deveriam estar focalizados nas camadas intermedi-ria 'Middleware( e na camada do nKcleo 8kernel9 e na configura/0o de t,cnicas est-ticas e din.micas superpostas com as quais se alcance uma maior porcentagem de efici1ncia 8[9>;9.

12

@ %e<erCncias
< = %TAVA# AD 45 LAOB'(+LT5# +D T54T'VQ+O# WD T5OA# T. 'ntrodu/0o @ Oe& guran/a de 4ispositivos (6veis (odernos C Qm Baso de Android. +m* O'(& "5O'5 %TAO'W+T5 +( O+VQTAL\A 4A 'LF5T(A\]5 + 4+ O'OT+(AO B5("QTAB'5LA'O. Buritiba# 20 2# p. F2& 00. B5B5TAO# A. The #uture o# mobile . 4ispon3vel em* ^http*MMwww.busines& sinsider.comMthe&future&of&mobile&dec)&20 2&!_&F[. Acesso em* 0F ago. 20 !. S+'O+T# (. The Bomputer for the 2 st century. Ocientific American# v. 2>F# n. !# p. 9E& 0E# 99 . X+"IATT# U.D BI+OO# 4. The vision of autonomic computing. Bomputer# v. !># n. # p. E &F0# 200!. OAT`ALATA`ALAL# (. (obile Bomputing* the ne$t decade. AB( O'V(5& %'W+ (obile Bomputing and Bommunications Teview# v. F# n. 2# p. 2& 0# 20 . LFB&F5TQ(. The Keys to Truly ! teroperable Commu icatio s . 4ispon3vel em* ^http*MMwww.nfc&forum.orgMresourcesMwhiteapapersM[. Acesso em* 0F ago. 20 !. '4B. A droid a d i$% Combi e #or &'.() o# All %martpho e $perative %ystem %hipme ts i the *irst +uarter ,hile ,i dows Pho e -eap#rogs .lac/.erry. 4ispon3vel em* ^http*MMwww.idc.comMgetdoc.Gspb container'dcprQO2E 0?9 ![. Acesso em* 02 ago. 20 !. V55VW+ 'LB. Categorias de Aplicativos em 0oogle Play. 4ispon3vel em* ^https*MMplay.google.comMstoreMappsMdetailsbidccom.idintel.categorias.free[. Acesso em* 02 ago. 20 !. VATTL+T. 0art er %ay ,orldwidw %ales o# 1obile Pho e 2ecli ed '.( perce t i %eco d +uarter o# '34' . 4ispon3vel em* ^ https*MMwww.gartner.comMnewsroomMidM2 200 Fbbrandc [. Acesso em 02 Agosto 20 !. F&O+BQT+. *-%ecure A ti-5irus '34(. 4ispon3vel em* ^http*MMwww.f&secure.& comMenMcMdocumentalibraryMgetafilebuuidccE?f009c&ea2d&E9bF&9F:d& 0! !bd?!>f:!dgroup'dc20?9![. Acesso em* 0> ago. 20 !. OIAT'F# (.'. et al. 'mpeding (alware Analysis Qsing Bonditional Bode 5b& fuscation. +m* L4OO. 200?. UQL'"+T L+TS5TXO. 6u iper Networ/s Third A ual 1obile Threats Report. 4ispon3vel em* ^http*MMwww.Guniper.netMusMenMlocalMpdfMadditional& resourcesMGnpr&20 2&mobile&threats&report.pdf[. Acesso em* 0> ago. 20 !. F&O+BQT+ WA%O. 1obile Threat Report 7 6a uary-1arch '34( . 4ispon3vel em* ^http*MMwww.f& secure.comMstaticMdocMlabsaglobalMTesearchM(obileaThreataTeportae a20 ! .pdf[. Acesso em* 02 ago. 20 !. O`(ALT+B. 8 dergrou d 9co omy %ervers 7 0oods a d %ervices Available #or %ale. 4ispon3vel em* ^http*MMwww.symantec.comMesMesMthreatreportMto& pic.Gspbidcfraudaactivityatrendsdaidcundergroundaeconomyaservers[.

<2= <!= <E= <F= <>=

<:=

<?=

<9=

< 0=

<

< 2=

< !=

< E=

13

< F=

FAWW(ALL# IannoD S5L4TAB+X# VilbertD "WATf+T# Bhristian. Bovertly probing underground economy mar)etplaces. 'n* 4+T+BT'5L 5F 'LTTQO'& 5LO AL4 (AWSAT+# AL4 RQWL+TA%'W'T` AOO+OO(+LT. Opringer %er& lin Ieidelberg# 20 0. p. 0 & 0. F+WT. A Ourvey of (obile (alware in the Sild. "T5B++4'LVO 5F TI+ OT AB( S5TXOI5" 5L O+BQT'T` AL4 "T'RAB` 'L O(ATT"I5L+O AL4 (5%'W+ 4+R'B+O# pp. !& E# 20 . (5%BW'g. 1o thly value o# a app user . 4ispon3vel em* ^http*MMblog.mob& cli$.comMinde$M"4FMGanuaryainfographic.pdf[. Acesso em* 0? ago. 20 !. V55VW+ 'LB. ,hat is A droid. 2ispo vel em* ^http*MMdeveloper.android.& comMguideMbasicsMwhat&is&android.html[. Acesso em* 0? ago. 20 !. VATV+LTA# (ar)o. -ear i g A droid. 5hTeilly (edia# 'nc.# 20 . OALO 'nstitute 'nfoOec Teading Toom# Reverse 9 gi eeri g $# 1alware $ A droid. 4ispon3vel em* ^http*MMwww.google.com.brMurlb sactdrctcGdqcdesrccsdsourcecwebdcdc dvedc0BBEeFGAAdurlchttp;!A ;2F;2Fwww.sans.org;2Freading&room;2Fwhitepapers;2Fpda;2Frever& se&engineering&malware&androida!!:>9deicER(GQp5zW& qiseTRE'V'4edusgcAFeGBLFhvngVg? wfLgv4Sv"2E"Tm X& Xedsig2cUtp?e>en'TEeiSvfmy?h4edbvmcbv.F E9F!9?#d.cSc[. Acesso em* ? ago. 20 !. +LBX# S. et al. Taint4roid* An 'nformation&Flow Trac)ing Oystem for Tealti& me "rivacy (onitoring on Omartphones. +m* 5O4'. 20 0. p. 2FF&2:0. V55VW+ 'LB. Co trato de servios ao 2ese volvedor . 4ispon3vel em* ^https*MMplay.google.comMaboutMdeveloper&distribution&agreement.html[. Acesso em* 0F ago. 20 !. W55X5QT. 1obile Threat Report '344. 4ispon3vel em* ^https*MMwww.lo& o)out.comMresourcesMreportsMmobile&threat&report[. Acesso em* 0: ago. 20 !. O'X5TOX'# (.D I5L'V# A.D WASW+T# O. "ractical (alware Analysis* The Iands&5n Vuide to 4issecting (alicious Ooftware. Lo Otarch "ress# 20 2. 4QLIA(# X+L. 1obile 1alware Attac/s a d 2e#e se . Oyngress# 200?. ".:E +LBX# S. 4efending users against smartphone apps* Techniques and future directions. +m* 'LF5T(AT'5L O`OT+(O O+BQT'T`. Opringer %erlin Ieidel& berg# 20 . p. E9&:0. %lue%o$ Wabs. *ree A droid malware a alysis tool 4ispon3vel em* ^http*MMwww.net&security.orgMsecworld.phpbidc E>0F[.

< >=

< := < ?= < 9= <20=

<2 = <22=

<2!= <2E= <2F= <2>=

<2:=

<2?=

Oecurity 4ar) Teading. New *ree Tools %impli#y A alysis o# A droid 1alware. ^http*MMwww.dar)reading.comMmobileMnew&free&tools&simplify&a& nalysis&of&andrM2! >00F9:[. O+BF+LB+ WA%. Per#ormi g A droid malware a alysis . 4ispon3vel em* ^http*MMblog.secfence.comM20 !M0?Mperforming&android&malware&analysisM[. OI+TT` 4. 2emysti#yi g the A droid 1alware . 4ispon3vel em* ^http*MMse& curity$ploded.comMdemystifying&android&malware.php[. Acesso em* 29 ago.

<29= <!0=

1:

20 !. <! = f+WTO+T W. : Articles #or -ear i g A droid 1obile 1alware A alysis . 4is& pon3vel em* ^http*MMcomputer&forensics.sans.orgMblogM20 M0>M09Mandroid& mobile&malware&analysis&article[. Acesso em* 20 ago. 20 !. LAT'5LAW O+BQT'T` AW+TT 'TAW'A. 4e$ter C A tool #or mobile malware a alysis. 4ispon3vel em* ^http*MMwww.nsai.itM20 !M0!M ?Mde$ter&a&tool&for& mobile&malware&analysis&bluebo$&labsM[ Acesso em* 2? ago. 20 !. "TTS+%. .luebo; -abs Releases A droid 1alware A alysis Tool . 4ispon3& vel em* ^http*MMwww.prweb.comMreleasesM20 !M!Mprweb 0F20:!!.htm[. Acesso em* 2? ago. 20 !. +LBX# S. J5n lightweight mobile phone application certification#Y "T5B++& 4'LVO 5F TI+ >TI AB( B5LF+T+LB+ 5L B5("QT+T AL4 B5((Q& L'BAT'5LO O+BQT'T`# pp. 2!F&&2EF# 2009. OBI('4T# JOtatic analysis of e$ecutables for collaborative malware detection on android#Y em B5((QL'BAT'5LO# 2009. 'BBh09. '+++ 'LT+TLAT'5LAW B5LF+T+LB+ 5L# 2009. OIA%TA'# JAutomated static code analysis for classifying android applications using machine learning#Y em B5("QTAT'5LAW 'LT+WW'V+LB+ AL4 O+& BQT'T` 8B'O9# 20 0 'LT+TLAT'5LAW B5LF+T+LB+ 5L# 20 0 `'(# J4etecting mobile malware threats to homeland security through static analysis#Y Uournal of Letwor) and Bomputer Applications# 20 !. %ATT+TA# JA (ethodology for +mpirical Analysis of "ermission&%ased Oecu& rity (odels and its Application to Android#Y "roceedings of the :th AB( con& ference on Bomputer and communications security# pp. :!&?E# 20 0. OIA%TA'# J'ntrusion detection for mobile devices using the )nowledge&based# temporal abstraction method#Y Uournal of Oystems and Ooftware# vol. ?!# pp. F2E& F!:# 20 0. I5TL`ABX# JThese arenht the droids youhre loo)ing for* retrofitting android to protect data from imperious applications#Y "T5B++4'LVO 5F TI+ ?TI AB( B5LF+T+LB+ 5L B5("QT+T AL4 B5((QL'BAT'5LO O+BQ& T'T`# pp. >!9&>F2# 20 . F+WT# JA Ourvey of (obile (alware in the Sild#Y "roceedings of the st AB( wor)shop on Oecurity and privacy in smartphones and mobile devices# pp. !& E# 20 .

<!2=

<!!=

<!E=

<!F=

<!>=

<!:= <!?=

<!9=

<E0=

<E =

<E2=

BI'L# JAnalyzing inter&application communication in Android#Y "T5B++& 4'LVO 5F TI+ 9TI 'LT+TLAT'5LAW B5LF+T+LB+ 5L (5%'W+ O`O& T+(O# A""W'BAT'5LO# AL4 O+TR'B+O# pp. 2!9&2F2# 20 . %QTVQ+TA# JBrowdroid* behavior&based malware detection system for an& droid#Y "T5B++4'LVO 5F TI+ OT AB( S5TXOI5" 5L O+BQT'T` AL4 "T'RAB` 'L O(ATT"I5L+O AL4 (5%'W+ 4+R'B+O# pp. F&2># 20 . 4' B+T%5# J4etection of malicious applications on android os#Y Bomputatio& nal Forensics# ni Opringer# pp. !?& E9# 20 . 'O5IATA# JXernel&based %ehavior Analysis for Android (alware 4etection#Y

<E!=

<EE= <EF=

19

em B5("QTAT'5LAW 'LT+WW'V+LB+ AL4 O+BQT'T` 8B'O9# 20 TI 'LT+TLAT'5LAW B5LF+T+LB+ 5L# 20 . <E>= <E:=

O+R+L&

F+WT# J"ermission Te&4elegation* Attac)s and 4efenses#Y em QO+L'g O+BQ& T'T` O`("5O'Q(# 20 . %QV'+W# J"ractical and lightweight domain isolation on android#Y em "T5& B++4'LVO 5F TI+ OT AB( S5TXOI5" 5L O+BQT'T` AL4 "T'RAB` 'L O(ATT"I5L+O AL4 (5%'W+ 4+R'B+O# 20 . %QV'+W# Jgmandroid* A new android evolution to mitigate privilege escalati& on attac)s#Y Technische Qniversit at 4armstadt# Technical Teport TT&20 &0E# 20 . TALV# JBlean5O* Wimiting mobile data e$posure with idle eviction#Y "T5B++& 4'LVO 5F TI+ QO+L'g B5LF+T+LB+ 5L 5"+TAT'LV O`OT+(O 4+O'VL AL4 '("W+(+LTAT'5L# 20 2. fI5Q# J4issecting Android (alware* Bharacterization and +volution#Y O+& BQT'T` AL4 "T'RAB` 8O"9# 20 2 '+++ O`("5O'Q( 5L# pp. 9F& 09# 20 2. fI5Q# JIey# `ou# Vet 5ff of (y (ar)et* 4etecting (alicious Apps in 5fficial and Alternative Android (ar)ets#Y "T5B++4'LVO 5F TI+ 9TI ALLQAW L+TS5TX AL4 4'OTT'%QT+4 O`OT+( O+BQT'T` O`("5O'Q(# 20 2. IALLA# JUu$tapp* a scalable system for detecting code reuse among android applications#Y 4etection of 'ntrusions and (alware# and Rulnerability Assess& ment# pp. >2&? # 20 !. "ATX# JTV%4roid* a novel response&based approach to android privilege esca& lation attac)s#Y "roc. of the Fth QO+L'g conference on Warge&Ocale +$ploits and +mergent Threats 8W++TZ 29# 20 2. +LBX# JTaint4roid* An 'nformation&Flow Trac)ing Oystem for Tealtime "ri& vacy (onitoring on Omartphones#Y 5O4'# pp. 2FF&2:0# 20 0. "+LV# JTesearch on Android (alware 4etection and 'nterception %ased on %ehavior (onitoring#Y Suhan Qniversity Uournal of Latural Ociences# pp. E2 & E2:# 20 2. A"RT'WW+# JTeducing the Sindow of 5pportunity for Android (alware Vot& ta catchZem all#Y Uournal in Bomputer Rirology# pp. > &: # 20 2. "+LV# JQsing probabilistic generative models for ran)ing ris)s of android apps#Y "roceedings of the 20 2 AB( conference on Bomputer and communica& tions security# pp. 2E &2F2# 20 2.

<E?=

<E9=

<F0= <F =

<F2=

<F!=

<FE= <FF=

<F>= <F:=

<F?=

fI+LV# JAdam* An automatic and e$tensible platform to stress test android anti&virus systems#Y 4etection of 'ntrusions and (alware# and Rulnerability Assessment# pp. ?2& 0 . TAOT5V'# JApps"layground* automatic security analysis of smartphone appli& cations#Y "T5B++4'LVO 5F TI+ TI'T4 AB( B5LF+T+LB+ 5L 4ATA AL4 A""W'BAT'5L O+BQT'T` AL4 "T'RAB`# pp. 209&220# 20 !. 4+((+# J5n the feasibility of online malware detection with performance counters#Y "T5B++4'LVO 5F TI+ E0TI ALLQAW 'LT+TLAT'5LAW O`(& "5O'Q( 5L B5("QT+T ATBI'T+BTQT+# pp. FF9&F:0# 20 !.

<F9=

<>0=

1;

<> = <>2= <>!= <>E=

FT'Tf# JIighly "recise Taint Analysis for Android Application#Y 20 !. OIA%TA'# JVoogle Android* A Otate&of&the&Art Teview of Oecurity (echa& nisms#Y argiv preprint argiv*09 2.F 0 # 2009. OBI('4T# J(onitoring Omartphones for Anomaly 4etection#Y (obile Letwor)s and Applications# pp. 92& 0># 2009. %WAO'LV# JAn Android Application Oandbo$ Oystem for Ouspicious Ooftware 4etection#Y (AW'B'5QO AL4 QLSALT+4 O5FTSAT+ 8(AWSAT+9# 20 0 FTI 'LT+TLAT'5LAW B5LF+T+LB+ on# pp. FF&>2# 20 0 OIA%TA'# JVoogle android* A comprehensive Oecurity jd "rivacy# '+++# pp. !F&EE# 20 0. security assessment#Y

<>F= <>>=

LATATAU# JA Bomparative Assessment of (alware Blassification using %i& nary Te$ture Analysis and 4ynamic Analysis#Y "T5B++4'LVO 5F TI+ ETI AB( S5TXOI5" 5L O+BQT'T` AL4 ATT'F'B'AW 'LT+WW'V+LB+# pp. 2 &!0# 20 . OIAIfA4# JA Iybrid Framewor) for (alware 4etection on Omartphones using +WF Otructural jd "B% Tuntime Traces#Y 20 2 BIAXTA4+5# J(AOT* triage for mar)et&scale mobile malware analysis#Y "ro& ceedings of the si$th AB( conference on Oecurity and privacy in wireless and mobile networ)s# pp. !&2E# 20 !.

<>:= <>?=

15

1 AneFo GAH B$ista de <erramentas para anlise de malware para Android)

%tios para downloads de malware para Android Ohttp.PPcontagioe6change$blogspot$com$esPQ Ohttp.PPmalc:de$comPdatabasePQ

*errame tas para a <lise est<tica Nome Androguard Andrubis APK Inspector Apktool Android Audit Tools Android SDK Tools ARE Toolkit A$mlprinter 4e$2Uar 4e$dump Deurus DroidBox IDA Pro U4&VQ' JuliaAnalyzer i!e "orensics (4F4eep #obile Sandbox $SA" S!ali%BackS!ali Tand4roid 2ispo vel em= Ohttp.PPcode$google$comPpPandrog"ardPQ Ohttp.PPan"bis$iseclab$orgPQ Ohttps.PPgith"b$comPhoneynetPapkinspectorPQ Ohttps.PPcode$google$comPpPandroid-apktoolPQ Ohttps.PPgith"b$comPw"nteePandroidA"dit-oolsQ$ Ohttp.PPde,eloper$android$comPsdkPinde6$htmlQ$ Ohttp.PPredmine$honeynet$orgPpro2ectsParePwikiQ Ohttps.PPcode$google$comPpPandroid*mePdownloadsPlistQ$ Ohttp.PPcode$google$comPpPde6&2arP Ohttp.PPcode$google$comPpPde6-decomplierPQ$ Ohttp.PPcrackmes$deP"sersPde"r"sPandroidRcrackme:<PQ Ohttp.PPcode$google$comPpPdroidbo6PQ Ohttp.PPwww$he6-rays$comPprod"ctsPidaPG$#Pinde6$shtmlQ Ohttp.PP2a,a$decompiler$free$frPSHT2dg"iQ$ Ohttp.PPwww$2"liasoft$comPtry$htmlQ Ohttp.PPcode$google$comPpPlime-forensicsPQ Ohttp.PPmd+deep$so"rceforge$netPUdownloadQ$ Ohttp.PPwww$mobile-sandbo6$com Q Owww$osaf-comm"nity$orgQ Ohttp.PPcode$google$comPpPsmaliPQ Ohttp.PPappanalysis$orgPQ$

Uava Android 4ecompiler Ohttp.PPwww$,araneckas$comP2adQ

12

*errame tas para a <lise est<tica Nome Android Audit Tools Android SDK Tools Andrubis DroidBox Deurus IDA Pro 2ispo vel em= Ohttps.PPgith"b$comPw"nteePandroidA"dit-oolsQ Ohttp.PPde,eloper$android$comPsdkPinde6$htmlQ Ohttp.PPan"bis$iseclab$orgPQ Ohttp.PPcode$google$comPpPdroidbo6PQ Ohttp.PPcrackmes$deP"sersPde"r"sPandroidRcrackme:<PQ Ohttp.PPwww$he6-rays$comPprod"ctsPidaPG$#Pinde6$shtmlQ

13