A data’s story: Analysing Android malware in 2014 for seeing what’s next

Malware thực chất cũng là phần mềm. Như vậy, cũng như các phần mềm khác, phiên bản sau sẽ được các developer phát triển dựa vào phiên bản trước. Vậy thì một câu hỏi được đặt ra, đó là: Liệu chúng ta có thể dự đoán được sự xuất của các dòng mã độc kế tiếp dựa vào việc phân tích hành vi của những mẫu mà ta đã biết trước ?

Để trả lời câu hỏi trên thì tôi đã làm 1 nghiên cứu nho nhỏ. Tôi lựa chọn đối tượng nghiên cứu các dòng mã độc trên Android thay vì tất cả các loại mã độc vì tôi muốn thử theo nguyên tắc “start small first”. Hành vi mã độc trên Android đủ đa dạng nhưng không quá nhiều như trên PC.

Architecture1

Với các kênh khác nhau, tôi có được 5942 mẫu mã độc Android xuất hiện trong năm 2014. Sau đó tôi cho chạy chúng qua các hệ thống sandbox và ghi nhận các hành vi của chúng. Sau đó công việc của tôi đơn giản chỉ là thống kê.  Hình phía trên là mô tả sơ bộ lại quá trình thử nghiệm của tôi.

Biểu đồ dưới đây thống kê thời điểm xuất hiện của từng mẫu mã độc mà tôi có được trong năm 2014

Screen Shot 2014-12-09 at 6.58.38 PM

Tôi phân loại mã độc trên Android thành 3 dạng chính:

Trojan: Loại mã độc khi lây nhiễm có thể làm gián đoạn hoạt động của điện thoại, gửi các tin nhắn SMS kiếm tiền, hay điều khiển các thành phần như kết nối mạng, GPS…, tạo điều kiện cho hacker từ xa có thể điều khiển được điện thoại để trục lợi.

Spyware: Mã độc sau khi được cài đặt thì tìm cách đánh cắp thông tin/dữ liệu của người dùng trên điện thoại như danh bạ, nội dung tin nhắn, các thông tin tài chính, tài khoản…

Ransomware: Loại mã độc này thường cản trở hoạt động thông thường của điện thoại (như khoá máy, hoặc mã hoá các file trên thẻ nhớ…) sau đó doạ nạt người sử dụng phải trả tiền để điện thoại hoạt động trở lại bình thường.

Screen Shot 2014-12-09 at 7.37.47 PM

Dưới đây là một số kết quả vui vui có được từ các thống kê:

Đã có thể nhìn thấy trước thời điểm xuất hiện của các Ransomware

Theo báo cáo của các hãng AV, thì từ tháng 5/2014 bắt đầu cảnh báo về các dòng ransomware đầu tiên trên thế giới nhằm vào Android. Ban đầu chúng có tính năng khoá máy, sau đó theo thời gian xuất hiện nhiều con thực hiện mã hoá các file trên điện thoại (1).

Tuy nhiên, nếu nhìn lại số liệu thống kê trên ta sẽ thấy, thực tế là các hacker đã bắt đầu thử nghiệm và tung ra một vài con ransomware từ tháng 4. Tuy nhiên tại thời điểm đó, các hãng AV chưa nhìn thấy được sự xuất hiện của dòng mã độc này. Chỉ khi chúng ta nhìn lại bằng số liệu mới thấy được điều đó.

Vậy thì nếu theo dõi thường xuyên các tập mẫu, chúng ta có thể đã biết sớm hơn về sự xuất hiện của Ransomware và có thể cảnh báo chúng sớm hơn nữa.

Sự thay đổi của các Trojan sử dụng SMS

Một điểm quan trọng đối với các ứng dụng trên Android đó là cần phải đăng ký để sử dụng các quyền khác nhau (ví dụ như quyền gửi SMS, quyền truy cập danh bạ, quyền đọc GPS của điện thoại…)

Thống kê số liệu tập mẫu của tôi có được, thì tôi nhận thấy có một sự thay đổi khá rõ nét liên quan tới các quyền sử dụng SMS như: SEND_SMS, READ_SMS, RECEIVE_SMS, WRITE_SMS… Đó là từ khoảng giữa năm trở đi, số quyền SMS được các mã độc sử dụng ít đi trông thấy.

trojansms

 

Có lẽ là các trojan SMS giờ đây rất dễ bị tóm và cũng có thể việc kiếm tiền hoặc truyền thông tin qua SMS không còn được hiệu quả nữa chăng ?

Thống kê top các Permission nguy hiểm được sử dụng theo từng dòng

 

Top 10 các Permission nguy hiểm mà các Trojan sử dụng

Screen Shot 2015-01-05 at 11.13.25 AM

 

Screen Shot 2014-12-10 at 1.39.29 PM

Top 10 các Permission nguy hiểm mà các Spy sử dụng

Screen Shot 2015-01-05 at 11.15.16 AM

Screen Shot 2014-12-10 at 1.44.36 PM

Top 10 các Permission nguy hiểm mà các Ransomware sử dụng

Screen Shot 2015-01-05 at 11.16.43 AM

Screen Shot 2014-12-10 at 1.49.20 PM

Dự đoán 2015 

Dự đoán chung

  • Các dòng trojan sử dụng các quyền liên quan tới SMS tiếp tục giảm đi
  • Các mã độc sử dụng quyền liên quan tới kết nối internet, đọc trạng thái điện thoại, theo dõi cuộc gọi, GPS.. sẽ gia tăng. Điều đó có nghĩa là các spyware nhắm vào đánh cắp thông tin (chẳng hạn mobile banking) người dùng sẽ gia tăng.
  • Xu hướng xuất hiện những mã độc chỉ cần lấy được quyền INTERNET và READ_PHONE_STATE để tránh sự nhòm ngó của các phần mềm AV
  • Ransomeware sẽ tiếp tục gia tăng: ngoài việc mã hoá/khoá máy để kiếm tiền của người dùng bằng cách doạ nạt, nhiều kỹ thuật có thể được sử dụng: dùng quyền CAMERA, CALL_PHONE… để tăng thêm tính doạ nạt cũng như sẽ có nhiều hình thức kết nối thanh toán khác nhau.

Dự đoán đặc điểm của một trojan mới xuất hiện

Screen Shot 2015-01-05 at 11.19.09 AM

 

Dự đoán đặc điểm của một spyware mới xuất hiện

Screen Shot 2015-01-05 at 11.20.25 AM

Dự đoán đặc điểm của một Ransomware mới xuất hiện

Screen Shot 2015-01-05 at 11.21.16 AM

Kết luận

Như vậy, phương pháp này có thể giúp chúng ta một số điểm sau:

  • Có thể nhìn thấy sớm được sự xuất hiện của một dòng mã độc mới
  • Số liệu và sự biến đổi của các dòng mã độc theo từng gian đoạn
  • Có thể giúp chúng ta dự đoán được phần nào đặc điểm của những biến thể mới

Để dự đoán được chính xác hơn đối với từng dòng, ta sẽ phải phân tích và theo dõi các biến thể của dòng đó. Nếu có thời gian, tôi sẽ tiếp tục viết tiếp về việc này. Ví dụ phân tích và dự đoán về các dòng Ramsomware nổi tiếng là Simplocker hay các dòng mobile banking

Hạn chế của phương pháp 

  • Phụ thuộc vào số lượng mẫu có được
  • Không có các thông tin về số lượng bị lây nhiễm và địa điểm bị lây nhiễm (các AV có điều này, nhưng cũng phụ thuộc vào thị trường của họ)
  • Phụ thuộc vào khả năng của Sandbox

 

Leave a Reply

Your email address will not be published. Required fields are marked *