Projektarbeit: Erkennung von Schadsoftware auf Androidgeräten

Während der Vorbereitung auf meine Masterarbeit habe ich diese Projektarbeit verfasst, dessen Schwerpunkt letztendlich die Erstellung des „App-Checkers“ war. Ein weiterer Schwerpunkt der Arbeit ist der Versuch aus Apps zur ihrer Laufzeit Informationen zu ihrem Verhalten zu entlocken.

In der Arbeit wird von einem Modell gesprochen, welches mit einer Support-Vektor-Maschine erstellt wurde. Dieses Modell enthält die Intelligenz vom App-Checker, also die Informationen welche Merkmale eine App enthalten muss damit sie als böse bzw. gut klassifiziert wird. Inzwischen gibt es eine Veröffentlichung zu dem Modell:

Drebin: Efficient and Explainable Detection of Android Malware in Your Pocket. (Daniel Arp, Michael Spreitzenbarth, Malte Hübner, Hugo Gascon, and Konrad Rieck.) In: Proc. of Network and Distributed System Security Symposium (NDSS), to appear 2014.

Drebin-Paper

 

Galaxy Gear Development – Kurztest

Schon als ich von meiner besseren Hälfte die Uhr das erste Mal in die Hand bekam, sah ich mit Freude die „USB-Debugging“-Option. Einmal aktiviert und an USB angeschlossen verhält sich die Uhr wie jedes andere Android-Gerät auch. Mit einer Neuerung, die ich bisher nicht kannte: Man muss den Debugging-Zugriff auf der Uhr explizit für den angeschlossenen Computer erlauben. Gleiches gilt im Übrigen auch für das Note 3, welches dann – wie die Uhr auch – den Nutzer automatisch nach Erlaubnis fragt.

Nach der Bestätigung ist die Uhr über die Android Debug Bridge (adb) ganz normal erreichbar und kann für die Entwicklung verwendet werden. Als Erstes habe ich mir mittels

adb shell

mal den Inhalt des Systems angesehen. Für vollen Zugriff gibt es sogar schon Rooting-Lösungen, die ich aber nicht getestet habe – ist ja nicht meine Uhr ;). Nachdem ich dann sichergestellt hatte, dass es sich um ein normales Android handelt wollte ich wissen:

Welche Apps wohl auf dieser Uhr laufen?

Mehr aus Faulheit mir zu überlegen, was man mal installieren könnte habe ich einfach in Eclipse beim App-Checker auf „Play“ gedrückt und siehe da, es installierte und startete völlig normal. Sogar das Layout war okay und ließ sich bedienen. Mit ein paar Tipps auf der Uhr war die zu analysierende App ausgesucht und die Analyse lief. Kurze Zeit später konnte man schon das Ergebnis begutachten und ich stellte fest: Auch die nativen Bibliotheken hatten ihre Arbeit geleistet.

Beeindruckt von dem Erfolg installierte ich TicTacTo, eine App, die ich für meine Hiwi-Stelle im „allgemeinen Programmierpraktikum“ an der Uni zu Testzwecken geschrieben hatte. Der Vorteil, ich hatte damals ein quadratisches Layout gebaut, von dem die Uhr natürlich absolut profitiert. Leider bin ich bisher nicht dazu gekommen eine anständige KI zu schreiben, aber im Alltag macht das Spiel – wenn überhaupt – eh nur mit echten Gegnern Spaß.

Da ich meiner Freundin jetzt etwas zum Spielen im Alltag installiert hatte, 😀 … überlegte ich kurz, was mögliche sinnvolle Anwendungen für die Uhr sein könnten und hatte zwei Ideen: Zum einen, ein Taschenrechner, den man so schnell griffbereit hat und zum Anderen einen QR-Code Scanner.

Nachdem sich der auf dem Note 3 vorhandene Taschenrechner nicht installieren lassen wollte, suchte ich im Google Play Store nach einem simplen Taschenrechner, der so aussieht, als würde er auch auf nahezu quadratischen Displays funktionieren können. Kurz und bündig: installieren und starten: ja; Benutzbarkeit: nein. Man müsste einen für das Display optimierten Taschenrechner zusammentüfteln.

Beim QR-Code Scanner hatte ich zunächst auch kein Glück, denn den QR-Code Scanner, den ich mir von meinem gerooteten S3 ausgeliehen habe wollte unbedingt die Google-Maps Bibliothek für die Installation haben (was ich prima mit meinem App-Checker überprüfen konnte … 🙂 ). Nach etwas Googlen fand ich einen weiteren QR- und Barcode Scanner, der nicht so aussah, als wollte er irgendwelche Karten anzeigen und lud diesen aus dem Play-Store runter. Die Installation klappte problemlos. Allerdings forderte es eine Menge Konzentration den Bildausschnitt des QR-Codes in das vorgegebene Fenster zu bringen, denn die Displayausrichtung passte nicht sonderlich gut zu der Kamera, sodass man die Uhr in zwei von drei Dimensionen spiegelverkehrt bewegen musste.

Als ich also nun herausgefunden hatte, das sich die Uhr durchaus auch für Entwicklung eignet habe ich mal etwas gegoogelt und einen Beitrag gefunden, in dem der Nova Launcher installiert wird, mit dem man dann das Gefühl einer normalen Androidoberfläche bekommt – funktioniert auch, habe aber keinen Vorteil darin gesehen.

Eins noch: Nach einem Update musste ich den Entwicklermodus freischalten, was ich mit 7x drücken auf die Softwareversion geschafft habe – auch eine Neuerung, die ebenfalls im Note 3 Einzug erhalten hat.

P.S.: Die Screenshots habe ich mit

adb shell  screencap -p /sdcard/<screenshot_name.png>

und

adb pull 

gemacht.

Access /data/app/-content from Android-application

Da meine App „App-Checker“ auf dem Handy andere Apps analysieren kann, sollte sie auch Zugriff auf die bereits auf dem Handy installierten Apps haben. Der Dateibrowser kann ohne root-Rechte allerdings nicht zu dem Ordner /data/app/ navigieren, da der „App-Checker“ nicht die Rechte besitzt den Inhalt zu lesen.

Dass es aber eine Möglichkeit gibt, die Apps aus dem Ordner zu lesen habe ich bei „Dex Dump“ und „Dexplorer“ gesehen und bin dem nachgegangen. Eigentlich ist die Lösung ganz einfach… 😉 :

private List<File> getDataApps(String dir) {
	ArrayList<File> list = new ArrayList<File>();
	Iterator<ApplicationInfo> apps = this.getPackageManager()
		.getInstalledApplications(PackageManager.GET_ACTIVITIES)
		.iterator();
	while (apps.hasNext()) {
		ApplicationInfo applicationInfo = (ApplicationInfo) apps.next();
		String path = applicationInfo.sourceDir;
		if (path.startsWith(dir)) {
			list.add(new File(path));
		}
	}
	return list;
}

App-Checker Desktop: A Java Static Feature Generator for APK-Files

Dieses Tool mit dem Namen „App-Checker Desktop“ ist in der Lage aus einer *.apk-Datei – also einer Android-App – die unten genannten Merkmale zu extrahieren.

Hintergrund: Dieses Tool, was kurzfristig den Namen „App-Checker Desktop“ erhalten hat, entstand während der Projektphase zu meiner Masterarbeit und ist die Desktop-Version der im Rahmen dieses Projektes entwickelten App (dem App-Checker).

Motivation: Damit der App-Checker mittels der Methode  „Drebin“ Vorhersagen über die Bös- oder Gutartigkeit dritter Apps – auf dem Android-Gerät – machen kann, muss er in der Lage sein aus einer *.apk-Datei die gleichen Merkmale zu extrahieren, wie es der Webservice Mobile Sandbox tut. Mit der hier vorgestellten Desktop-Version kann man nun unabhängig von Android-Gerät oder der Mobile Sandbox die folgenden Merkmale auf dem Rechner generieren:

Aus dem Android-Manifest:

1. Angeforderte Rechte der App
2. Angeforderte Hard- und Software
3. Intents
4. Activities
5. Services
6. ContentProvider
7. Broadcast Reciever

Aus dem dexdump -d – Auszug (Assambler der App):
1. Benutzte Rechte
2. Benutzte API-Aufrufe, die Rechte benötigen
3. Benutzte gefährliche API-Aufrufe (können selbst festgelegt werden)
4. Benutzte „Networks“
5. Gefundene URLs und IPs

Ist man nicht wie ich an Java als Programmiersprache gebunden empfehle ich für diesen Anwendungsfall androguard.

 

AppChecker Desktop
AppChecker Desktop
AppChecker Desktop.zip
Version: 1.0
3.8 MiB
115 Downloads
Details