Detección conjunta de malware entre usuarios y dispositivos a partir de la validación de firmas digitales y/o la correlación de eventos en dispositivos Android
QRCode
Share this
Date
2018Publisher
Instituto Tecnológico MetropolitanoCitation
Metadata
Show full item recordPDF Documents
Abstract
Para la detección de software malicioso que compromete aplicaciones en teléfonos inteligentes con sistema operativo Android, los controles convencionales, utilizados entre el año 2012 y hasta el primer semestre del año 2018, requieren de una muestra de malware para realizar la detección. Estos controles de seguridad ejecutan el análisis de aplicaciones en la nube y no localmente en el dispositivo. La mayoría de los controles se limitan a las aplicaciones ofrecidas en la tienda de Google (Play Store) y, para que la neutralización sea efectiva, la mayoría de ellos requiere de habilidades especiales que no todo usuario final de Android posee. En este proyecto se hizo un análisis de estas técnicas, se compararon sus formas de detección y se registraron sus falencias. Con la información obtenida, se diseñó e implementó una aplicación para sistemas operativos Android en dispositivos móviles llamada CAM (Control de Aplicaciones Móviles), para asegurar la integridad de las aplicaciones y revisar si han sido intervenidas con malware, por medio de la validación de firmas digitales y la correlación de eventos. CAM propone una estrategia de corresponsabilidad entre los desarrolladores de aplicaciones para móviles y la comunidad de usuarios del sistema operativo, basada en defensa activa para que la seguridad se convierta en un atributo del sistema y no complemento. La estrategia de corresponsabilidad busca que los desarrolladores y usuarios publiquen bases de datos de listas blancas de los principales eventos operativos de sus aplicaciones, para contrastarlas con la información que generen dichos eventos, con el fin de detectar y mitigar amenazas cibernéticas como el espionaje, la fuga de información, la suplantación de identidad, el robo de contraseñas y el control remoto del dispositivo por medio de troyanos (bots). También pretende brindar educación en materia de ciberseguridad a los usuarios, apoyándose en la entrega de alertas eficientes. Para el desarrollo de este trabajo de grado, se utilizaron los registros estadísticos de dispositivos móviles con sistema operativo Android más usado entre el 2015 y el 2018 y se realizó un laboratorio de máquinas virtuales para simular dichas distribuciones de Android, se examinaron sus principales características y eventos operativos tales como: permisos, firmas y tráfico, se intervino las aplicaciones seleccionadas con el paquete de Meterpreter para Android del framework Metasploit. Para la detección de los indicadores de compromiso en las aplicaciones infectadas se usaron aplicaciones como: Package Info, RL Permissions y Network Connections entre otras. Estos resultados hicieron posible el desarrollo de la plataforma CAM para Android con arquitectura cliente-servidor. La plataforma CAM se encarga de almacenar y correlacionar los eventos operativos validos de las aplicaciones legítimas, en una lista blanca y posteriormente brindar al usuario un informe eficiente que le permita evitar e identificar cuando una aplicación móvil genera una ciber-amenaza en un teléfono inteligente
Abstract
For malicious software detection that compromises applications in smartphones with Android Operating System, conventional controls, used between 2012 the first half of 2018, require a sample of malware to perform the detection. Most security controls run the applications analysis in the cloud, and not locally on the device. Other controls are limited to the applications offered in the Google Play Store. In addition, for the neutralization to be effective, most controls require special abilities most end user of Android doesn’t have. In this project, an analysis of these techniques is made, their forms of detection are compared, and their shortcomings are recorded. With the information obtained from these analyses, an application for Android operating systems is designed and implemented on mobile devices: CAM (Control for Mobile Applications). To ensure the applications integrity, it is checked if they have been intervened with malware, through the digital signatures' validation and events’ correlation. CAM proposes a strategy of co-responsibility between the mobile application developers and the operating system community users, based on active defense, so that security becomes systems attribute instead of just being a complementary service. The co-responsibility strategy aims for developers and users publishing their application main operational events white-list databases, to contrast them with the information generated by those applications' events. That way, the collected information may improve detection and mitigation of cyber threats such as espionage, information leakage, identity theft, password stealing, and remote device control through trojans (bots). The co-responsibility strategy also aims to provide education on cyber security to users, based on the delivery of efficient alerts. For the development of this degree work, statistical records of mobile devices with the most used Android operating system between 2015 and 2018, and a laboratory of virtual machines, were made to simulate said distributions of Android, its main features and operational events such as: permits, signatures, and traffic were examined. The selected applications were intervened with the Meterpreter for Android Package of the Metasploit framework. For the commitment indicators detection in the infected applications, applications such as Package Info, RL Permissions and Network Connections, among others were used. The results of these experiments made possible the development of the CAM platform for Android with client-server architecture development. The CAM platform is responsible for storing and correlating the legitimate applications valid operational events in a white list. This white list is used to provide efficient reports to users, so they are able to identify and avoid when a mobile application generates a cyber-threat on a smartphone