著者

岩本 一樹 西田 雅太 和﨑 克己

雑誌

研究報告コンピュータセキュリティ(CSEC)

巻号頁・発行日

vol.2013-CSEC-63, no.2, pp.1-7, 2013-12-02

---

Android を搭載するスマートフォンの普及とともに Android のアプリも増加しており,Android の対象とするマルウェアも増加している.しかし公開されるすべてのアプリを解析者が解析することは困難なので,大量にあるアプリの中から解析者が解析するべき疑わしいアプリを絞り込む必要がある.本研究では Android アプリの制御フロー解析の結果から生成されたグラフを過去のマルウェアと比較することで,新たに公開されたアプリの中から疑わしいアプリを自動的に抽出する方法を検討する.同一の機能をもっているメソッドであっても,コンパイル環境やソースコードの機能に影響を与えないような違いによって,異なる命令列が生成される場合がある.ゆえに制御フロー解析の結果のグラフの不要なノードを削除することでグラフを縮約させ,命令列の違いに依らない特徴を抽出した.また,ノードの並び順を決めることで可能な限り隣接行列の比較だけで済むようにグラフを正規化することで,グラフの比較の高速化をはかった.結果,自動的に定義ファイルを作成し,効率よく解析するべきアプリを絞り込むことができた.

著者

岩本 一樹 西田 雅太 和﨑 克己

雑誌

研究報告コンピュータセキュリティ(CSEC)

巻号頁・発行日

vol.2013-CSEC-62, no.60, pp.1-8, 2013-07-11

---

大幅に増加する Android のマルウェアを効率よく検出するために,我々は Android アプリの Dalvik のバイトコードを静的解析することでマルウェアを検出する方法を提案してきた.しかし我々が提案するバイトコードの静的解析だけでは,完全に新規に作成されたマルウェアやバイトコード以外にマルウェアとしての原因がある場合,たとえばネイティブコードや HTML + CSS + JavaScript でマルウェアが作成されているときには検出できない.マルウェアの検出率を高めるためには,我々のこれまでの提案と別の方法を組み合わせて,複数の方法でマルウェアの検出を試みる 1 つのシステムを構築する必要がある.そこでバイトコードを解析せずにマルウェアを検出する方法として我々が今回提案する Android アプリを配布する Web サイトのドメインからマルウェアを特定する方法に加えて,これまでに提案されたセカンドアプリを内包するアプリを見つける方法と署名情報を利用する方法について検証を行った.検証の結果,これらの方法でマルウェアを検出できる可能性を確かめることができた.