$\require{mediawiki-texvc}$

연합인증

연합인증 가입 기관의 연구자들은 소속기관의 인증정보(ID와 암호)를 이용해 다른 대학, 연구기관, 서비스 공급자의 다양한 온라인 자원과 연구 데이터를 이용할 수 있습니다.

이는 여행자가 자국에서 발행 받은 여권으로 세계 각국을 자유롭게 여행할 수 있는 것과 같습니다.

연합인증으로 이용이 가능한 서비스는 NTIS, DataON, Edison, Kafe, Webinar 등이 있습니다.

한번의 인증절차만으로 연합인증 가입 서비스에 추가 로그인 없이 이용이 가능합니다.

다만, 연합인증을 위해서는 최초 1회만 인증 절차가 필요합니다. (회원이 아닐 경우 회원 가입이 필요합니다.)

연합인증 절차는 다음과 같습니다.

최초이용시에는
ScienceON에 로그인 → 연합인증 서비스 접속 → 로그인 (본인 확인 또는 회원가입) → 서비스 이용

그 이후에는
ScienceON 로그인 → 연합인증 서비스 접속 → 서비스 이용

연합인증을 활용하시면 KISTI가 제공하는 다양한 서비스를 편리하게 이용하실 수 있습니다.

안드로이드 스마트폰에서 사용자 상호작용을 이용한 앱 행위 추적 기법
Tracking Application Behaviors Using User Interactions on Android Smartphones 원문보기

융합보안논문지 = Convergence security journal, v.14 no.4, 2014년, pp.61 - 71  

안우현 (광운대학교 컴퓨터소프트웨어학과) ,  전영남 (LG전자 MC사업부)

초록
AI-Helper 아이콘AI-Helper

최근 안드로이드 스마트폰에서 악성 앱의 출현이 증가하고 있다. 하지만 매일 많은 앱이 출현되기 때문에 이들 앱을 분석하여 악성 앱을 탐지하기에는 많은 시간과 자원이 요구된다. 이로 인해 악성 앱이 많이 확산된 후에 대처하는 상황도 적지 않다. 본 논문은 악성 앱 가능성이 높은 앱을 우선적으로 분석할 수 있도록 앱 행위를 동적으로 추적하고 고위험성의 앱을 분류하는 TAU 기법을 제안한다. 이 기법은 사용자와 스마트폰의 상호작용으로 발생하는 앱의 설치, 유포 경로 및 실행 행위를 추적한다. 이런 추적된 행위 분석하여 Drive-by download 및 Update attack 공격 가능성이 있는 앱을 분류한다. 또한 악성 앱의 유포 경로로 많이 사용되는 리패키징 여부를 판별한다. 이런 분류를 통해 고위험성의 앱에 대한 악성 코드 분석을 우선적으로 실행하게 하여 악성 앱의 유포를 빨리 막을 수 있도록 한다.

Abstract AI-Helper 아이콘AI-Helper

In recent years, malwares in Android smartphones are becoming increased explosively. Since a great deal of appsare deployed day after day, detecting the malwares requires commercial anti-virus companies to spend much time and resources. Such a situation causes malwares to be detected after they have...

주제어

#Android security   #application behavior   #user interaction  

AI 본문요약
AI-Helper 아이콘 AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

  • 검사 대상 액티비티를 통해 앱이 어떤 경로로 다운로드 되었는지를 확인한다. TAI 리스트에서 웹브라우저 또는 앱 마켓 액티비티를 만나면 이들 액티비티의 앱에서 새로운 앱을 다운로드했다고 판단한다.
  • 본 논문은 사용자의 앱 설치 및 실행 행위를 추적하는 기법인 TAU를 제안한다. 이 기법은 사용자와 스마트폰의 상호작용으로 변화되는 앱의 실행 행위를 추적하고, 수집된 실행 행위를 통해 고위험성의 리패키징 여부를 확인한다.
  • 본 논문은 사용자의 앱 설치 및 실행 행위를 추적하여 Drive-by download, Update attack 및 리패키징 기법으로 유포되는 앱을 지정하는 TAU 기법을 제안한다. 스마트폰에서 사용자가 터치하면 해당 앱의 UI가 동일한 앱의 UI로 변경되거나 다른 앱의 UI로 전환된다.
  • 본 논문은 사용자의 앱 실행을 추적하여 앱 설치 경로를 분석하는 TAU 기법을 제안한다. 스마트폰에서 사용자가 터치를 주면 동일 앱에서 UI가 변경되거나 다른 앱으로의 실행이 전환한다.
  • 원격 서버는 전송된 액티비티들의 정보를 통해 Fake installation 가능성이 있는 앱으로 판별하는 과정은 다음과 같다. 액티비티들의 정보를 통해 패키지 매니저 이전에 실행된 액티비티의 앱이 웹브라우저 또는 마켓 앱이 실행되었는지 확인한다. 만일 이들 앱이 실행되었다면 Drive-by download 또는 마켓 앱에서의 새로운 앱을 다운로드했다고 판단한다.

가설 설정

  • (그림 3)은 액티비티와 백 스택의 동작에 대한 예제를 나타낸다. 액티비티 A, B, C는 동일 태스크에 포함된다고 가정한다. A에서 B로 실행되면 백 스택은 A의 상태를 저장하고 액티비티 B를 스택에 넣는다.
본문요약 정보가 도움이 되었나요?

질의응답

핵심어 질문 논문에서 추출한 답변
Drive-by download 및 Update attack 기법을 사용하는 악성 앱을 탐지하기 위해 어떤 기법이 제안되었나? Drive-by download 및 Update attack 기법을 사용하는 악성 앱을 탐지하기 위해 휴리스틱스 필터링 (Heuristics-based filtering) 기반의 탐지 기법[4]이 제안되었다. 이 기법은 다양한 마켓에서 앱을 수집하고, 그 앱 중에 DexClassLoader API가 있는지를 검사한다.
리패키징이란? 리패키징(Repackaging)은 이미 배포된 앱을 디컴파일하여 소스 코드로 변환 후 코드를 수정하거나 삽입하고, 다시 패키징하여 악성 앱을 유포하는 기법이다. 2013년에 가장 많이 발견된 악성 코드‘Andr/Qdplugin-A’는 전체 악성 코드의 43.
Drive-by download 기법은 어떻게 악성 행위를 수행하는가? 최근 많이 사용되는 스마트폰 악성 앱의 유포 경로 중의 한 기법은 Drive-by download[2]이다. 이 기법은 (그림 1)(a)처럼 SMS, QR Code 등을 이용하여 구글 마켓이 아닌 특정 URL로 사용자를 유도하여 앱을 설치하도록 유도하여 악성 행위를 수행한다. 이 기법을 사용하는 대표적인 앱인 Fake installer[2,3]는 (그림 1)(b)에 나타난다.
질의응답 정보가 도움이 되었나요?

참고문헌 (14)

  1. Android Market Statistic, http://www.androlib. com/appstats.aspx. 

  2. Y. Zhou and X. Jiang, 'Dissecting Android Mal ware: Characterization and Evolution.', Proceedings of the 33rd IEEE Symposium on Security and Privacy, May 2012. 

  3. Juniper Networks, '2013 Mobile Threats Report .', http://www.juniper.net/us/en/ local/pdf/additional-resources/jnpr-2012-mobile-threats-report.pdf, March 2013. 

  4. Y Zhou, Z Wang, W Zhou, X Jiang, 'Hey, You, Get off of my market: detecting malicious apps in official and alternative android markets.', Proceedings of the 19th Annual Network and Distributed System Security Symposium, February 2012. 

  5. Cisco 2014 Annual Security Report, https://www.cisco.com/web/offer/gist_ty2_asset/Cisco_2014_ASR.pdf. 

  6. Y. Wang, D. Beck, X. Jiang and R. Roussev, 'Automated Web Patrol with Strider honeyMonkeys: Finding Web Sites That Exploit Browser Vulnerabilities.', Proceedings of NDSS, 2006. 

  7. E. Moshchuk, T. Bragin, S. Gribble and H. Levy, 'A Crawler-based Study of Spyware on the Web.', Proceedings of NDSS, 2006. 

  8. A. Apvrille and T. Strazzere, 'Reducing the window of opportunity for Android malware Gotta catch 'emall.', Journal in Computer Virology, Vol. 8, No. 1-2, May 2012. 

  9. 전영남, 안우현, '안드로이드 스마트폰에서 앱 설치 정보를 이용한 리패키징 앱 탐지.', 한국융합보안학회 논문지, 제12권, 4호, pp.9-15, 2012. 

  10. W. Zhou, Y. Zhou, X. Jiang, and P. Ning, 'Detecting Repackaged Smartphone Application Third- Party Android Marketplaces.', Proceedings of the 2nd ACM Conference on Data and Application Security and Privacy, February 2012. 

  11. M. Polla, F. Martinelli, and D. Sgandurra, 'A Survey on Security for Mobile Devices.', IEEE Communications Surveys and Tutorial, Vol. 15, No. 1, 2013. 

  12. 김상형, '안드로이드 프로그래밍 정복.', 한빛미디어, 2011 

  13. Android Development Guide, http://developer.android.com/guide/components/tasks-and-back-stack.html 

  14. AV-TEST, 'Test Report: Anti-Malware solutions for Android.', March 2012. 

저자의 다른 논문 :

LOADING...

관련 콘텐츠

이 논문과 함께 이용한 콘텐츠

저작권 관리 안내
섹션별 컨텐츠 바로가기

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

AI-Helper 아이콘
AI-Helper
안녕하세요, AI-Helper입니다. 좌측 "선택된 텍스트"에서 텍스트를 선택하여 요약, 번역, 용어설명을 실행하세요.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.

선택된 텍스트

맨위로