JP2015508549A - モバイル環境用のトロイの木馬化されたアプリケーションの特定 - Google Patents

モバイル環境用のトロイの木馬化されたアプリケーションの特定 Download PDF

Info

Publication number
JP2015508549A
JP2015508549A JP2014554852A JP2014554852A JP2015508549A JP 2015508549 A JP2015508549 A JP 2015508549A JP 2014554852 A JP2014554852 A JP 2014554852A JP 2014554852 A JP2014554852 A JP 2014554852A JP 2015508549 A JP2015508549 A JP 2015508549A
Authority
JP
Japan
Prior art keywords
apps
acquired
app
specific
code
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2014554852A
Other languages
English (en)
Other versions
JP5802848B2 (ja
JP2015508549A5 (ja
Inventor
ナッケンバーグ・ケアリー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NortonLifeLock Inc
Original Assignee
Symantec Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Symantec Corp filed Critical Symantec Corp
Publication of JP2015508549A publication Critical patent/JP2015508549A/ja
Publication of JP2015508549A5 publication Critical patent/JP2015508549A5/ja
Application granted granted Critical
Publication of JP5802848B2 publication Critical patent/JP5802848B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/128Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/37Managing security policies for mobile devices or for controlling mobile applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Abstract

モバイル環境用のトロイの木馬化されたアプリが特定される。特定のモバイル環境用の複数のアプリは、1つ以上の外部ソースから取得される。コード及びデジタル署名者は、アプリから抽出され、記憶される。取得されたアプリのうちのそれぞれの所与の特定の1つに関して、特定のアプリのコードは、他の取得されたアプリコードと比較され、特定のアプリが、1)他のアプリのうちの1つと共通のコードの少なくとも1つの所定の閾値を含むか、かつ2)それに含まれない更なるコードを含むかどうかを判定する。そうである場合、特定のアプリのデジタル署名者は、他のアプリのデジタル署名者と比較される。特定のアプリのデジタル署名者が他のアプリのデジタル署名者と同一ではない場合にも、前記特定のアプリは、トロイの木馬化されたアプリであると特定される。

Description

本開示は、概して、コンピュータのセキュリティに関し、より具体的には、モバイル環境用のトロイの木馬化されたアプリケーションの特定に関する。
スマートフォン及びタブレットコンピュータ等のモバイルコンピューティングデバイスの使用が日増しに広まっている。Androidは、次第に優勢な市場シェアを獲得しつつある、そのようなモバイルデバイス用のオープンソースのLinux(登録商標)ベースのオペレーティングシステムである。多くの開発者が、Androidデバイス上で起動するアプリケーション(「アプリ」)を作成している。これらのアプリの多くは、Googleによって運営されているオンラインAndroidマーケットを介して購入可能であるか、又は無料で入手可能であるかのいずれかである。Androidアプリを他のオンラインストア及び更なる第三者のサイトからダウンロードすることもできる。Android環境がオープンであるという性質のため、誰でもAndroidアプリを作成及び分配することができる。
それがオープンであるため、Androidプラットホームは、トロイの木馬と呼ばれる攻撃を受けやすい。この攻撃を実装するために、悪意のある者は、オンラインストア又は他のソースからダウンロードした正当なアプリから始める。攻撃者は、アプリのデジタル署名を奪い、更なる(悪意のある)コードをそのアプリに追加し、そのアプリを匿名のデジタル証明書で再署名し、既存のチャネルのうちの1つを介してこの悪意のあるアプリを何も知らないユーザに再分配する。これは、アプリのトロイの木馬化として知られている。事実上、攻撃者は、Android開発及び分配環境がオープンであることを利用して、悪意のあるコードを既存の正当なアプリに忍ばせている。正当なアプリをダウンロードして起動させようとするユーザは、だまされてトロイの木馬化されたバージョンをダウンロードさせられる。トロイの木馬化されたアプリがユーザのAndroidデバイス上で起動すると、攻撃者が追加した新たなコードは、連絡先情報の盗み取り、データ入力のロギング、虚偽通信の送信等の悪意のある機能を実行し得る。
この問題に対処することが望ましい。
トロイの木馬化されたアプリ管理システムは、トロイの木馬化されたAndroidアプリ等の、モバイル環境用のトロイの木馬化されたアプリを特定する。特定のモバイル環境用の複数のアプリは、1つ以上のアプリストア及び/又は他の第三者ソースから取得される。コード、デジタル署名者、及びいくつかの実施形態において、日付(例えば、公開日)が、取得されたアプリから抽出され、効率的に記憶される。例えば、このデータは、取得されたアプリのうちの1つずつと関連付けられたアレイの別個の要素が存在するように、アプリを表すデータ構造のアレイに記憶され得る。各アプリからのコードの抽出は、アプリにおける全てのクラスの全ての方法からの生のバイトコードの抽出、各クラスの定義された方法名に加えて、アプリに存在するクラス名の抽出、アプリの各クラスにおける各方法のハッシュの抽出、アプリの可能な実行パスを記載するフローグラフの抽出等の異なる実施形態において異なる形態を採り得る。
取得されたアプリのうちのそれぞれの所与の特定の1つに関して、特定の取得されたアプリのコードは、複数のアプリのうちの他の取得されたアプリのコードと比較され、特定の取得されたアプリが、1)他の取得されたアプリのうちの1つと共通のコードの少なくとも1つの所定の閾値を含むか、かつ2)それに含まれない更なるコードを含むかどうかを判定する。一実施形態において、このプロセスは、特定の取得されたアプリのコードを他の取得されたアプリのそれぞれのコードと比較することを含む。別の実施形態において、これは、特定の取得されたアプリのコードが他の取得されたアプリのサブセットのコードのみと比較されるように最適化される。この場合、そのサブセットは、特定の取得されたアプリと共通の少なくともいくつかのコードを有する取得されたアプリのみで構成される。
1)特定の取得されたアプリが取得されたアプリのうちの別の1つと共通のコードの少なくとも1つの所定の閾値を含むこと、及び2)特定の取得されたアプリが他の取得されたアプリに含まれない更なるコードを含むという判定に応答して、特定のアプリのデジタル署名者は、他のアプリのデジタル署名者と比較される。一実施形態において、特定のアプリの日付もまた、他のアプリの日付と比較される。特定のアプリは、1)特定のアプリが他のアプリと共通のコードの少なくとも1つの所定の閾値を含むこと、2)特定のアプリが他のアプリに含まれない更なるコードを含むこと、3)特定のアプリのデジタル署名者が他のアプリのデジタル署名者と同一ではないこと、及び(任意に)4)特定のアプリの日付が他のアプリの日付以降であるという判定に応答して、トロイの木馬化されたアプリであると特定される。
トロイの木馬化されたアプリの特定に応答して、人間の分析者による手動での検査のためにトロイの木馬化されたアプリにフラグを付ける工程、悪意のあるコードの自動分析のためにトロイの木馬化されたアプリをキューに入れる工程、トロイの木馬化されたアプリに関する情報を集中型セキュリティコンポーネントに伝送する工程、トロイの木馬化されたアプリをブラックリストに載せる工程等の更なる工程が行われ得る。
この課題を解決するための手段及び以下の発明を実施するための形態に記載される特徴及び利点は、包括的であるわけではなく、具体的には、多くの更なる特徴及び利点が、この図面、明細書、及び特許請求の範囲に照らして関連分野の技術者に明らかになる。更に、本明細書で使用される言語は、主に、可読性及び説明目的のために選択されており、本発明の主題を線引き又は制限して、そのような本発明の主題の決定に必要とされる特許請求の範囲に訴えるために選択されたものではないことに留意されたい。
いくつかの実施形態に従う、トロイの木馬化されたアプリ管理システムが実装され得る例示的なネットワークアーキテクチャのブロック図である。 いくつかの実施形態に従う、トロイの木馬化されたアプリ管理システムの実装に好適なコンピュータシステムのブロック図である。 いくつかの実施形態に従う、トロイの木馬化されたアプリ管理システムの動作のブロック図である。 いくつかの実施形態に従う、トロイの木馬化されたアプリ管理システムの動作の流れ図である。
これらの図面は、図解のみを目的として様々な実施形態を示す。当業者であれば、本明細書に記載の原理から逸脱することなく、本明細書に図示される構造及び方法の代替の実施形態を用いることができることを以下の考察から容易に理解する。
図1は、トロイの木馬化されたアプリ管理システム101が実装され得る例示的なネットワークアーキテクチャ100を図示するブロック図である。図示されるネットワークアーキテクチャ100は、複数のクライアント103A、103B、及び103N、並びに複数のサーバ105A及び105Nを備える。図1において、トロイの木馬化されたアプリ管理システム101は、サーバ105A上に存在するように図示されている。これは一例にすぎず、様々な実施形態において、このシステム101の様々な機能が、サーバ105、クライアント103上でインスタンス化され得るか、又は複数のクライアント103間及び/若しくはサーバ105間に分散され得ることを理解されたい。
クライアント103及びサーバ105は、図2に図示され、かつ以下に記載されるコンピュータシステム等のコンピュータシステム210を用いて実装され得る。クライアント103及びサーバ105は、例えば、図2とともに以下に記載されるネットワークインターフェース248又はモデム247を介して、ネットワーク107に通信可能に連結される。クライアント103は、例えば、ウェブブラウザ又は他のクライアントソフトウェア(図示せず)を用いて、サーバ105上のアプリケーション及び/又はデータにアクセスすることができる。
図1が一例として3つのクライアント及び2つのサーバを図示しているが、実際には、より多くの(又はより少ない)クライアント103及び/又はサーバ105が配備されてもよい。一実施形態において、ネットワーク107は、インターネットの形態である。他のネットワーク107又はネットワークベースの環境を他の実施形態で使用してもよい。
図2は、トロイの木馬化されたアプリ管理システム101の実装に好適なコンピュータシステム210のブロック図である。クライアント103及びサーバ105は両方ともに、そのようなコンピュータシステム210の形態で実装され得る。図示されるように、コンピュータシステム210の1つのコンポーネントは、バス212である。バス212は、少なくとも1つのプロセッサ214、システムメモリ217(例えば、ランダムアクセスメモリ(RAM)、読み取り専用メモリ(ROM)、フラッシュメモリ)、入出力(I/O)コントローラ218、スピーカシステム220等の外部音声デバイスに通信可能に連結される音声出力インターフェース222、ディスプレイ画面224等の外部ビデオ出力デバイスに通信可能に連結されるディスプレイアダプタ226、1つ以上のインターフェース、例えば、シリアルポート230、ユニバーサルシリアルバス(USB)レセプタクル230、パラレルポート(図示せず)等、キーボード232に通信可能に連結されるキーボードコントローラ233、少なくとも1つのハードディスク244(又は磁気媒体の他の形態(複数を含む))に通信可能に連結される記憶装置インターフェース234、フロッピーディスク238(「フロッピー」は登録商標、以下同じ)を受容するように構成されたフロッピーディスクドライブ237、ファイバチャネル(FC)ネットワーク290と接続するように構成されたホストバスアダプタ(HBA)インターフェースカード235A、SCSIバス239に接続するように構成されたHBAインターフェースカード235B、光ディスク242を受容するように構成された光ディスクドライブ240、例えばUSBレセプタクル228を介してバス212に連結されるマウス246(又は他のポインティングデバイス)、例えば、シリアルポート230を介してバス212に連結されるモデム247、及び例えば、バス212に直接連結されるネットワークインターフェース248等のコンピュータシステム210の他のコンポーネントを通信可能に連結する。
他のコンポーネント(図示せず)が、同様に接続され得る(例えば、文書スキャナ、デジタルカメラ、プリンタ等)。逆に、図2に図示される全てのコンポーネントが存在する必要はない。これらのコンポーネントは、図2に示される手法とは異なる手法で相互接続されてもよい。
バス212は、プロセッサ214とシステムメモリ217との間のデータ通信を可能にし、上述のように、ROM及び/又はフラッシュメモリ、並びにRAMを含み得る。RAMは、典型的には、オペレーティングシステム及びアプリケーションプログラムがロードされるメインメモリである。ROM及び/又はフラッシュメモリは、数あるコードの中でも特に、ある基本的なハードウェア動作を制御する基本入出力システム(BIOS)を含み得る。アプリケーションプログラムは、ローカルコンピュータ可読媒体(例えば、ハードディスク244、光ディスク242)に記憶され、システムメモリ217にロードされ、プロセッサ214によって実行され得る。アプリケーションプログラムは、例えば、ネットワークインターフェース248又はモデム247を介して、遠隔位置からシステムメモリ217(すなわち、遠隔設置されたコンピュータシステム210)にもロードされ得る。図2において、トロイの木馬化されたアプリ管理システム101は、システムメモリ217内に存在するように図示されている。トロイの木馬化されたアプリ管理システム101の仕組みは、図3とともに以下でより詳細に説明される。
記憶装置インターフェース234は、1つ以上のハードディスク244(及び/又は他の標準の記憶媒体)に連結される。ハードディスク(複数を含む)244は、コンピュータシステム210の一部であり得るか、又は物理的に別個のものであり、他のインターフェースシステムを介してアクセスされ得る。
ネットワークインターフェース248及び/又はモデム247は、インターネット等のネットワーク107に直接的又は間接的に通信可能に連結され得る。そのような連結は、有線又は無線であり得る。
図3は、いくつかの実施形態に従って、トロイの木馬化されたアプリ管理システム101の動作を図示する。上に記載されるように、トロイの木馬化されたアプリ管理システム101の機能は、クライアント103、サーバ105上に存在し得るか、又はトロイの木馬化されたアプリ管理システム101の機能がネットワーク107上でサービスとして提供されるクラウドベースのコンピューティング環境内を含む、複数のコンピュータシステム210間に分配され得る。トロイの木馬化されたアプリ管理システム101が単一のエンティティとして図3で図示されているが、図示されるトロイの木馬化されたアプリ管理システム101は、所望通りに単一又は複数のモジュールとしてインスタンス化され得る機能の一群を表すことを理解されたい(トロイの木馬化されたアプリ管理システム101の特定の複数のモジュールのインスタンス化が、図3に図示される)。トロイの木馬化されたアプリ管理システム101のモジュールは、コンピュータシステム210のプロセッサ214がモジュールを処理し、コンピュータシステム210が関連付けられた機能を実行するように、(例えば、オブジェクトコード又は実行可能な画像として)任意のコンピュータシステム210のシステムメモリ217(例えば、RAM、ROM、フラッシュメモリ)内にインスタンス化され得ることを理解されたい。本明細書で使用されるとき、「コンピュータシステム」、「コンピュータ」、「クライアント」、「クライアントコンピュータ」、「サーバ」、「サーバコンピュータ」、及び「コンピューティングデバイス」という用語は、記載される機能を実行するように構成及び/又はプログラミングされた1つ以上のコンピュータを意味する。更に、トロイの木馬化されたアプリ管理システム101の機能を実装するためのプログラムコードは、コンピュータ可読記憶媒体に記憶され得る。磁気又は光記憶媒体等の有形のコンピュータ可読記憶媒体の任意の形態がこの文脈において使用され得る。本明細書で使用されるとき、「コンピュータ可読記憶媒体」という用語は、内在する物理的な媒体とは別の電気信号を意味しない。
図3に図示されるように、トロイの木馬化されたアプリ管理システム101は、以下に詳細に説明されるように、所与のモバイルデバイス環境の入手可能なアプリ301を取得し、かつ他のアプリと比較して特定の特徴を有するアプリを特定することによってトロイの木馬化されたアプリ303を検出する。一実施形態において、モバイルデバイス環境は、Android環境であり、トロイの木馬化されたアプリ管理システム101は、Androidアプリ301を1つ以上のアプリストア及び/又は他の第三者ソース305から取得する。トロイの木馬化されたアプリ管理システム101は、Android環境内での動作に限定されず、他の実施形態では、他のモバイルデバイス環境のアプリ301を取得及び処理し得ることを理解されたい。
トロイの木馬化されたアプリ管理システム101のアプリ取得モジュール313は、所与のモバイルデバイス環境用の複数のアプリ301、例えば、Androidアプリケーションパッケージ(「APK」)ファイルの形態(Androidアプリ301を分配及びインストールするために使用されるファイル形式)であるAndroidアプリ301を取得する。アプリ取得モジュール313は、アプリ301のダウンロードを可能にするアプリストア又は他の第三者ウェブサイト等の1つ以上の外部ソース305からアプリ301を取得する。一実施形態において、トロイの木馬化されたアプリ管理システム101が起動されると、アプリ取得モジュール313は、1つ以上の外部ソース305からダウンロードすることができる全てのアプリ301を取得する。一実施形態において、アプリ取得モジュール313は、ユーザデバイス(例えば、スマートフォン、タブレット)上で起動し、新しいアプリ301及び/又は未知のアプリ301を特定及び取得する。ユーザデバイスベースのアプリ取得モジュール313は、取得されたアプリ301を中央に位置するトロイの木馬化されたアプリ管理システム101(例えば、サーバ105上で起動する)に提出する。これは、トロイの木馬化されたアプリ管理システム101が、インターネットをクロールする必要もなく、多くの異なるユーザデバイス(図示せず)から提出された新たなアプリ301を発見することを可能にする。
トロイの木馬化されたアプリ管理システム101の抽出モジュール307は、各取得されたアプリ301から分析されるコード309を抽出する。この文脈において、抽出コード309は、方法名又はクラス名等のコード309に関するデータを抽出すること、クラス及び/若しくは方法のハッシュをコンピューティングすること、並びにこれらのハッシュを使用すること、又は実際の実行可能なコード309自体を抽出することを含み得る。本明細書で使用されるとき、コード309の分析、したがって、抽出されるコード309は、異なる実施形態において異なる形態を採り得る。一実施形態において、抽出モジュール307は、アプリ301によって使用される各方法の完全修飾名(すなわち、「float classa:methoda(int bar,float[]ack)」等のこの方法の完全プロトタイプ)を抽出する。別の実施形態において、抽出モジュール307は、アプリ301におけるクラス名を抽出する。他の実施形態では、抽出モジュール307は、ハッシュ等の名称以外の識別子を用いて方法(又はクラス)を特定する。別の実施形態において、抽出モジュールは、機械/バイトコードの全ブロックを抽出し、それを正規化する。抽出されたバイトコードの正規化は、例えば、実行可能ファイルによって異なり得る指数の正規化を含み得るが、依然として全体の機械コード(例えば、dalvik/javaバイトコード)の意味を保持する。更に別の実施形態において、抽出モジュール307は、アプリ301におけるコード309の可能な実行パスのフローグラフを作成する。
抽出モジュール307は、各アプリ301の署名者311の身元も抽出する。Androidアプリ301(及び多くの他のモバイル環境用のアプリ301)は、分配者(例えば、開発者)によって署名される。例えば、Androidシステムは、全てのアプリ301が証明書にデジタル署名されることを必要とし、その秘密鍵は、アプリ301の開発者によって保持される。Androidシステムは、適切に署名されていないアプリ301をインストール又は起動しない。しかしながら、Androidアプリ301に署名するために使用される証明書は、認証局による署名を必要としない。実際、Androidアプリ301が分配者によって自ら署名される証明書で署名されることは典型的である。
一実施形態において、抽出モジュール307は、各アプリ301(例えば、各APKファイル)が公開された(又は最初に発見された、取得された、ダウンロードされた等)日付315も取得する。日付情報は、例えば、アプリ301の見出しにおけるタイムスタンプから取得され得る。別の実施形態において、日付315は、抽出又は更に処理されない。
以下でより詳細に説明されるように、異なるアプリ301のコード309に関するデータ及び署名者311(並びに一実施形態において、日付315)は、トロイの木馬化されたアプリ303を特定するために比較される。この比較を容易にするために、トロイの木馬化されたアプリ管理システム101の抽出データ記憶モジュール317は、例えば、各エントリが特定のアプリ301の抽出されたデータを含むアレイ323に(又はデータベース、表、リスト等の別の形式で)抽出されたデータ(コード309、署名者311、及び任意に日付315)を記憶する。一実施形態において、抽出データ記憶モジュール317は、メンバとして1)方法、2)署名者、及び(任意に)3)日付を含むクラスのオブジェクトのアレイ323に抽出されたデータを記憶する。例えば、アプリのクラスがAPKInfoと呼ばれる実施形態において、アプリ301からの方法全ての一組の完全修飾名は、APKInfo.methodsに記憶される(一組の方法名は、例えば、{void classa:methoda(int a),int classa:methodb(double b),void classb:methodc(void),void classb:methodd(char g)}を含み得る)。アプリ301の署名者311は、APKInfo.signerに記憶され、公開日315(又は発見日等)は、APKInfo.dateに記憶される。
抽出されたデータの記憶装置の特定の実装例が可変設計パラメータを含むことを理解されたい。例えば、アプリ301に関する情報を表すクラス(又は他のデータ構造)の形式、並びにそのインスタンスを記憶するために使用されるアレイ323(又は他のデータ構造)の形式は、実施形態によって異なり得る。更に、上述のように、各アプリ301から抽出された特定のデータも実施形態によって異なり得る。例えば、いくつかの実施形態において、クラス名、フローグラフ等の方法名以外のコード309が抽出される。
データが取得されたアプリ301から抽出され、記憶された時点で、その抽出されたデータを他の取得されたアプリ301のデータと(又は以下に説明されるように、いくつかの最適化された実施形態において、他の取得されたアプリ301のサブセットと)比較することによって、取得されたアプリ301のうちの特定の1つがトロイの木馬化されたアプリ303であるかどうかが判定され得る。より具体的には、トロイの木馬化されたアプリ管理システム101の比較モジュール319は、取得されたアプリ301のうちの特定の1つから抽出されたコード309に関するデータ(例えば、方法名、ハッシュ、生のバイトコード等)を他の取得されたアプリ301のそれぞれのコード309に関するデータと比較する。一実施形態において、これらの比較を行うことによって、比較モジュール319は、トロイの木馬について分析される取得されたアプリ301のうちの特定の1つが他の取得されたアプリ301のうちのいずれか1つと同一のコード309に加えて、いくつかの更なるコード309を有するかどうかを判定する。例えば、コード309に関する抽出されたデータが方法名の形態である実施形態において、比較モジュール319は、アプリ301のうちの特定の1つがアプリ301のうちの別の1つと同一の方法の全てに加えて1つ以上の更なる方法を有するかどうかを判定する。方法名ではなくクラス名が抽出される実施形態において、特定のアプリ301が別のアプリ301と同一のクラスに加えて、1つ以上の更なるクラスを有するかどうかが判定される。既存のアプリ301をトロイの木馬化するために追加されたコード309が新たな別個のクラス又は方法の形態である必要はないが、元の正当なアプリ301で見つけられる既存の方法に添付又は挿入され得る。このようにトロイの木馬化されたアプリ301を検出するために、比較モジュール319は、特定のアプリ301が別のアプリ301と同一のクラス及び方法を含むが、いくつかの更なるコード309が特定のアプリ301の方法のうちの1つ以上に存在するかどうかを判定し得る。このシナリオは、トロイの木馬の指標でもある。トロイの木馬化されたアプリ303は、悪意のあるコードを既存の正当なアプリ301に追加することによって作成されるため、別のアプリ301と同一のコード309に加えて、いくつかの更なるコード309を有するアプリ301は、これが異なる著作者/署名者によって製作される場合、疑わしいと見なされる。
いくつかの実施形態において、他のアプリ301と比較される特定のアプリ301は、疑わしいとしてフラグを付けられるアプリ301のうちの別の1つと同一のコード309全てを有する必要はないが、その代わりに、共通のコード309の少なくとも1つの所定の閾値を有する必要がある。所定の閾値は、実質的過半数(例えば、85%、90%、95%等)を含む所与の百分率の形態であり得、例えば、フローグラフ等によって判定される、方法又はクラスの重要なサブセット、機能の重要な中核であり得る。疑わしいとしてフラグを付けられたアプリ301における更なるコード309は、1つ以上の更なる方法又はクラス、1つ以上の修正された方法又はクラス、更なる機能又は修正された機能の所定の閾値等を含み得る。多くのアプリ301が一般に利用可能な第三者ライブラリ(例えば、広告ライブラリ、ユーザインターフェースライブラリ、通信ライブラリ等)を用いて基本的な機能を実装するため、いくつかの実施形態において、そのようなライブラリは、特定のアプリ301が別のアプリ301と共通のコード309の所定の閾値を有するかどうかを判定するときに考慮から除外される。
トロイの木馬について分析される特定のアプリ301のコード309に関するデータとアプリ301のうちの別の1つのコード309に関するデータの比較が、特定のアプリ301が疑わしいことを示す場合、比較モジュール319は、これら2つのアプリ301の署名者311も比較し、いくつかの実施形態において、日付315も比較する。トロイの木馬化されたアプリ303は、正当なアプリ301を修正し、その署名を奪い、かつそれを再署名することによって作成されるため、トロイの木馬化されたアプリ303は、それが基づく正当なアプリ301とは異なる署名者311を有することが予想され得る。更に、トロイの木馬化されたアプリ303が元となる以前から存在する正当なアプリ301に基づくため、トロイの木馬化されたアプリ303は、典型的には、それ以降の日付315を有する。したがって、アプリ301がコード309比較に基づいて疑わしいと見なされる場合、これらの更なる比較のうちの1つ又は両方が行われる。これが、問題のこれら2つのアプリ301が異なる署名者311を有することを示す(かつ一実施形態において、疑わしいアプリ301が他のアプリ301以降の日付315を有することも示す)場合、トロイの木馬化されたアプリ管理システム101のトロイの木馬化されたアプリを特定するモジュール321は、トロイの木馬化されたアプリ303として分析される特定のアプリ301を特定する。したがって、別のアプリ301と同一のコード309(又は共通のコード309の少なくとも重要な部分)に加えていくつかの更なるコード309を有し、かつ異なる署名者311を有する(一実施形態において、それ以降の公開日315も有する)アプリ301は、トロイの木馬化されたアプリ303であると判定される。このように各特定の取得されたアプリ301を他の取得されたアプリ301と比較することによって、トロイの木馬化されたアプリ303が特定される。
トロイの木馬化されたアプリ303が特定される場合、それに応答して所望通りに様々な措置が講じられ得る。例えば、トロイの木馬化されたアプリであるとの判決を受けたアプリ303は、人間の分析者による手動での検査のためにフラグを付けられ、悪意のあるコードの自動分析のためにキューに入れられ、集中型セキュリティサーバ(図示せず)に報告され、ブラックリストに載せられ得る。言い換えると、トロイの木馬化されたアプリ管理システム101は、トロイの木馬を示すある特性を有するアプリ301を自動的に特定するフィルタとしての働きをし得る。トロイの木馬化されたアプリ管理システム101によってトロイの木馬化されたアプリであるとの判決を受けたアプリ301は、その後、例えば、それらを更なる精査及び分析に供すること、並びに/又はユーザをそれらから保護するための措置を講じることによって、所望通りに処理され得る。
トロイの木馬化されたアプリ管理システム101の動作を説明するために、いくつかの特定の例がこれからより詳細に説明される。これらの例において説明される実装例の詳細が例にすぎず、他の実施形態において異なる設計が選択されてもよいことを理解されたい。特定の一実施形態において、トロイの木馬化されたAndroidアプリ303は、以下のように特定される。
Androidアプリ301(APKファイルとして)は、様々な既知のアプリストアウェブサイト305からダウンロードされる。クラスAPKInstanceは、ダウンロードされたAPKファイルの特定のAPKファイルを表すために使用され、メンバとして1)APKInstance.methods、2)APKInstance.signer、及び3)APKInstance.dateを有し、方法は、APKファイルにおける一組の全ての方法名であり、署名者は、APKファイルのデジタル署名者311であり、日付は、APKファイルの公開日315である。nが収集物中のAPKファイルの数である場合、APKInstance objects APKInfo[n]のアレイ323が割り当てられる。
n APKファイル数=1..nのそれぞれに関して、以下の情報が抽出され、APKInfo[count]に記憶される:1)APKファイルからの全ての方法の一組の完全修飾名がAPKInfo[count].methodsに記憶され、2)APKファイルのデジタル署名者311がAPKInfo[count].signerに記憶され、3)各APKファイルの公開日315がAPKInfo[count].dateに記憶される。
その後、収集物中の各APKファイルを調査して、以下のようにこのファイルを他のAPKファイルと比較することによってこのファイルがトロイの木馬化されたかどうかを判定する。iが調査されるAPKファイルと等しく、かつ数がAPKInfo 1...nで表されるn APKファイルのそれぞれと等しい場合、数1...nに関して、数がiと等しくない場合、APKInfo[i]は、APKInfo[count]と比較される。APKInfo[i].methodsがAPKInfo[count].methodsでも見つけられるあらゆる完全修飾方法を含み、かつAPKInfo[i].methodsがAPKInfo[count].methodsでは見つけられない少なくとも1つの更なる方法を含み、かつAPKInfo[i].signerがAPKInfo[count].signerとは異なるデジタル署名者311を示し、かつ(任意に)APKInfo[i].dateがAPKInfo[count].date以降である場合、APKInfo[i]は、トロイの木馬化されたバージョンのAPKInfo[count]であると判定される。
上述の実施形態を修正して、方法レベルではなくクラスレベルで動作させることができる。クラスベースのバージョンの実施形態において、調査されるAPKファイルは、他のAPKファイルの(方法ではなく)あらゆるクラスに加えて、少なくとも1つの更なるクラスを含むかが確認される。方法又はクラスの調査にかかわらず、これらの実施形態は、元のAPKファイルからのコード309のスーパーセットを含み(すなわち、全ての同一のコード309に加えて、いくつかの更なるコード309を有することによって)、かつ元のAPKファイルとは異なる署名者311によって署名される新たなAPKファイルを特定する。
上述の実施形態は、コード分析に関して、方法又はクラスに基づくかにかかわらず、計算量O(N)であり、式中、Nは、分析されるAPKファイルの数である。最適化を行って、所与のAPKファイルが比較される一組のAPKファイルを減少させることによって、時間計算量を(例えば、O(N)にまで)低減させることができる。これは、例えば、APKファイルを、収集物中の全ての他のAPKファイルではなく、共通のコード309(例えば、方法)を有する他のAPKファイルのみと比較することによって行われ得る。
例えば、最適化された一実施形態において、アレイAPKInfo[1..n]は、最も少ない方法から最も多い方法までの各要素APKInfo[count].methodsにおける方法の数によって(又はクラスの数によって、又はフローグラフ等によって示されるコード309の量によって)分類される。収集物中の任意のAPKファイル中に存在する各方法を、その方法が存在する各APKファイルのアレイ323指数にマッピングするマップ(例えば、ハッシュマップ)が作成される。上述の事前に構築されたマップデータ構造を使用して、表1の偽コードによって実装されるアルゴリズムを用いて、トロイの木馬化されたAPKを効率的に特定することができる。表1の偽コードは、時間計算量を低減させるために最適化される1つの可能な実施形態の特定の例を示すことを理解されたい。
上述の実施形態への変更が可能であることを理解されたい。概して、このプロセスは、必要な量の共通のコード309を有する比較されたアプリ301に基づいて、特定のアプリ301を収集物中の他のアプリ301のサブセットのみと比較することによって最適化され、トロイの木馬化されたアプリ303を検出する可能性の低いアプリ301間の比較を避けることができる。
図4は、いくつかの実施形態に従う、トロイの木馬化されたアプリ管理システム101の動作の工程を図示する。アプリ取得モジュール313は、特定のモバイル環境用の複数のアプリ301を1つ以上の外部ソース305から取得する(401)。抽出モジュール307は、1)コード309に関するデータ、2)デジタル署名者311の身元、及び任意に3)公開日315を各取得されたアプリ301から抽出する(403)。抽出データ記憶モジュール317は、抽出されたデータ(コード309、デジタル署名者311、及び任意に日付315)を記憶する(405)。取得されたアプリ301のうちの各所与の特定の1つに関して、比較モジュール319は、特定のアプリ301のコード309に関するデータを他の取得されたアプリ301のコード309に関するデータと比較し(407)、特定のアプリ301が、1)他のアプリ301のうちの1つと共通のコード309の少なくとも1つの所定の閾値を含むか、かつ2)他のアプリ301に含まれない更なるコード309を含む(例えば、特定のアプリ301が、他のアプリ301のコード309のスーパーセットを有する)かどうかを判定する。このような状況に応答して、比較モジュール319は、特定のアプリ301のデジタル署名者311を他のアプリ301のデジタル署名者311と、かつ任意に特定のアプリ301の日付315を他のアプリ301の日付315と更に比較する(409)。トロイの木馬化されたアプリを特定するモジュール321は、1)他のアプリ301と共通のコード309の少なくとも1つの所定の閾値を含む特定のアプリ301、2)他のアプリ301に含まれない更なるコード309を含む特定のアプリ301、3)他のアプリ301のデジタル署名者311とは同一ではない特定のアプリ301のデジタル署名者311、及び(任意に)4)他のアプリ301の日付315以降の特定のアプリ301の日付315に応答して、特定のアプリ301をトロイの木馬化されたアプリ303であると特定する(411)。
当該技術分野に精通している者には明らかなように、本発明は、本発明の精神又は本質的特質から逸脱することなく、他の特定の形態で具現化され得る。同様に、部分、モジュール、エージェント、マネージャ、コンポーネント、機能、手順、動作、層、特徴、属性、方法論、データ構造、並びに他の態様の特定の命名及び区分は、義務的又は重要ではなく、本発明を実装する機構又はその特徴は、異なる名称、区分、及び/又は形式を有し得る。説明のための前述の記載は、特定の実施形態を参照して説明されている。しかしながら、上述の例示の考察は、包括的であること、又は開示される正確な形態に限定すること意図するものではない。上述の教示を考慮して、多くの修正及び変更が可能である。実施形態は、関連原理及びそれらの実践上の用途を最も良く説明するために選択かつ記載されており、したがって、企図される特定の用途に適し得る様々な修正の有無にかかわらず、他の当業者が様々な実施形態を最大限に利用することを可能にする。

Claims (15)

  1. モバイル環境用のトロイの木馬化されたアプリを特定するためのコンピュータ実装方法であって、
    コンピュータによって、少なくとも1つの外部ソースから、特定のモバイル環境用の複数のアプリを取得する工程と、
    前記取得されたアプリのうちの第1の特定の1つのコードに関するデータ及びデジタル署名者を、前記複数のアプリのうちの少なくとも1つの他の取得されたアプリのコードに関するデータ及びデジタル署名者と比較する工程と、
    前記取得されたアプリのうちの前記第1の特定の1つが、1)前記取得されたアプリのうちの第2の特定の1つに含まれるコードの少なくとも所定の閾値、2)前記取得されたアプリのうちの前記第2の特定の1つに存在しない更なるコード、及び3)前記取得されたアプリのうちの前記第2の特定の1つとは異なる署名者を含むことを判定する工程と、
    前記判定に応答して、前記取得されたアプリの前記第1の特定の1つを、トロイの木馬化されたアプリであると特定する工程と、を含む、方法。
  2. 複数のアプリにわたる共通のライブラリを、1)前記取得されたアプリのうちの第1の特定の1つのコードに関するデータを、少なくとも1つの他の取得されたアプリのコードに関するデータと比較すること、並びに2)前記取得されたアプリのうちの前記第1の特定の1つが、前記取得されたアプリのうちの第2の特定の1つに含まれるコード及び前記取得されたアプリのうちの前記第2の特定の1つに存在しない更なるコードの少なくとも1つの所定の閾値を含むことを判定することから除外することを更に含む、請求項1に記載の方法。
  3. 各特定の取得されたアプリに関して、コードに関するデータを前記特定の取得されたアプリから抽出することを更に含む、請求項1に記載の方法。
  4. コードに関するデータを前記特定の取得されたアプリから抽出することが、
    前記特定の取得されたアプリによって使用される各方法の完全修飾名を抽出することを更に含む、請求項3に記載の方法。
  5. コードに関するデータを前記特定の取得されたアプリから抽出することが、
    前記特定の取得されたアプリによって使用される各クラスの完全修飾名を抽出することを更に含む、請求項3に記載の方法。
  6. コードに関するデータを前記特定の取得されたアプリから抽出することが、
    前記特定の取得されたアプリの可能な実行パスを記載するフローグラフを作成することを更に含む、請求項3に記載の方法。
  7. コードに関するデータを前記特定の取得されたアプリから抽出することが、
    生のバイトコードを前記アプリにおける全てのクラスの全ての方法から抽出することと、
    前記抽出された生のバイトコードを正規化することと、を更に含む、請求項3に記載の方法。
  8. コードに関するデータを前記特定の取得されたアプリから抽出することが、
    前記正規化された抽出された生のバイトコードのハッシュを作成することを更に含む、請求項7に記載の方法。
  9. 各特定の取得されたアプリに関して、デジタル署名者の身元を前記特定の取得されたアプリから抽出することを更に含む、請求項1に記載の方法。
  10. 各特定の取得されたアプリに関して、前記特定の取得されたアプリに関する日付を、前記特定のアプリが公開された日付、前記特定のアプリが発見された日付、前記特定のアプリがダウンロードされた日付、及び前記特定のアプリが取得された日付、並びに前記特定のアプリがその見出し内に含む日付からなる日付の群から取得することを更に含む、請求項1に記載の方法。
  11. 前記取得されたアプリのうちの前記第1の特定の1つのコードに関するデータを、前記複数のアプリのうちの前記他の取得されたアプリのそれぞれのコードに関するデータと比較して、前記取得されたアプリのうちの前記第1の特定の1つが、1)前記他の取得されたアプリのうちの1つと共通のコードの少なくとも1つの所定の閾値を含むか、かつ2)前記他の取得されたアプリのうちの前記1つに含まれない更なるコードを含むかどうかを判定することを更に含む、請求項1に記載の方法。
  12. 前記取得されたアプリのうちの前記第1の特定の1つのコードに関するデータを、前記複数のアプリのうちの前記他の取得されたアプリのサブセットにおけるコードに関するデータと比較して、前記取得されたアプリのうちの前記第1の特定の1つが、1)前記他の取得されたアプリのうちの1つと共通のコードの少なくとも1つの所定の閾値を含むか、かつ2)前記他の取得されたアプリのうちの前記1つに含まれない更なるコードを含むかどうかを判定することを更に含み、
    前記複数のアプリのうちの前記他の取得されたアプリの前記サブセットが、前記取得されたアプリのうちの前記第1の特定の1つと共通の少なくともいくつかのコードを有する取得されたアプリのみで構成される、請求項1に記載の方法。
  13. 前記取得されたアプリのうちの前記第1の特定の1つのコードに関するデータを、前記複数のアプリのうちの他の取得されたアプリのコードに関するデータと比較することと、
    前記取得されたアプリのうちの前記第1の特定の1つが、前記取得されたアプリのうちの第2の特定の1つと共通のコードの少なくとも1つの所定の閾値を含むこと、及び2)前記取得されたアプリのうちの前記第1の特定の1つが、前記取得されたアプリのうちの前記第2の特定の1つに含まれない更なるコードを含むという判定に応答して、前記取得されたアプリのうちの前記第1の特定の1つの前記デジタル署名者を、前記取得されたアプリのうちの前記第2の特定の1つの前記デジタル署名者と比較することと、を更に含む、請求項1に記載の方法。
  14. 前記取得されたアプリのうちの前記第1の特定の1つが、前記取得されたアプリのうちの前記第2の特定の1つと共通のコードの少なくとも1つの所定の閾値を含むこと、及び2)前記取得されたアプリのうちの前記第1の特定の1つが、前記取得されたアプリの前記第2の特定の1つに含まれない更なるコードを含むという判定に応答して、前記取得されたアプリのうちの前記第1の特定の1つの前記日付を、前記取得されたアプリのうちの前記第2の特定の1つの前記日付と比較することと、
    前記取得されたアプリのうちの前記第1の特定の1つが、前記取得されたアプリのうちの前記第2の特定の1つと共通のコードの少なくとも1つの所定の閾値を含むこと、2)前記取得されたアプリのうちの前記第1の特定の1つが、前記取得されたアプリのうちの前記第2の特定の1つに含まれない更なるコードを含むこと、3)前記取得されたアプリのうちの前記第1の特定の1つの前記デジタル署名者が、前記取得されたアプリのうちの前記第2の特定の1つの前記デジタル署名者と同一ではないこと、及び4)前記取得されたアプリのうちの前記第1の特定の1つの前記日付が、前記取得されたアプリのうちの前記第2の特定の1つの前記日付以降であるという判定にのみ応答して、前記取得されたアプリのうちの前記第1の特定の1つがトロイの木馬化されたアプリであると特定することと、を更に含む、請求項13に記載の方法。
  15. 前記取得されたアプリのうちの前記第1の特定の1つがトロイの木馬化されたアプリであるとの特定に応答して、
    人間の分析者による手動での検査のために前記トロイの木馬化されたアプリにフラグを付ける工程、
    悪意のあるコードの自動分析のために前記トロイの木馬化されたアプリをキューに入れる工程、
    前記トロイの木馬化されたアプリに関する情報を集中型セキュリティコンポーネントに伝送する工程、及び
    前記トロイの木馬化されたアプリをブラックリストに載せる工程からなる工程の群のうちの少なくとも1つの更なる工程を行うことを更に含む、請求項1に記載の方法。
JP2014554852A 2012-01-25 2013-01-25 モバイル環境用のトロイの木馬化されたアプリケーション(アプリ)を特定するためのコンピュータ実装方法、非一時コンピュータ読み取り可能な媒体およびコンピュータシステム Active JP5802848B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US13/358,413 2012-01-25
US13/358,413 US8806643B2 (en) 2012-01-25 2012-01-25 Identifying trojanized applications for mobile environments
PCT/US2013/023127 WO2013112821A1 (en) 2012-01-25 2013-01-25 Identifying trojanized applications for mobile environments

Publications (3)

Publication Number Publication Date
JP2015508549A true JP2015508549A (ja) 2015-03-19
JP2015508549A5 JP2015508549A5 (ja) 2015-08-20
JP5802848B2 JP5802848B2 (ja) 2015-11-04

Family

ID=48798368

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014554852A Active JP5802848B2 (ja) 2012-01-25 2013-01-25 モバイル環境用のトロイの木馬化されたアプリケーション(アプリ)を特定するためのコンピュータ実装方法、非一時コンピュータ読み取り可能な媒体およびコンピュータシステム

Country Status (5)

Country Link
US (1) US8806643B2 (ja)
EP (1) EP2807598B1 (ja)
JP (1) JP5802848B2 (ja)
CN (1) CN104067283B (ja)
WO (1) WO2013112821A1 (ja)

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101944010B1 (ko) * 2012-02-24 2019-01-30 삼성전자 주식회사 애플리케이션의 변조 감지 방법 및 장치
US9558348B1 (en) * 2012-03-01 2017-01-31 Mcafee, Inc. Ranking software applications by combining reputation and code similarity
US9407443B2 (en) 2012-06-05 2016-08-02 Lookout, Inc. Component analysis of software applications on computing devices
US9589129B2 (en) 2012-06-05 2017-03-07 Lookout, Inc. Determining source of side-loaded software
US9274816B2 (en) 2012-12-21 2016-03-01 Mcafee, Inc. User driven emulation of applications
US9208215B2 (en) 2012-12-27 2015-12-08 Lookout, Inc. User classification based on data gathered from a computing device
US20140189871A1 (en) * 2012-12-28 2014-07-03 Andre L. Nash Identifying Code Signatures Using Metamorphic Code Generation
US9438620B2 (en) * 2013-10-22 2016-09-06 Mcafee, Inc. Control flow graph representation and classification
US9246923B1 (en) 2014-01-19 2016-01-26 Google Inc. Developer risk classifier
US9111093B1 (en) 2014-01-19 2015-08-18 Google Inc. Using signals from developer clusters
CN103944903B (zh) * 2014-04-23 2017-02-15 福建联迪商用设备有限公司 一种多方授权的apk签名方法及系统
US20160127412A1 (en) * 2014-11-05 2016-05-05 Samsung Electronics Co., Ltd. Method and system for detecting execution of a malicious code in a web based operating system
AU2016258533B2 (en) 2015-05-01 2017-11-30 Lookout, Inc. Determining source of side-loaded software
US10614223B2 (en) * 2015-05-28 2020-04-07 Micro Focus Llc Security vulnerability detection
TWI617940B (zh) * 2016-12-01 2018-03-11 財團法人資訊工業策進會 資料保護方法與資料保護系統
US10218697B2 (en) 2017-06-09 2019-02-26 Lookout, Inc. Use of device risk evaluation to manage access to services
US11017084B2 (en) 2017-11-21 2021-05-25 International Business Machines Corporation Detection of malicious code fragments via data-flow isolation
CN111414304A (zh) * 2020-03-18 2020-07-14 北京京安佳新技术有限公司 一种app特征识别方法和设备

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5454000A (en) * 1992-07-13 1995-09-26 International Business Machines Corporation Method and system for authenticating files
CN1423766A (zh) * 2000-02-17 2003-06-11 通用仪器公司 提供安全控制软件或固件代码下载和接收下载代码的计算装置的安全操作的方法和装置
US7373519B1 (en) * 2003-04-09 2008-05-13 Symantec Corporation Distinguishing legitimate modifications from malicious modifications during executable computer file modification analysis
US7487542B2 (en) * 2004-01-14 2009-02-03 International Business Machines Corporation Intrusion detection using a network processor and a parallel pattern detection engine
US7873947B1 (en) * 2005-03-17 2011-01-18 Arun Lakhotia Phylogeny generation
GB0513375D0 (en) 2005-06-30 2005-08-03 Retento Ltd Computer security
US8126866B1 (en) * 2005-09-30 2012-02-28 Google Inc. Identification of possible scumware sites by a search engine
US9064115B2 (en) 2006-04-06 2015-06-23 Pulse Secure, Llc Malware detection system and method for limited access mobile platforms
US8091127B2 (en) * 2006-12-11 2012-01-03 International Business Machines Corporation Heuristic malware detection
US8839431B2 (en) 2008-05-12 2014-09-16 Enpulz, L.L.C. Network browser based virus detection
US20090313700A1 (en) 2008-06-11 2009-12-17 Jefferson Horne Method and system for generating malware definitions using a comparison of normalized assembly code
US8108933B2 (en) 2008-10-21 2012-01-31 Lookout, Inc. System and method for attack and malware prevention
US8984628B2 (en) * 2008-10-21 2015-03-17 Lookout, Inc. System and method for adverse mobile application identification
US8850211B2 (en) 2009-04-27 2014-09-30 Qualcomm Incorporated Method and apparatus for improving code and data signing
US8484728B2 (en) 2009-06-03 2013-07-09 Apple Inc. Managing securely installed applications
US20110041179A1 (en) 2009-08-11 2011-02-17 F-Secure Oyj Malware detection
US20110219002A1 (en) * 2010-03-05 2011-09-08 Mcafee, Inc. Method and system for discovering large clusters of files that share similar code to develop generic detections of malware
US20120072988A1 (en) * 2010-03-26 2012-03-22 Telcordia Technologies, Inc. Detection of global metamorphic malware variants using control and data flow analysis
US8726387B2 (en) * 2011-02-11 2014-05-13 F-Secure Corporation Detecting a trojan horse
US20130067577A1 (en) * 2011-09-14 2013-03-14 F-Secure Corporation Malware scanning

Also Published As

Publication number Publication date
CN104067283A (zh) 2014-09-24
JP5802848B2 (ja) 2015-11-04
EP2807598B1 (en) 2019-03-06
CN104067283B (zh) 2016-11-16
US8806643B2 (en) 2014-08-12
US20130191918A1 (en) 2013-07-25
WO2013112821A1 (en) 2013-08-01
EP2807598A1 (en) 2014-12-03
EP2807598A4 (en) 2015-09-16

Similar Documents

Publication Publication Date Title
JP5802848B2 (ja) モバイル環境用のトロイの木馬化されたアプリケーション(アプリ)を特定するためのコンピュータ実装方法、非一時コンピュータ読み取り可能な媒体およびコンピュータシステム
US10834108B2 (en) Data protection in a networked computing environment
US9552480B2 (en) Managing software deployment
US10614233B2 (en) Managing access to documents with a file monitor
US11237817B2 (en) Operating system update management for enrolled devices
US9294442B1 (en) System and method for threat-driven security policy controls
KR101832533B1 (ko) 획득된 파일의 평판 검사 기법
US11409884B2 (en) Security profiling of system firmware and applications from an OOB appliance at a differentiated trust boundary
US20180176229A1 (en) Decentralized automated software updates via blockchain
JP5396051B2 (ja) 承認済みファイルと信頼されたドメインのデータベースを作成及び更新する方法及びシステム
CN103679031B (zh) 一种文件病毒免疫的方法和装置
US9147073B2 (en) System and method for automatic generation of heuristic algorithms for malicious object identification
CN109937564B (zh) 用于检测分布式计算系统中的欺诈性帐户使用的方法和设备
CN109376534B (zh) 用于检测应用的方法和装置
CN113646761A (zh) 向应用提供应用安全、验证和特征分析
US9954874B2 (en) Detection of mutated apps and usage thereof
CN109522683B (zh) 软件溯源方法、系统、计算机设备及存储介质
Cappos et al. Package management security
CN109714371B (zh) 一种工控网络安全检测系统
US11436331B2 (en) Similarity hash for android executables
CN113596600A (zh) 直播嵌入程序的安全管理方法、装置、设备及存储介质
JP2019008568A (ja) ホワイトリスト管理システムおよびホワイトリスト管理方法
CN116961993A (zh) 服务配置方法、系统、设备及介质

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150701

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150701

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20150701

TRDD Decision of grant or rejection written
A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20150731

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150804

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150831

R150 Certificate of patent or registration of utility model

Ref document number: 5802848

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250