Defensa de la tesis de Oscar Somarriba

Atrás

Defensa de la tesis de Oscar Somarriba

TESIS

Defensa de la tesis de Oscar Somarriba

Título de la tesis: Dynamic monitoring of Android malware behavior: A DNS-based approach. Obtuvo la calificación NOTABLE.

09·07·2019

$titulo.getData()

  • Título de tesis: Dynamic monitoring of Android malware behavior: A DNS-based approach.
  • Programa de doctorado: PROGRAMA DE DOCTORADO EN INGENIERÍA MECÁNICA Y ENERGÍA ELÉCTRICA 
  • Dirección de tesis: Urko Zurutuza Ortega, Roberto Uribeetxeberria Ezpeleta
  • Tribunal:
    • Presidencia: Dr. D. Gabriel Maciá Fernández (Universidad de Granada)
    • Vocalía: Dr. D. Guillermo Suárez de Tangil (Kings College London)
    • Vocalía: Dr. D. Igor Armendariz Huici (Ikerlan, S. Coop.)
    • Vocalía: Dr. D. Borja Sanz Urquijo (Universidad de Deusto)
    • Secretaría: Dr. D. Enaiz Ezpeleta  (Mondragon Unibertsitatea)

Resumen

La creciente revolución tecnológica de los dispositivos inteligentes móviles fomenta su amplio uso. Dado que los usuarios de dispositivos móviles confían en repositorios no oficiales o de terceras partes para instalar libremente aplicaciones de pago, se generan muchos problemas de seguridad y privacidad. Por lo tanto, al mismo tiempo que los teléfonos Android se vuelven muy populares y aumentan rápidamente su cuota de mercado, también crecen exponencialmente la cantidad de aplicaciones malintencionadas (malware) que los atacan. Sin embargo, las tecnologías actuales de detección y análisis de malware móvil son muy limitadas e ineficientes. Debido a las características particulares de los dispositivos móviles, tales como el limitado consumo de energía, hace que los motores de detección de PC tradicionales no puedan ejecutarse en el dispositivo inteligente; lo cual implica que la seguridad móvil enfrenta nuevos desafíos, especialmente en la detección dinámica de malware en tiempo de ejecución. Este enfoque es de importación porque pueden ocurrir muchas instrucciones o infecciones, después de instalar o ejecutar una aplicación. Por un lado, estudios recientes han demostrado que el análisis basado en el comportamiento a nivel de red del dispositivo inteligente, donde las aplicaciones también podrían analizarse mediante la observación del tráfico de red que generan, nos permite detectar actividades maliciosas que se producen en el mismo. Por otro lado, los agresores dependen del DNS para proporcionar una comunicación ajustable y resistente entre las máquinas cliente comprometidas y la infraestructura maliciosa. Por lo tanto, tener una gran cantidad de información sobre el tráfico de DNS es muy importante para identificar el comportamiento dañino en aplicaciones, por consiguiente, utilizar el DNS para la detección de malware es un paso lógico en el análisis dinámico, ya que una URL maliciosa es un peligro común y presente para la seguridad informática. Por lo tanto, el objetivo principal de esta tesis es combinar y correlacionar dos enfoques: la detección de arriba hacia abajo mediante la identificación de dominios de malware utilizando trazas de DNS a nivel de red, y la detección de abajo hacia arriba a nivel del dispositivo mediante el análisis dinámico para capturar las URLs solicitadas en una serie de aplicaciones para identificar el malware. Para la detección y visualización de malware, hemos propuesto un sistema que se basa en el análisis dinámico de las llamadas a  APIs de Android. Esto puede ayudar a los analistas de malware a inspeccionar visualmente lo que hace la aplicación bajo estudio, identificando fácilmente tales funciones maliciosas. Para el análisis dinámico del malware de Android, proponemos un enfoque basado en el monitoreo DNS, con dos partes, a saber: (i) un lado del cliente que ha sido diseñado y desarrollado como un agente de software (una aplicación Android) que captura y clasifica ( a través del uso de listas negras) las URLs solicitadas por las aplicaciones bajo escrutinio, que se ejecutan en el dispositivo inteligente, y (ii) un servidor central donde URLs capturadas en i) se recopilan y clasifican mediante un algoritmo de aprendizaje automático, y donde tiene lugar una visualización de los ataques de malware más populares detectados. Además, las URLs maliciosas encontradas se utilizan para realizar una búsqueda de coincidencia de patrones de cadena en los registros DNS de los servidores DNS de la infraestructura móvil, para identificar otros dispositivos infectados. En resumen, exploramos, diseñamos y desarrollamos técnicas que se pueden usar para detectar el comportamiento móvil malicioso de un gran número de colecciones de fuentes heterogéneas de datos basadas en el análisis dinámico de DNS.