Diagnóstico de traços maliciosos no android utilizando chamadas de sistema

Abstract

Resumo: O Android e o sistema operacional mais utilizado por dispositivos moveis no mundo. Esse fato tem atraido cada vez mais desenvolvedores para a plataforma devido a sua caracteristica de codigo aberto e possibilidade de desenvolver aplicacoes de forma gratuita. Alem das aplicacoes desenvolvidas para melhorar a vida dos usuarios e automatizar operacoes, estao aquelas maliciosas, conhecidas como malware, que sao desenvolvidas para comprometer dados sensiveis dos usuarios e/ou prejudicar o funcionamento de dispositivos. Com base nisso, muitos trabalhos tem surgido para analisar e detectar aplicacoes maliciosas no Android. Dentre esses trabalhos, estao aqueles baseados em analise estatica, que verificam o codigo da aplicacao e aqueles baseados em analise dinamica, que consiste em executa-la em um ambiente controlado e obter tracos da execucao. Muitos dos trabalhos baseados em analise dinamica utilizam as chamadas de sistemas para caracterizar as aplicacoes, porem focam apenas em verificar a frequencia que essas chamadas de sistema ocorrem, o que nao e suficiente para tal. As chamadas de sistemas contem informacoes relevantes sobre as interacoes das aplicacoes com o restante do sistema que sao ignoradas pelas solucoes. Alem disso, muitos ignoram que as caracteristicas estaticas tambem podem ser relevantes para a analise. Por isso, neste trabalho apresentaremos o DroiDiagnosis, uma ferramenta que utiliza caracteristicas estaticas e dinamicas baseadas em chamadas de sistemas para diagnosticar aplicacoes no Android. Palavras-chave: malware, malware android, analise de malware, diagnostico de aplicativo malicioso

Abstract: Android is the world's most used operating system in mobile devices. This has attracted developers, as it is an open source platform and apps can be developed free of charge. Besides apps that can enhance the life of users and automate tasks, there are the malicious ones, known as malware, which are developed to compromise private user data or cause malfunction to the devices. Taking this into account, several studies are trying to analyze and detect malicious Android applications. From these, some are based on static analysis, that verifies the app source code, and others are based on dynamic analysis, which consists of running the app in a controlled environment and obtaining execution traces. Several studies based on dynamic analysis use the system calls to characterize the app, but focus only on the amount of system calls triggered, which is not enough. System calls contain important information regarding the interaction of the app with the system, that are ignored by the proposed solutions. Moreover, several papers ignore that the static characteristics could also be relevant in the malware analysis. Hence, the DroiDiagnosis will be presented in this study, which uses both static and dynamic features based on system calls to diagnose Android based apps. Keywords: malware, malware android, malware analysis, malicious aplications diagnosis