JP2014063490A - 危険度計算を通じたリパッケージアプリケーションの分析システム及び分析方法 - Google Patents
危険度計算を通じたリパッケージアプリケーションの分析システム及び分析方法 Download PDFInfo
- Publication number
- JP2014063490A JP2014063490A JP2013188915A JP2013188915A JP2014063490A JP 2014063490 A JP2014063490 A JP 2014063490A JP 2013188915 A JP2013188915 A JP 2013188915A JP 2013188915 A JP2013188915 A JP 2013188915A JP 2014063490 A JP2014063490 A JP 2014063490A
- Authority
- JP
- Japan
- Prior art keywords
- application
- name
- risk
- android
- package
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004364 calculation method Methods 0.000 title claims abstract description 62
- 238000000034 method Methods 0.000 title claims abstract description 12
- 238000004458 analytical method Methods 0.000 claims abstract description 77
- 230000000694 effects Effects 0.000 claims description 48
- 239000000284 extract Substances 0.000 claims description 7
- 230000006835 compression Effects 0.000 claims description 3
- 238000007906 compression Methods 0.000 claims description 3
- 238000007689 inspection Methods 0.000 description 10
- 238000001514 detection method Methods 0.000 description 8
- 238000012790 confirmation Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000003211 malignant effect Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 3
- 230000001413 cellular effect Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
- 238000011897 real-time detection Methods 0.000 description 1
- 229960005486 vaccine Drugs 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/28—Error detection; Error correction; Monitoring by checking the correct order of processing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/51—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Abstract
【課題】リパッケージされて悪性コードが添付されたアプリケーションを探知し、危険度計算を通じたリパッケージアプリケーションの分析システム及び分析方法を提供する。
【解決手段】アプリケーション圧縮を解除し、AndroidManifestファイルとDexファイルを抽出するデコンパイラ102と、デコンパイラ102が抽出した各ファイルにおいて、特定情報の改ざんの有無を分析する分析モジュール106と、分析情報により、アンドロイドアプリケーションが悪性コードを含んでいる可能性を示す危険度を点数に換算する危険度計算モジュール110と、を含み、分析対象となるアンドロイドアプリケーションを、危険度により、正常アプリケーション、リパッケージ疑心アプリケーション、リパッケージ悪性アプリケーションのいずれかに分類する。
【選択図】図2
【解決手段】アプリケーション圧縮を解除し、AndroidManifestファイルとDexファイルを抽出するデコンパイラ102と、デコンパイラ102が抽出した各ファイルにおいて、特定情報の改ざんの有無を分析する分析モジュール106と、分析情報により、アンドロイドアプリケーションが悪性コードを含んでいる可能性を示す危険度を点数に換算する危険度計算モジュール110と、を含み、分析対象となるアンドロイドアプリケーションを、危険度により、正常アプリケーション、リパッケージ疑心アプリケーション、リパッケージ悪性アプリケーションのいずれかに分類する。
【選択図】図2
Description
本発明は、危険度計算を通じたリパッケージアプリケーションの分析システム及び分析方法に関し、より詳しくは、アンドロイドスマートフォンに設置されたアプリケーションがリパッケージされたものであるかを点数化し、悪性コードの存在の有無を確認するようにする、危険度計算を通じたリパッケージアプリケーションの分析システム及び分析方法に関する。
スマートフォンの動作を制御する運用体系(ОS)には、アップルのiОS、グーグルのアンドロイド、ノキアのシンビアン、リムのブラックベリー、マイクロソフトのウィンドモバイル等がある。この中で、iОSとアンドロイドが最も多く用いられているが、アップルが運用するアップストアを通じてのみ、閉鎖的にアプリケーションを配布するiОSとは異なり、アンドロイドОSを用いるスマートフォンは、いくつかの経路を通じてアプリケーションをダウンロードされ得る。
多様な形態のアプリケーションマーケットを通じて伝播されるアンドロイド用アプリケーションには、悪意的な意図で作製された悪性コードが一緒に含まれており、使用者がアプリケーションを用いる間、使用者が意図しなかった情報の流出が生じてしまうことがある。
スマートフォン用のワクチンプログラムや悪性コード探知プログラムが多く公開されてはいるが、一日にも数万個ずつ公開されるアプリケーションを全て検査することは、現実的に不可能であり、これをダウンロードされて用いる使用者が、個別的に悪性コードの存在の有無を検査して注意するより仕方がない。
特に、正常のアンドロイドマーケットではなく、私設マーケットであるブラックマーケットに登録されるアプリケーションは、最小限の検証手続きもないので、リパッケージ等の悪意的なアプリケーションの流通経路で多く活用されていることが実状である。
図1は、従来技術によるアンドロイドアプリケーションの悪性コード探知システムの構造を示すブロック図である。
図1に示すように、悪性コード探知システムが設置された携帯端末1は、リヌックスカーネル(Linux(登録商標) Kernel)5に基づき、サンプルアプリケーション10が実行されるアプリケーション部2と、携帯電話検査(Scan)12、実時間探知(Real Time)14、検査目録(History)16の確認、パターンアップデート(Pattern Update)18等の機能を行うためのアプリケーションフレームワーク(Application Framework)3と、ファイルチェック(Check File)20と暗号化されたクリプト(Crypto)22とで構成されるライブラリ(Libraries)4と、からなる。
パターンサーバー50は、前記携帯端末1の悪性コードと危険ファイルの診断のためのパターンアップデートのためのパターンデータ54と、前記パターンデータ54を暗号化し、前記携帯端末1に提供するためのクリプトサーバ(Crypto Server)52とからなる。
携帯端末1のSDカードフォルダ及びアプリケーションに対する検査が始まると、SDカードの全体のファイル目録と、前記携帯端末1に設置されているアプリケーション目録をロードする。
アンドロイド運用体系における実行ファイルの拡張子はapkであり、いくつかのファイルが圧縮されている。
アプリケーションフレームワーク3は、拡張子がapkである実行ファイルに対して、シグネチャー(Signature)基盤のパターン検査を進行する。前記シグネチャー基盤のパターン検査は、事前に定義されて保存された悪性コードとのパターンを比較するものであって、悪性コードの有無の検査のために、パターンが一致するか否かを判断する。
パターンに対する判断の結果、検査された実行ファイルのパターンと一致するパターンが存在する場合、該当実行ファイルを悪性コードと規定する。また、判断の結果、検査された実行ファイルのパターンと一致するパターンが存在しない場合は、2次でヒューリスティック検査を通じて、当該ファイルの危険性の有無を判断するようになる。
このような検査が全て完了すると、検査結果をデータベースに保存する。
また、ヒューリスティック検査により、ファイルの危険性の有無を診断する方法は、先ず、apkの拡張子を有するファイルの圧縮を解除し、AndroidManifest.xmlファイルを確認する。
前記AndroidManifest.xmlファイルは、インターネット連結、住所録接続、システム接続等のような権限が保存されているファイルであって、バイトを比較して、どんな権限がパターンデータベースにあるかを確認する。
前記パターンデータベースは、ヒューリスティックパターンとウィルスパターンに区分される。
ヒューリスティックパターン検査は、一例として、インターネット接続権限と、それ以外の権限とが組み合わせられる場合、危険性のあるファイルとみなすが、これは、インターネット接続権限と住所録読取り、データ読取り、文字メッセージ読取り、携帯電話記録確認、位置情報確認、携帯電話情報確認等の権限が組み合わされると、他のサーバに伝送が可能となるからである。
このような問題のあるアプリケーションの場合は、使用者が知らない間に携帯電話の情報を取得して外部に送ることができるので、危険性のある悪性アプリケーションとみなし、使用者に知らせることが好ましい。
ところが、このような探知方法は、アプリケーションを第三者が新たな方式で再構成した「リパッケージアプリケーション」に適用する場合、悪性コードであるか否かを探知できない危険がある。すなわち、アプリケーションに含まれたDexファイルを新たに作ってリパッケージアプリケーションを作った場合は、正常のアプリケーションが付与された正常の権限として認識し、悪性コードとして把握しないこともあり得る。
本発明は、上記問題点に鑑みなされたものであり、その目的は、アンドロイドアプリケーションに含まれたAndroidManifestファイルとDexファイルにおいて、名前やID、ストリングを分析し、第三者により無断でリパッケージされながら悪性コードが添付されたアプリケーションを探知可能にする、危険度計算を通じたリパッケージアプリケーションの分析システム及び分析方法を提供することにある。
また、本発明の他の目的は、リパッケージアプリケーションの危険度をそれぞれの区間別に点数化することにより、リパッケージアプリケーション、リパッケージ疑心アプリケーション、正常アプリケーションに、段階別に分類可能にする、危険度計算を通じたリパッケージアプリケーションの分析システム及び分析方法を提供することにある。
上述した目的を達成するために、本発明は、アンドロイドアプリケーションを分析してリパッケージアプリケーションを探知するシステムであって、分析対象となるアンドロイドアプリケーションをロードし、前記アプリケーション圧縮を解除し、AndroidManifestファイルとDexファイルを抽出するデコンパイラ102と、前記デコンパイラ102が抽出した前記AndroidManifestファイルまたは前記Dexファイルにおいて、特定情報の変調の有無を分析する分析モジュール106と、悪性コードの作製及び配布と関連したパブリッシャーのIDを集めたブラックリストと、悪性コードの作製及び配布と無関係なパブリッシャーのIDを集めたファイトリストと、悪性パッケージの名前と悪性コード文字列についての情報を保存するブラックリストデータベース108と、前記分析モジュール106が生成した前記アンドロイドアプリケーションについての分析情報が伝送されると、前記分析情報により、前記アンドロイドアプリケーションが悪性コードを含んでいる可能性を示す危険度を点数に換算する危険度計算モジュール110と、を含み、前記分析対象となるアンドロイドアプリケーションを、前記危険度により、正常アプリケーション、リパッケージ疑心アプリケーション、リパッケージ悪性アプリケーションのいずれかに分類することを特徴とする。
前記分析モジュール106は、前記AndroidManifestファイルに含まれたアプリケーション情報のうち、パッケージの名前とメインアクティビティの名前を抽出し、前記パッケージの名前と前記メインアクティビティの名前の類似性の程度を分析し、前記危険度計算モジュール110に伝達する名前分析器106aと、前記AndroidManifestファイルに含まれたパブリッシャーIDが、前記ファイトリストまたは前記ブラックリストから発見されるかを分析し、前記危険度計算モジュール110に伝達するID分析器106bと、前記AndroidManifestファイルまたは前記Dexファイルにおいて、悪性パッケージの名前または悪性コード文字列が発見されるかを分析し、前記危険度計算モジュール110に伝達するストリング分析器106cと、を含む。
他の実施例による本発明は、上述した分析システムを用いたリパッケージアプリケーションの探知方法であって、デコンパイラ102が分析対象となるアンドロイドアプリケーションをロードし、前記アプリケーションの圧縮を解除し、AndroidManifestファイルとDexファイルを抽出する第1段階と、分析モジュール106が前記デコンパイラ102が抽出した前記AndroidManifestファイルまたは前記Dexファイルにおいて、特定情報の悪意有る改ざんの有無を分析する第2段階と、前記分析モジュール106が生成した前記アンドロイドアプリケーションについての分析情報が伝送されると、危険度計算モジュール110が、前記分析情報により、前記アンドロイドアプリケーションが悪性コードを含んでいる可能性を示す危険度を点数に換算する第3段階と、危険度計算モジュール110が、前記アンドロイドアプリケーションを、前記危険度により、正常アプリケーション、リパッケージ疑心アプリケーション、リパッケージ悪性アプリケーションのいずれかに分類する第4段階と、を含む。
前記第2段階は、前記分析モジュール106に含まれた名前分析器106aが、前記AndroidManifestファイルに含まれたアプリケーション情報のうち、パッケージの名前とメインアクティビティの名前を抽出し、前記パッケージの名前と前記メインアクティビティの名前の類似性の程度を分析し、前記危険度計算モジュール110に伝達する第2‐1段階と、前記分析モジュール106に含まれたID分析器106bが、前記AndroidManifestファイルに含まれたパブリッシャーIDが前記ブラックリストから発見されるかを分析し、前記危険度計算モジュール110に伝達する第2‐2段階と、前記分析モジュール106に含まれたストリング分析器106cが、前記AndroidManifestファイルまたは前記Dexファイルにおいて、悪性パッケージの名前または悪性コード文字列が発見されるかを分析し、前記危険度計算モジュール110に伝達する第2‐3段階と、を含む。
前記第2‐1段階において、前記名前分析器106aの分析の結果、前記メインアクティビティの名前が、「パッケージの名前」と「パッケージの名前の最後の部分」が「.」で結合された形態である場合は、前記危険度計算モジュール110が、前記アンドロイドアプリケーションに対する危険度点数を5%加算し、前記メインアクティビティの名前が前記パッケージの名前と異なり、前記メインアクティビティの名前に前記パッケージの名前が含まれていない場合は、前記危険度計算モジュール110が、前記アンドロイドアプリケーションに対する危険度点数を50%加算し、前記メインアクティビティの名前が前記パッケージの名前と異なり、前記メインアクティビティの名前に前記パッケージの名前が含まれている場合は、前記危険度計算モジュール110が、前記アンドロイドアプリケーションに対する危険度点数を15%加算することを特徴とする。
前記第2‐2段階において、前記ID分析器106bの分析の結果、前記パブリッシャーIDが、前記ファイトリストに含まれた場合は、前記危険度計算モジュール110が、前記アンドロイドアプリケーションに対する危険度点数を加算せず、前記パブリッシャーIDが前記ブラックリストに含まれた場合は、前記危険度計算モジュール110が、前記アンドロイドアプリケーションに対する危険度点数を20%加算し、前記パブリッシャーIDが前記ファイトリストと前記ブラックリストのいずれにも含まれていない場合は、前記危険度計算モジュール110が、前記アンドロイドアプリケーションに対する危険度点数を10%加算することを特徴とする。
前記第2‐3段階において、前記ストリング分析器106cの分析の結果、前記悪性パッケージの名前と前記悪性コード文字列が発見されなかった場合は、前記危険度計算モジュール110が、前記アンドロイドアプリケーションに対する危険度点数を加算せず、前記悪性パッケージの名前が発見された場合は、前記危険度計算モジュール110が、前記アンドロイドアプリケーションに対する危険度点数を12%加算し、前記悪性コード文字列が発見された場合は、前記危険度計算モジュール110が、前記アンドロイドアプリケーションに対する危険度点数を30%加算することを特徴とする。
本発明によると、悪性アプリケーションに改ざんされたリパッケージに対する汎用的な探知が可能となる。
また、点数化した危険度計算方式を適用することにより、悪性アプリケーション探知の誤謬を最小化し、評判探知を通じて、知られていない脅威的なアプリケーションを事前に探知して遮断することができる。
以下、添付した図面に基づき、本発明の好適な実施例について詳述する。
図2は、本発明の実施例による悪性コード分析システムの構造を示すブロック図であり、図3は、図2の分析システムを用いた悪性コード分析方法の過程を示すフローチャートである。
図2と図3を参照して、分析システムと分析方法を同時に説明する。
本発明の分析システム100は、デコンパイラ102、アプリケーションデータベース104、分析モジュール106、ブラックリストデータベース108、危険度計算モジュール110を含む。
デコンパイラ102は、アプリケーションデータベース104に保存されたアンドロイド用アプリケーションファイル(拡張子がapkである実行ファイル)をロードし、アプリケーションファイルの圧縮を解除(デコンパイル)し、AndroidManifestファイルとDexファイルを抽出する。抽出されたAndroidManifestファイルとDexファイルは、分析モジュール106に伝達され、リパッケージアプリケーションの探知が行われる。
AndroidManifestファイルは、アプリケーションがどんなアクティブを行い、ここに必要な権限はどんなものであるか等についての情報を持っているファイルであって、プロジェクトのバージョンや名前、実行権限等のアプリケーション情報を含んでいる。
Dexファイルは、コンパイルされたJava(登録商標)クラスで作った実行ファイルであり、アンドロイド端末のダルビック仮想マシン(Dalvik virtual machine)が認識可能に、Java(登録商標)クラスファイルをバイトコードに変換させたファイルである。ダルビック仮想マシンは、Dexファイルにおいて、特定のJava(登録商標)クラスをロードし、アプリケーションが目標とする動作を実行させる。
AndroidManifestファイルは、デコンパイラ102により、テキスト文書にデコンパイルされ、Dexファイルは、Jarファイル(*.Jar)またはJava(登録商標)ファイル(*.Java(登録商標))にデコンパイルされる。
分析モジュール106は、デコンパイラ102によって圧縮が解除されて伝達されたAndroidManifestファイルとDexファイルにおいて、特定情報の変調の有無を把握し、アプリケーションが悪意的な目的によりリパッケージされたものであるかを把握する。
名前分析器106aは、デコンパイルされたAndroidManifestファイルに含まれたアプリケーション情報のうち、パッケージの名前とメインアクティビティの名前がある程度同一であるかを分析する。
アクティビティは、アプリケーションの基本となる単位であって、数個のアクティビティが集まって一つのアプリケーションを構成する。その中で、アプリケーションの動作が始まるとき、最初に実行されるアクティビティをメインアクティビティと定義する。
アンドロイドアプリケーションにおいて、パッケージの名前とメインアクティビティの名前が同一であると、プログラムに誤謬が生じるため、正常のアンドロイドアプリケーションでも、パッケージの名前とメインアクティビティの名前は同一ではない。
また、二つの名前が異なる場合も、アプリケーションの動作に何らの問題がないので、開発者の選択により自由に名前を定めることができる。しかし、殆どのアンドロイドアプリケーションでは、パッケージの名前の最後の部分をメインアクティビティの名前に用いる場合が多いので、このような傾向を用いてリパッケージの有無を判断する。
図4は、正常アプリケーションにおけるパッケージの名前とメインアクティビティの名前の構造を示す表である。
パッケージの名前またはメインアクティビティの名前は、拡張子または文句が「.」により連結される構造を有するが、「パッケージの名前の最後の部分」とは、最後にある「.」の次にある文字列を意味する。
図4では、パッケージの名前は、「com.dseffects.MonkeyJump2」であり、その中で、最後にある「MonkeyJump2」が「パッケージの名前の最後の部分」となる。
正常のメインアクティビティの名前は、パッケージの名前の後に、「.」と「パッケージの名前の最後の部分」が追加された形態(com.dseffects.MonkeyJump2.MonkeyJump2)からなる。
このような形態を有する場合は、正常のアプリケーションとみなす。
メインアクティビティの名前を確認するためには、デコンパイルされたAndroidManifestファイルを分析し、「android:name=“android.intent.action.MAIN”」の文句が書かれたアクティビティから探す。
また、図5は、リパッケージ悪性アプリケーションにおけるパッケージの名前とメインアクティビティの名前の構造を示す表である。
図5に示すように、パッケージの名前(com.power.SuperSolo)とメインアクティビティの名前(com.android.root.main)が全く異なる場合は、リパッケージアプリケーションと判断する。
また、パッケージの名前とメインアクティビティの名前が全く同一ではないが、パッケージの名前になかった単語が追加されて、メインアクティビティの名前として用いられる場合もある。このような場合は、正常のアプリケーションとみなさないが、そうとしても、リパッケージアプリケーションと断定することもできない。したがって、一定の点数を付与し、最終的にアプリケーションを分析するとき、点数による危険度を計算するが、このようなアプリケーションを「リパッケージ疑心アプリケーション」と定義する。
図6は、リパッケージ疑心アプリケーションにおけるパッケージの名前とメインアクティビティの名前の構造を示す表である。
図6に示すように、メインアクティビティの名前(ad.notify.OperaUpdaterActivity)にパッケージの名前(ad.notify)が含まれてはいるが、パッケージの名前の後に「パッケージの名前の最後の部分」が追加されたものではなく、全く異なる文字列(OperaUpdaterActivity)が追加された場合は、リパッケージ疑心アプリケーションであるものと分類する。
一方、ID分析器106bは、デコンパイルされたAndroidManifestファイルに含まれたアプリケーション情報のうち、パブリッシャーIDを分析し、悪性コードと関連したことのあるパブリッシャーであるかを分析する。
パブリッシャーIDは、アプリケーションに広告を記載するとき、識別用として用いられるIDであって、特定の配布者の身分を示す役割をする。
図7は、アプリケーションにおけるパブリッシャーIDが表示された部分を示す表である。アプリケーションでは、「PUBLISHER_ID」を表示する部分において、「android:value=」の後にある値がパブリッシャーIDである。図7では、「a14af86c0dcb0f4」がパブリッシャーIDである。
分析システム100は、既存の悪性コードの作製や配布と関連したものと認定されたパブリッシャーIDを集めたブラックリストを用いて、リパッケージアプリケーションを探知する。
悪性パブリッシャーのIDを記載したブラックリストは、ブラックリストデータベース108に保存され、ブラックリストデータベース108は周期的にまたはイベントが生じる度に更新される。
ブラックリストデータベース108には、ブラックリスト以外に、ファイトリストも保存される。ファイトリストは、悪性コードと関連のない正常のパブリッシャーのIDを集めたものであって、特定のパブリッシャーIDがファイトリストにあれば、特定のパブリッシャーが作製して配布したアプリケーションは、正常のアプリケーションであるものとみてもよいと言える。ID分析器106bは、ファイトリストとブラックリストを全て検索し、パブリッシャーIDが発見されたかを確認する。
一方、ストリング分析器106cは、デコンパイルされたAndroidManifestファイルとDexファイルに悪性パッケージの名前や悪性コード文字列(Malware
String)が含まれているかを分析し、リパッケージアプリケーションを探知する。
String)が含まれているかを分析し、リパッケージアプリケーションを探知する。
悪性パッケージの名前とは、過去、悪性コードを含むアプリケーションのパッケージの名前として用いられたことのある名称を意味する。また、悪性コード文字列とは、悪性アプリケーションにおいてよく用いられる文字列として、過去に探知された悪性アプリケーションを分析して発見された文字列に対する情報を含む。
図8は、悪性パッケージの名前と悪性コード文字列の代表的な事例を示す表である。
代表的な悪性パッケージの名前と悪性コード文字列に対する情報は、ブラックリストデータベース108に保存され、新たな悪性コードが発見される度に、ブラックリストのアップデートを行う。
名前分析器106a、ID分析器106b、ストリング分析器106cがそれぞれ分析したアプリケーションの分析情報は、危険度計算モジュール110に伝達される。
アプリケーション分析情報は、分析対象となるアプリケーションにおいて、パッケージの名前とメインアクティビティの名前がある程度同一であるか、パブリッシャーIDがブラックリストデータベース108のファイトリストまたはブラックリストにおいて発見されたか、悪性パッケージの名前や悪性コード文字列が発見されたか等に対するデータを含む。
アプリケーション分析情報を受けた危険度計算モジュール110は、分析された情報の程度に応じて、当該アプリケーションの危険度を点数に換算する。危険度は、分析対象となるアンドロイドアプリケーションの悪意的なリパッケージ過程において、悪性コードが挿入された可能性を示す指標となる。
点数に換算された危険度が、ある範囲にあるかにより、分析システム100は、リパッケージアプリケーションであるかを判断し、リパッケージアプリケーションの実行を遮断する。
危険度計算モジュール110は、分析モジュール106から伝達される分析情報に基づき、アプリケーションの危険度を点数に表示するが、総点を基準として、名前分析器106aの分析情報を50%反映し、ID分析器106bの分析情報を20%、ストリング分析器106cの分析情報を30%反映して総点を計算する。
例えば、総点が100点であると仮定すると、名前が同一か否かを分析した点数を50点と、パブリッシャーIDの危険度を20点と、悪性コードの危険度を30点とするものである。
このような構成を用いたリパッケージアプリケーションの分析方法を説明すると図3の通りである。
先ず、分析システム100が、分析対象となる特定のアプリケーションをロードする(S102)。特定のアプリケーションは、アプリケーションデータベース104に保存されたものであっても、または使用者のアンドロイドモバイル端末に設置されたアプリケーションであってもよい。
デコンパイラ102は、AndroidManifestファイルとDexファイルをデコンパイルして分析モジュール106に伝達する(S104)。
名前分析器106aは、AndroidManifestファイルを分析し、パッケージの名前とメインアクティビティの名前の類似性の程度を分析し、分析された情報を危険度計算モジュール110に伝達し、危険度を点数化する(S106)。
危険度計算モジュール110の分析結果、図4のように、メインアクティビティの名前が、パッケージの名前とパッケージの名前の最後の部分とが結合された形態である場合は、正常のアプリケーションとみなし、危険度点数を5点と計算する。
また、図5のように、メインアクティビティの名前がパッケージの名前と全く異なる場合は、リパッケージアプリケーションとみなし、危険度計算モジュール110は、危険度点数を50点と計算する。
また、図6のように、パッケージの名前をそのまま含んだ状態で、パッケージの名前にはなかった文字列が追加されて、メインアクティビティの名前として用いられた場合は、リパッケージ疑心アプリケーションとなみし、危険度計算モジュール110は、危険度点数を15点と計算する。
一方、ID分析器106bは、AndroidManifestファイルを分析し、パブリッシャーIDがファイトリストまたはブラックリストから発見されるかを分析し、分析された情報を危険度計算モジュール110に伝達し、危険度を点数化する(S108)。
パブリッシャーIDがファイトリストに含まれた場合は、危険度点数を0点と、ブラックリストに含まれた場合は20点と、ファイトリストとブラックリストに全て含まれていない場合は10点と計算する。
ストリング分析器106cは、AndroidManifestファイルとDexファイルを分析し、悪性パッケージの名前と悪性コード文字列が発見されたかを分析し、分析された情報を危険度計算モジュール110に伝達し、危険度を点数化する(S110)。
悪性パッケージの名前や悪性コード文字列が全く発見されなかった場合は、危険度点数0点と計算し、悪性パッケージの名前のみが発見された場合は12点と、悪性コード文字列が発見された場合は30点と計算する。悪性コード文字列が発見された場合は、悪性パッケージの名前の発見の有無とは関係なく、最高点数である30点と計算する。
危険度計算モジュール110は、アプリケーションの分析情報を用いて、分析対象のアプリケーションの危険度を最終的に換算し、その結果により、悪性コードが挿入されたリパッケージアプリケーションを探知する(S112)。
若し、パッケージの名前とメインアクティビティの名前が同一であると共に、最後の部分が同一であり(5点)、パブリッシャーIDがファイトリストにあり(0点)、悪性パッケージの名前や悪性コード文字列が全く発見されなければ(0点)、当該アプリケーションの危険度点数は、100点満点中5点となる。
また、パッケージの名前とメインアクティビティの名前が全く異なり(50点)、パブリッシャーのIDがブラックリストにあり(20点)、悪性コード文字列が発見されると(30点)、総点が100満点中100点となり、100%リパッケージ悪性アプリケーションとみなす。
ある程度の点数を基準として、正常、疑心、悪性のアプリケーションと定義するかは、アプリケーションの性格や種類、配布経路等によるが、代替的に区間を決めて設定することができる。
図9は、危険度点数によるアプリケーションの種類を示す表である。
図9に示すように、本発明では、危険度を100点満点としたとき、危険度が0点以上40点未満であると、正常アプリケーションと、40点以上70点未満であると、リパッケージ疑心アプリケーションと、70点以上であれば、リパッケージ悪性アプリケーションと定義する。
分析システム100は、リパッケージアプリケーションが発見されると、当該アプリケーションの発見を使用者に通知し、リパッケージアプリケーションの実行を遮断する(S114)。
分析システム100により実行が遮断されるアプリケーションは、「リパッケージ悪性アプリケーション」であることが一般であるが、使用者の設定した保安等級に応じては、「リパッケージ疑心アプリケーション」も実行を遮断させることができる。
以上、添付した図面に基づき、本発明の好適な実施例について説明したが、上述した本発明の技術的構成は、本発明の属する技術の分野における当業者が、本発明のその技術的思想や必須的特徴を変更することなく、他の具体的な形態で実施され得ることを理解することができる。そのため、上述した実施例は、全ての面において例示的なものであり、限定的なものではないと理解されなければならず、本発明の範囲は、上記した詳細な説明よりは、後述する特許請求の範囲により定められ、特許請求の範囲の意味及び範囲、またその等価概念から導出される全ての変更または変形された形態が本発明の範囲に含まれるものと解釈されなければならない。
100:分析システム
102:デコンパイラ
104:アプリケーションデータベース
106:分析モジュール
108:ブラックリストデータベース
110:危険度計算モジュール
102:デコンパイラ
104:アプリケーションデータベース
106:分析モジュール
108:ブラックリストデータベース
110:危険度計算モジュール
Claims (7)
- アンドロイドアプリケーションを分析してリパッケージアプリケーションを探知するシステムであって、
分析対象となるアンドロイドアプリケーションをロードし、前記アプリケーション圧縮を解除し、AndroidManifestファイルとDexファイルを抽出するデコンパイラ102と、
前記デコンパイラ102が抽出した前記AndroidManifestファイルと前記Dexファイルにおいて、特定情報の変調の有無を分析する分析モジュール106と、
悪性コードの作製及び配布と関連したパブリッシャーのIDを集めたブラックリストと、悪性コードの作製及び配布と無関係なパブリッシャーのIDを集めたファイトリストと、悪性パッケージの名前と悪性コード文字列についての情報を保存するブラックリストデータベース108と、
前記分析モジュール106が生成した前記アンドロイドアプリケーションについての分析情報が伝送されると、前記分析情報により、前記アンドロイドアプリケーションが悪性コードを含んでいる可能性を示す危険度を点数に換算する危険度計算モジュール110と、を含み、
前記分析対象となるアンドロイドアプリケーションを、前記危険度により、正常アプリケーション、リパッケージ疑心アプリケーション、リパッケージ悪性アプリケーションのいずれかに分類することを特徴とする危険度計算を通じたリパッケージアプリケーションの分析システム。 - 前記分析モジュール106は、
前記AndroidManifestファイルに含まれたアプリケーション情報のうち、パッケージの名前とメインアクティビティの名前を抽出し、前記パッケージの名前と前記メインアクティビティの名前の類似性の程度を分析し、前記危険度計算モジュール110に伝達する名前分析器106aと、
前記AndroidManifestファイルに含まれたパブリッシャーIDが、前記ファイトリストまたは前記ブラックリストから発見されるかを分析し、その結果を前記危険度計算モジュール110に伝達するID分析器106bと、
前記AndroidManifestファイルまたは前記Dexファイルにおいて、悪性パッケージの名前または悪性コード文字列が発見されるかを分析し、その結果を前記危険度計算モジュール110に伝達するストリング分析器106cと、
を含む請求項1に記載の危険度計算を通じたリパッケージアプリケーションの分析システム。 - 請求項1または2の記載による分析システムを用いたリパッケージアプリケーションの探知方法であって、
デコンパイラ102が分析対象となるアンドロイドアプリケーションをロードし、前記アプリケーションの圧縮を解除し、AndroidManifestファイルとDexファイルを抽出する第1段階と、
分析モジュール106が前記デコンパイラ102が抽出した前記AndroidManifestファイルまたは前記Dexファイルにおいて、特定情報の改ざんの有無を分析する第2段階と、
前記分析モジュール106が生成した前記アンドロイドアプリケーションについての分析情報が伝送されると、危険度計算モジュール110が、前記分析情報により、前記アンドロイドアプリケーションが悪性コードを含んでいる可能性を示す危険度を点数に換算する第3段階と、
危険度計算モジュール110が、前記アンドロイドアプリケーションを、前記危険度により、正常アプリケーション、リパッケージ疑心アプリケーション、リパッケージ悪性アプリケーションのいずれかに分類する第4段階と、
を含む危険度計算を通じたリパッケージアプリケーションの分析方法。 - 前記第2段階は、
前記分析モジュール106に含まれた名前分析器106aが、前記AndroidManifestファイルに含まれたアプリケーション情報のうち、パッケージの名前とメインアクティビティの名前を抽出し、前記パッケージの名前と前記メインアクティビティの名前の類似性の程度を分析し、前記危険度計算モジュール110に伝達する第2‐1段階と、
前記分析モジュール106に含まれたID分析器106bが、前記AndroidManifestファイルに含まれたパブリッシャーIDが前記ブラックリストから発見されるかを分析し、その結果を前記危険度計算モジュール110に伝達する第2‐2段階と、
前記分析モジュール106に含まれたストリング分析器106cが、前記AndroidManifestファイルまたは前記Dexファイルにおいて、悪性パッケージの名前または悪性コード文字列が発見されるかを分析し、その結果を前記危険度計算モジュール110に伝達する第2‐3段階と、
を含む請求項3に記載の危険度計算を通じたリパッケージアプリケーションの分析方法。 - 前記第2‐1段階において、前記名前分析器106aの分析の結果、
前記メインアクティビティの名前が、「パッケージの名前」と「パッケージの名前の最後の部分」が「.」で結合された形態である場合は、前記危険度計算モジュール110が、前記アンドロイドアプリケーションに対する危険度点数を5%加算し、
前記メインアクティビティの名前が前記パッケージの名前と異なり、前記メインアクティビティの名前に前記パッケージの名前が含まれていない場合は、前記危険度計算モジュール110が、前記アンドロイドアプリケーションに対する危険度点数を50%加算し、
前記メインアクティビティの名前が前記パッケージの名前と異なり、前記メインアクティビティの名前に前記パッケージの名前が含まれている場合は、前記危険度計算モジュール110が、前記アンドロイドアプリケーションに対する危険度点数を15%加算することを特徴とする請求項4に記載の危険度計算を通じたリパッケージアプリケーションの分析方法。 - 前記第2‐2段階において、前記ID分析器106bの分析の結果、
前記パブリッシャーIDが、前記ファイトリストに含まれた場合は、前記危険度計算モジュール110が、前記アンドロイドアプリケーションに対する危険度点数を加算せず、
前記パブリッシャーIDが前記ブラックリストに含まれた場合は、前記危険度計算モジュール110が、前記アンドロイドアプリケーションに対する危険度点数を20%加算し、
前記パブリッシャーIDが前記ファイトリストと前記ブラックリストのいずれにも含まれていない場合は、前記危険度計算モジュール110が、前記アンドロイドアプリケーションに対する危険度点数を10%加算することを特徴とする請求項4に記載の危険度計算を通じたリパッケージアプリケーションの分析方法。 - 前記第2‐3段階において、前記ストリング分析器106cの分析の結果、前記悪性パッケージの名前と前記悪性コード文字列が発見されなかった場合は、前記危険度計算モジュール110が、前記アンドロイドアプリケーションに対する危険度点数を加算せず、
前記悪性パッケージの名前が発見された場合は、前記危険度計算モジュール110が、前記アンドロイドアプリケーションに対する危険度点数を12%加算し、
前記悪性コード文字列が発見された場合は、前記危険度計算モジュール110が、前記アンドロイドアプリケーションに対する危険度点数を30%加算することを特徴とする請求項4に記載の危険度計算を通じたリパッケージアプリケーションの分析方法。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020120103660A KR101402057B1 (ko) | 2012-09-19 | 2012-09-19 | 위험도 계산을 통한 리패키지 애플리케이션의 분석시스템 및 분석방법 |
| KR10-2012-0103660 | 2012-09-19 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2014063490A true JP2014063490A (ja) | 2014-04-10 |
| JP5694473B2 JP5694473B2 (ja) | 2015-04-01 |
Family
ID=50275924
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013188915A Active JP5694473B2 (ja) | 2012-09-19 | 2013-09-12 | 危険度計算を通じたリパッケージアプリケーションの分析システム及び分析方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20140082729A1 (ja) |
| JP (1) | JP5694473B2 (ja) |
| KR (1) | KR101402057B1 (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016121348A1 (ja) * | 2015-01-29 | 2016-08-04 | 日本電気株式会社 | マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラムが格納された記録媒体 |
| JP2020531936A (ja) * | 2017-06-29 | 2020-11-05 | Line株式会社 | アプリケーションの脆弱点を探知する方法およびシステム |
| JP2020197907A (ja) * | 2019-06-03 | 2020-12-10 | Kddi株式会社 | アプリケーション解析装置、コンピュータプログラム及びアプリケーション解析方法 |
Families Citing this family (40)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8914880B2 (en) * | 2012-06-08 | 2014-12-16 | VivoSecurity, Inc. | Mechanism to calculate probability of a cyber security incident |
| US8826240B1 (en) | 2012-09-29 | 2014-09-02 | Appurify, Inc. | Application validation through object level hierarchy analysis |
| US9015832B1 (en) * | 2012-10-19 | 2015-04-21 | Google Inc. | Application auditing through object level code inspection |
| US9113358B1 (en) | 2012-11-19 | 2015-08-18 | Google Inc. | Configurable network virtualization |
| US9268668B1 (en) | 2012-12-20 | 2016-02-23 | Google Inc. | System for testing markup language applications |
| US9274935B1 (en) | 2013-01-15 | 2016-03-01 | Google Inc. | Application testing system with application programming interface |
| US9021443B1 (en) | 2013-04-12 | 2015-04-28 | Google Inc. | Test automation API for host devices |
| US9268670B1 (en) | 2013-08-08 | 2016-02-23 | Google Inc. | System for module selection in software application testing including generating a test executable based on an availability of root access |
| US9367415B1 (en) | 2014-01-20 | 2016-06-14 | Google Inc. | System for testing markup language applications on a device |
| US9491229B1 (en) | 2014-01-24 | 2016-11-08 | Google Inc. | Application experience sharing system |
| US9170922B1 (en) | 2014-01-27 | 2015-10-27 | Google Inc. | Remote application debugging |
| TWI528216B (zh) * | 2014-04-30 | 2016-04-01 | 財團法人資訊工業策進會 | 隨選檢測惡意程式之方法、電子裝置、及使用者介面 |
| CN104317599B (zh) * | 2014-10-30 | 2017-06-20 | 北京奇虎科技有限公司 | 检测安装包是否被二次打包的方法和装置 |
| CN104360884A (zh) * | 2014-11-18 | 2015-02-18 | 久邦计算机技术(广州)有限公司 | 一种基于安卓系统的插件资源包加载方法 |
| CN104376262B (zh) * | 2014-12-08 | 2018-01-09 | 中国科学院深圳先进技术研究院 | 一种基于Dalvik指令和权限组合的安卓恶意软件检测方法 |
| US9665716B2 (en) * | 2014-12-23 | 2017-05-30 | Mcafee, Inc. | Discovery of malicious strings |
| US9646157B1 (en) * | 2015-03-11 | 2017-05-09 | Symantec Corporation | Systems and methods for identifying repackaged files |
| CN105975855B (zh) * | 2015-08-28 | 2019-07-23 | 武汉安天信息技术有限责任公司 | 一种基于apk证书相似性的恶意代码检测方法及系统 |
| KR101693249B1 (ko) * | 2015-09-08 | 2017-01-06 | 충북대학교 산학협력단 | 어플리케이션 관리 시스템 및 방법 |
| CN106557695B (zh) * | 2015-09-25 | 2019-05-10 | 卓望数码技术(深圳)有限公司 | 一种恶意应用检测方法和系统 |
| US9954873B2 (en) | 2015-09-30 | 2018-04-24 | The Mitre Corporation | Mobile device-based intrusion prevention system |
| US9858410B2 (en) * | 2015-10-26 | 2018-01-02 | Symantec Corporation | Techniques for automated application analysis |
| US11218510B2 (en) * | 2015-10-28 | 2022-01-04 | Qomplx, Inc. | Advanced cybersecurity threat mitigation using software supply chain analysis |
| US9864655B2 (en) | 2015-10-30 | 2018-01-09 | Google Llc | Methods and apparatus for mobile computing device security in testing facilities |
| US9916448B1 (en) * | 2016-01-21 | 2018-03-13 | Trend Micro Incorporated | Detection of malicious mobile apps |
| US10547626B1 (en) * | 2016-02-08 | 2020-01-28 | Palo Alto Networks, Inc. | Detecting repackaged applications based on file format fingerprints |
| CN107092601B (zh) * | 2016-02-17 | 2021-03-23 | 创新先进技术有限公司 | 资源文件构建方法、资源文件应用方法及装置 |
| US10200395B1 (en) * | 2016-03-30 | 2019-02-05 | Symantec Corporation | Systems and methods for automated whitelisting of files |
| CN105956425B (zh) * | 2016-04-28 | 2018-07-24 | 西北大学 | 一种基于smali代码混淆的Android应用保护方法 |
| US10073974B2 (en) * | 2016-07-21 | 2018-09-11 | International Business Machines Corporation | Generating containers for applications utilizing reduced sets of libraries based on risk analysis |
| CN108255695A (zh) * | 2016-12-29 | 2018-07-06 | 武汉安天信息技术有限责任公司 | Apk重打包的检测方法及系统 |
| CN107046527B (zh) * | 2016-12-29 | 2020-12-08 | 北京奇虎科技有限公司 | Web漏洞扫描方法、装置及系统 |
| CN107168733B (zh) * | 2017-04-25 | 2020-07-17 | 北京五八信息技术有限公司 | 差分文件包的生成及应用程序的更新方法、装置和系统 |
| CN109033837A (zh) * | 2018-07-24 | 2018-12-18 | 北京梆梆安全科技有限公司 | 一种安装包风险检测的方法及装置 |
| US10824723B2 (en) * | 2018-09-26 | 2020-11-03 | Mcafee, Llc | Identification of malware |
| JP6971958B2 (ja) * | 2018-12-10 | 2021-11-24 | 株式会社東芝 | 情報処理装置、情報処理方法、および情報処理プログラム |
| CN111372129B (zh) * | 2018-12-26 | 2022-01-18 | Tcl科技集团股份有限公司 | 基于安卓系统保存播放信息的方法、智能终端及存储介质 |
| CN109918911B (zh) * | 2019-03-18 | 2020-11-03 | 北京升鑫网络科技有限公司 | 一种镜像安装包信息的扫描方法及设备 |
| US11706239B2 (en) * | 2020-08-26 | 2023-07-18 | Cisco Technology, Inc. | Systems and methods for detecting vulnerabilities in network processes during runtime |
| WO2023022359A1 (ko) * | 2021-08-19 | 2023-02-23 | 삼성전자 주식회사 | 어플리케이션의 실행 오류를 검출하는 전자 장치 및 그 작동 방법 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004054330A (ja) * | 2002-07-16 | 2004-02-19 | Nec Nexsolutions Ltd | 不正コマンド・データ検知方式、不正コマンド・データ検知方法および不正コマンド・データ検知プログラム |
| JP2008287722A (ja) * | 2007-05-16 | 2008-11-27 | Beijing Kingsoft Software Co Ltd | リスクレベル分析装置およびリスクレベル分析方法 |
| JP2011233081A (ja) * | 2010-04-30 | 2011-11-17 | Kddi Corp | アプリケーション判定システムおよびプログラム |
| JP2013222422A (ja) * | 2012-04-19 | 2013-10-28 | Ffri Inc | プログラム、情報処理装置、及び情報処理方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9043919B2 (en) * | 2008-10-21 | 2015-05-26 | Lookout, Inc. | Crawling multiple markets and correlating |
| KR101143999B1 (ko) | 2011-11-22 | 2012-05-09 | 주식회사 안철수연구소 | Api 기반 어플리케이션 분석 장치 및 방법 |
-
2012
- 2012-09-19 KR KR1020120103660A patent/KR101402057B1/ko active IP Right Grant
-
2013
- 2013-09-06 US US14/020,008 patent/US20140082729A1/en not_active Abandoned
- 2013-09-12 JP JP2013188915A patent/JP5694473B2/ja active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004054330A (ja) * | 2002-07-16 | 2004-02-19 | Nec Nexsolutions Ltd | 不正コマンド・データ検知方式、不正コマンド・データ検知方法および不正コマンド・データ検知プログラム |
| JP2008287722A (ja) * | 2007-05-16 | 2008-11-27 | Beijing Kingsoft Software Co Ltd | リスクレベル分析装置およびリスクレベル分析方法 |
| JP2011233081A (ja) * | 2010-04-30 | 2011-11-17 | Kddi Corp | アプリケーション判定システムおよびプログラム |
| JP2013222422A (ja) * | 2012-04-19 | 2013-10-28 | Ffri Inc | プログラム、情報処理装置、及び情報処理方法 |
Non-Patent Citations (2)
| Title |
|---|
| CSNG201100778101; 磯原 隆将 Takamasa Isohara: 'セカンドアプリ内包型Androidマルウェアの検知 Detection Technique of Android Malware with Seco' CSS2011コンピュータセキュリティシンポジウム2011論文集 併催 マルウェア対策研究人材育成ワ 第2011巻, 20111012, pp.708-713, 一般社団法人情報処理学会 コンピュータセキュリティ * |
| JPN6014035043; 磯原 隆将 Takamasa Isohara: 'セカンドアプリ内包型Androidマルウェアの検知 Detection Technique of Android Malware with Seco' CSS2011コンピュータセキュリティシンポジウム2011論文集 併催 マルウェア対策研究人材育成ワ 第2011巻, 20111012, pp.708-713, 一般社団法人情報処理学会 コンピュータセキュリティ * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016121348A1 (ja) * | 2015-01-29 | 2016-08-04 | 日本電気株式会社 | マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラムが格納された記録媒体 |
| JPWO2016121348A1 (ja) * | 2015-01-29 | 2017-11-24 | 日本電気株式会社 | マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラム |
| US10482240B2 (en) | 2015-01-29 | 2019-11-19 | Nec Corporation | Anti-malware device, anti-malware system, anti-malware method, and recording medium in which anti-malware program is stored |
| JP2020531936A (ja) * | 2017-06-29 | 2020-11-05 | Line株式会社 | アプリケーションの脆弱点を探知する方法およびシステム |
| JP2020197907A (ja) * | 2019-06-03 | 2020-12-10 | Kddi株式会社 | アプリケーション解析装置、コンピュータプログラム及びアプリケーション解析方法 |
| JP7129948B2 (ja) | 2019-06-03 | 2022-09-02 | Kddi株式会社 | アプリケーション解析装置、コンピュータプログラム及びアプリケーション解析方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR101402057B1 (ko) | 2014-06-03 |
| JP5694473B2 (ja) | 2015-04-01 |
| KR20140037994A (ko) | 2014-03-28 |
| US20140082729A1 (en) | 2014-03-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5694473B2 (ja) | 危険度計算を通じたリパッケージアプリケーションの分析システム及び分析方法 | |
| US10152594B2 (en) | Method and device for identifying virus APK | |
| KR101161493B1 (ko) | 안드로이드 단말 플랫폼에서의 악성 코드와 위험 파일의 진단 방법 | |
| JP7131946B2 (ja) | アプリケーションの保安性を評価する方法およびシステム | |
| Allix et al. | A Forensic Analysis of Android Malware--How is Malware Written and How it Could Be Detected? | |
| Faruki et al. | Evaluation of android anti-malware techniques against dalvik bytecode obfuscation | |
| KR20150044490A (ko) | 안드로이드 악성 애플리케이션의 탐지장치 및 탐지방법 | |
| Zhang et al. | Android application forensics: A survey of obfuscation, obfuscation detection and deobfuscation techniques and their impact on investigations | |
| Le Thanh | Analysis of malware families on android mobiles: detection characteristics recognizable by ordinary phone users and how to fix it | |
| CN103793649A (zh) | 通过云安全扫描文件的方法和装置 | |
| JP6000465B2 (ja) | プロセス検査装置、プロセス検査プログラムおよびプロセス検査方法 | |
| Huang et al. | Android malware development on public malware scanning platforms: A large-scale data-driven study | |
| Wu et al. | Measuring the declared SDK versions and their consistency with API calls in Android apps | |
| Korine et al. | DAEMON: dataset/platform-agnostic explainable malware classification using multi-stage feature mining | |
| KR20160090566A (ko) | 유효마켓 데이터를 이용한 apk 악성코드 검사 장치 및 방법 | |
| KR101372906B1 (ko) | 악성코드를 차단하기 위한 방법 및 시스템 | |
| Feichtner et al. | Obfuscation-resilient code recognition in Android apps | |
| Yang et al. | Detecting android malware with intensive feature engineering | |
| KR101605783B1 (ko) | 악성 애플리케이션 탐지 방법 및 이 방법을 실행시키는 컴퓨터프로그램 | |
| US20160352522A1 (en) | User Terminal For Detecting Forgery Of Application Program Based On Signature Information And Method Of Detecting Forgery Of Application Program Using The Same | |
| KR101410255B1 (ko) | 애플리케이션 파일의 잠재적인 위험성 판별 시스템, 장치, 방법 및 컴퓨터 판독 가능한 기록 매체 | |
| Huang et al. | A large-scale study of android malware development phenomenon on public malware submission and scanning platform | |
| A. Mawgoud et al. | A malware obfuscation AI technique to evade antivirus detection in counter forensic domain | |
| JP5941745B2 (ja) | アプリケーション解析装置、アプリケーション解析システム、およびプログラム | |
| KR20150089664A (ko) | 모바일 악성코드 탐지 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140813 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140818 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20141117 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150105 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150204 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5694473 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |