| dc.description.abstract | Mobiler har de siste tiårene fått en viktig i rolle i samfunnet og i hverdagslivet. I dag blir mobiler brukt i samtlige kritiske funksjoner, som blant annet helse, bank og arbeidsoppgaver. Denne utviklingen har også medført at skadevareforfattere har viet mer oppmerksomhet til den mobile plattformen som et motstykke til den tradisjonelle PCen. Android er det mest populære mobile operativsystemet med nesten 80\% av markedet. I tillegg til populariteten, har Android også et langt mer åpent system enn dens største motstander, iOS. Dette gjør Android til et attraktivt mål for skadevareforfattere.
Den akademiske litteraturen har foreslått utallige løsninger for å hindre og beskytte mobilbrukere fra skadevare. Dessuten genererer antivirusindsustrien milliarder årlig for å tilby beskyttelse mot skadevare på mobil. Likevel kreves det stadig ny forskning og løsninger for å holde tritt med skadevarens konstante utvikling.
De mest vanlige metodene for å analysere skadevare er statisk- og dynamisk analyse. Statisk analyse gjennomgår koden uten å kjøre applikasjonen, mens dynamisk analyse inspiserer applikasjonens oppførsel. Begge metodene har sine fordeler og ulemper. I denne masteroppgaven har vi brukt et hybrid detekteringssystem, som innebærer at vi har kombinert statisk- og dynamisk analyse. Den største fordelen ved en slik tilnærming er at vi inkluderer fordelene ved begge metodene og samtidig utjevner ulempene. Men dette en svært ressurskrevende metode, noe som vi også har måttet vurdere. Vi har også inkludert rykte-basert analyse i vår hybride modell, en metode som ikke er særlig brukt i den akademiske sirkel. Rykte-basert analyse fungerer ved å samle og følge flere attributter som signatur, kilde, alder og bruksstatistikk.
Vår hybride løsning består av flere eksisterende verktøy. Disse ble valgt ut i fra en rekke kriterier, og vi la blant annet vekt på at verktøyene skulle være skalerbar, automatisk og oppdaterte.
Vi har gjennomført flere eksperimenter med de valgte verktøyene. I hovedsak har vi eksperimentert med både et pre-generert datasett og sanntidsdata. Våre funn viser at en rykte-basert analyse potensielt kan erstatte den tradisjonelle signaturtilnærmingen. Dessuten viser våre funn at å inkludere rykte-basert analyse kan gi bedre resultater. I vårt tilfelle detekterte statisk- og dynamisk analyse 91.58\% av dataen vår riktig. Ved å inkludere rykte-basert analyse, ble 98.61\% av dataen detektert riktig, med en falsk-positiv rate på under 1\%. Vår metode er helt automatisert, men ikke særlig skalerbar slik den er nå. Gjennom prosjektet har vi hatt et stort fokus på at løsningen skal være oppdatert til dagens trusselbilde. Ut i fra resultater på sanntidsdata har vi klart å nå dette målet.
I løpet av arbeidet observerte vi at det er et behov for en universell metode for å evaluere ulike detekteringssystem. Dette er nødvendig for å enkelt kunne sammenligne ulike systemer. Vi observerte også at det er et behov for nye verktøy med åpen kildekode innen skadevareanalyse. Begge disse observasjonene kan være et grunnlag for fremtidig arbeid. | |
| dc.description.abstract | Mobiles have gained an important role in society and everyday life in recent decades. Today, mobiles are used in several critical functions, such as health, banking, and work tasks. This trend has also meant that malware authors have paid more attention to the mobile platform as a counterpart to the traditional PC. Android is the most popular mobile operating system, with almost 80\% of the market. In addition to its popularity, Android also has a far more open system than its most prominent opponent, iOS. The popularity and openness make Android an attractive target for malware authors.
Academic literature has offered numerous solutions to prevent and protect mobile users from harmful products. Besides, the antivirus industry generates billions annually to protect against mobile malware. Nevertheless, new research and solutions are still required to keep pace with the constant development of malware.
The most common methods of analyzing malware are static and dynamic analysis. While static analysis reviews the code without running the application, dynamic analysis inspects the application's behavior. Both methods have their advantages and disadvantages. In this master's thesis, we have used a hybrid detection system, which means that we have combined static and dynamic analysis. The main advantage of such an approach is that we include both methods' benefits and, at the same time, equalize the disadvantages. But this is a very resource-intensive method, which we also had to consider. We have also included reputation-based analysis in our hybrid model, an approach that is not widely used in academics. Reputation-based analysis works by gathering and pursuing several attributes such as signature, source, age, and usage statistics.
Our hybrid solution consists of several existing tools combined into a pipeline. We selected the tools based on various criteria, and we emphasized, among other things, that the tools should be scalable, automatic, and updated.
We have conducted several experiments with the selected tools. Primarily, we have experimented with both a pre-generated data set and real-time data. Our findings show that including reputation-based analysis can yield better results. In our case, static and dynamic analysis correctly detected 91.58\% of our data. By including reputation-based analysis, 98.61\% of the data was identified correctly, with a false-positive rate of less than 1\%. Our method is fully automated, but not very scalable as it is now. Through the project, we have had a major focus on keeping the solution updated to today's threat landscape. Based on results from experiments with real-time data, we have managed to achieve this goal.
Throughout the work, we observed that there is a need for a universal method for evaluating different detection systems. This is necessary to compare different systems easily. We also noted that there is a need for new tools with open-source code in malware analysis. Both of these observations can be a basis for future work. | |
