DroidDissector : Un nouvel outil pour la recherche sur les malwares Android
DroidDissector aide les chercheurs à identifier les malwares Android efficacement en utilisant des analyses statiques et dynamiques.
― 5 min lire
Table des matières
DroidDissector est un outil créé pour aider les gens qui étudient les malwares sur Android. Les malwares sont des logiciels nuisibles qui peuvent endommager les appareils ou voler des infos. Cet outil permet aux chercheurs de rassembler des infos importantes sur les applis Android, ce qui peut aider à détecter les malwares plus rapidement et efficacement.
Pourquoi Android est populaire et ses problèmes de sécurité
Android est le système de smartphone le plus populaire au monde, avec une part de marché de plus de 71 %. Cette popularité vient de la facilité d'accès aux applis. Les utilisateurs peuvent télécharger des applis depuis le Play Store officiel ou d'autres magasins tiers sans trop de tracas. Mais cet accès facile soulève des préoccupations sérieuses en matière de sécurité, surtout concernant les malwares. Les malwares peuvent entraîner divers problèmes, comme la perte d'argent, le vol d'infos personnelles et des pubs indésirables.
Le nombre de nouveaux malwares Android est alarmant, avec de nouvelles menaces qui apparaissent toutes les 23 secondes. Du coup, c'est crucial d'avoir de bonnes méthodes pour identifier et stopper les malwares avant qu'ils ne causent des dégâts.
Méthodes de détection traditionnelles
Par le passé, la plupart des méthodes pour trouver des malwares reposaient sur la détection par signature. Ça veut dire que pour que l'outil fonctionne, il faut une liste à jour des malwares connus. Le problème de cette méthode, c'est qu'elle a du mal à détecter les nouveaux types de malwares.
Ces dernières années, des méthodes utilisant l'apprentissage automatique pour trouver des malwares ont pris de l'ampleur. Ces méthodes nécessitent souvent une grande collection de données d'applis Android et l'extraction de caractéristiques des applis pour être efficaces. DroidDissector est conçu pour faire juste ça en rassemblant des données utiles pour la détection.
Outils actuels et leurs limites
Il y a quelques outils couramment utilisés pour analyser les applis Android. L'un des plus anciens est DroidBox, qui ne fonctionne que sur les anciennes versions d'Android. Il collecte des infos mais n'est plus mis à jour. AndroPyTool peut extraire des données des applis, mais il repose aussi sur des méthodes obsolètes. L'outil le plus à jour est Mobile Security Framework (MobSF), destiné à un usage pro et pas trop utilisé en recherche.
DroidDissector vise à combler le vide laissé par ces outils. Il offre une plateforme unique pour collecter un large éventail de caractéristiques des applis Android, simplifiant la détection des malwares pour les chercheurs.
Comment fonctionne DroidDissector
DroidDissector a deux parties principales : l'Analyse Statique et l'Analyse Dynamique. L'analyse statique examine l'appli avant qu'elle ne s'exécute, tandis que l'analyse dynamique observe le comportement de l'appli pendant qu'elle tourne.
Analyse statique
La partie analyse statique utilise un programme appelé APKtool pour décomposer les fichiers APK (le format de package pour les applis Android). Cette étape est nécessaire car elle permet à DroidDissector de collecter des informations essentielles sur l'appli, comme :
- Composants matériels : Les applis peuvent utiliser des parties matérielles de l'appareil comme les caméras et le GPS.
- Autorisations : Android utilise des autorisations pour contrôler ce que les applis peuvent faire. C'est crucial pour la sécurité.
- Composants de l'appli : Les applis Android contiennent généralement quatre parties principales : activités, services, récepteurs de diffusion et fournisseurs de contenu.
- Intents filtrés : Ce sont des commandes qui informent l'appli des actions qu'elle peut recevoir.
- Appels API : L'outil cherche à la fois des appels API restreints et suspects.
DroidDissector enregistre ces infos dans des fichiers séparés pour une consultation facile.
Analyse dynamique
La partie analyse dynamique de DroidDissector teste l'appli pendant son exécution. Elle inclut plusieurs étapes importantes pour rassembler des caractéristiques essentielles à la détection des malwares.
Appels système : Cet outil collecte des infos sur les appels système que fait l'appli. C'est réalisé en utilisant un outil appelé strace, qui observe comment l'appli interagit avec le système d'exploitation.
Trafic réseau : L'analyse dynamique peut vérifier l'activité réseau d'une appli grâce à un utilitaire appelé tcpdump. Cela aide à identifier toute donnée suspecte envoyée ou reçue.
Android Logcat : Cet outil enregistre les messages système et les erreurs. DroidDissector sauvegarde ces logs, ce qui facilite la détection de comportements inhabituels.
Appels API : Cette partie peut prendre soit une liste d'appels API que l'appli utilise réellement, soit une liste que l'utilisateur veut surveiller. Frida est utilisé pour suivre ces appels en temps réel.
L'importance de l'extraction de caractéristiques
Le principal objectif de DroidDissector est de fournir aux chercheurs un outil centralisé qui combine analyse statique et dynamique. C'est bénéfique car les outils précédents ne collectent généralement qu'un type de données. Avec DroidDissector, les utilisateurs peuvent analyser une appli de manière complète en une fois.
La collecte de caractéristiques est guidée par des recherches approfondies, garantissant que l'outil recueille des données pertinentes pour détecter les malwares. Cette approche simplifie considérablement le processus d'analyse pour les chercheurs.
Améliorations futures
L'équipe derrière DroidDissector prévoit de continuer à améliorer l'outil en ajoutant plus de fonctionnalités et en intégrant d'autres outils. Cet engagement envers le développement continu est vital pour rester en avance sur les menaces de malwares en évolution.
Conclusion
DroidDissector est un outil essentiel pour la recherche sur les malwares Android, combinant analyse statique et dynamique en un seul endroit. Son développement répond aux lacunes des outils existants et offre une solution conviviale pour identifier les malwares dans les applis Android. Alors qu'Android continue de gagner en popularité, des outils comme DroidDissector joueront un rôle essentiel pour améliorer la sécurité et protéger les utilisateurs contre les logiciels malveillants.
Titre: DroidDissector: A Static and Dynamic Analysis Tool for Android Malware Detection
Résumé: DroidDissector is an extraction tool for both static and dynamic features. The aim is to provide Android malware researchers and analysts with an integrated tool that can extract all of the most widely used features in Android malware detection from one location. The static analysis module extracts features from both the manifest file and the source code of the application to obtain a broad array of features that include permissions, API call graphs and opcodes. The dynamic analysis module runs on the latest version of Android and analyses the complete behaviour of an application by tracking the system calls used, network traffic generated, API calls used and log files produced by the application.
Auteurs: Ali Muzaffar, Hani Ragab Hassen, Hind Zantout, Michael A Lones
Dernière mise à jour: 2023-11-30 00:00:00
Langue: English
Source URL: https://arxiv.org/abs/2308.04170
Source PDF: https://arxiv.org/pdf/2308.04170
Licence: https://creativecommons.org/licenses/by/4.0/
Changements: Ce résumé a été créé avec l'aide de l'IA et peut contenir des inexactitudes. Pour obtenir des informations précises, veuillez vous référer aux documents sources originaux dont les liens figurent ici.
Merci à arxiv pour l'utilisation de son interopérabilité en libre accès.