MobileSandbox: Ein Analyseframework für Android Applikationen

Michael Spreitzenbarth, Johannes Hoffmann, Hanno Lemoine, Thomas Schreck, Florian Echtler

Proceedings of the 13th Deutscher IT-Sicherheitskongress, Bonn, Germany, 2013


Abstract

Da sich Mobiltelefone immer größerer Beliebtheit erfreuen, rücken sie auch immer weiter in den Fokus von Kriminellen. Waren vor ein bis zwei Jahren nur einige hundert bösartige Applikationen in der freien Wildbahn verbreitet, sind es heutzutage mehr als 100.000 Applikationen und es kommen monatlich mehr als 5.000 neue Applikationen hinzu. Dies macht es notwendig, dass die Anzahl und vor Allem die Qualität der Analysetools gesteigert werden sollte. Dabei sollte der Fokus auf automatisierbaren Tools liegen, damit die rasant ansteigende Zahl an neuer Schadsoftware überhaupt bewältigt werden kann. In diesem Artikel wird ein Analyse-Framework für Android vorgestellt, das verschiedene statische und dynamische Analysen übersichtlich über ein Webinterface unter http://www.mobilesandbox.org zur Verfügung stellt. Folgende Punkte zeichnen dieses System aus: (1) Ein gutes Zusammenspiel aus statischer und dynamischer Analyse; (2) eine dynamische Analyse, die auf der am weitest verbreiteten Version von Android aufsetzt und (3) native Bibliotheken überwachen kann; (4) ein statisches Program Slicing, welches Konstanten aus Funktionsaufrufen auslesen kann, sowie (5) die Entdeckung von über- und unterprivilegierten Applikationen. Zusätzlich wird ein alternativer Ansatz für die dynamische Analyse vorgestellt. Darüber hinaus wurde bei der Evaluation von über 300.000 Applikationen aus diversen asiatischen und russischen Drittmärkten sowie aus dem offiziellen Google-Play Store zwei schädliche Applikationen entdeckt, die zum Zeitpunkt der Entdeckung durch die Mobile-Sandbox noch von keinem Antivirenscanner erkannt wurden.

[PDF]

Tags: Android, Malware, mobile, Program Slicing, statische Instrumentierung, statische und dynamische Analyse