Detection of Traffic Initiated by Mobile Malware Targeting Android Devices in 3GPP Networks

  • Erkennung von durch mobile Schadsoftware erzeugtem Datenverkehr von Android Geräten in 3GPP Netzwerken

Kühnel, Marián; Meyer, Ulrike (Thesis advisor); Freiling, Felix C. (Thesis advisor)

Aachen (2017)
Doktorarbeit

Dissertation, RWTH Aachen University, 2017

Kurzfassung

Android-Geräte gehören zu den beliebtesten mobilen Geräten sowohl im geschäftlichen als auch im privaten Leben. Die meisten davon sind durchgehend eingeschaltet und bieten Funktionalitäten über die eines klassischen Rechners hinaus. Diese Eigenschaften, sowie die vielen auf dem Handy gespeicherten sensiblen Informationen, machen das Handy zu einem attraktiven Ziel für Autoren von mobiler Schadsoftware. Darüber hinaus sind die derzeitigen netzwerkbasierten Angriffserkennungssysteme zwar sehr effektiv bei der Erkennung vom schädlichem IP-basierten Datenverkehr, können aber noch nicht Schadsoftware über Mobilfunk-spezifische Daten erkennen, obwohl diese häufig von mobiler Schadsoftware missbraucht werden.Trotz der zunehmenden Schwierigkeit der Analyse von mobiler Schadsoftware war es unser Ziel, die Beziehungen zwischen mobilen Schadsoftware-Samples und Trends in diesem Bereich besser zu verstehen. Für diesen Zweck haben wir verschiedene Analysen von großen Mengen von Android Schadsoftware-Samples durchgeführt. Neben anderen Ergebnissen zeigen wir eine chronologische quantitative Analyse von Android Schadsoftware-Samples, die verschiedene Verschleierungsmethoden anwenden, und wir untersuchen Beziehungen zwischen Samples, die typischerweise SMS-Nachrichten versenden. Diese Untersuchung hilft uns zu verstehen, wie die klassischen, durch mobile Schadsoftware erzeugten SMS-Nachrichten aussehen, und sogar die Anzahl von Autoren der obengenannten mobilen Schadsoftware abzuschätzen.Diese Arbeit stellt drei Innovationen im Bereich der Erkennung von mobiler Schadsoftware vor. Eine neue Architektur namens 3GPP Mobile Malware Protection (3GPPMOP) befindet sich im Kernnetz eines derzeit betriebenen 3GPP-Netzwerks, wie z. B. 2G, 3G oder 4G, und erkennt mobile Schadsoftware für beliebige mobile Geräte in Echtzeit. Die zweite Innovation, eine sehr platzsparende Blacklist (HSEB), optimiert anstatt der Bearbeitungszeit den Speicherplatz der für die Speicherung von Einträgen in der Blacklist benötigt wird. Die HSEB zeigt sich für die Verwaltung des in mobilen Netzwerken verarbeiteten Volumens an Datenverkehr von entscheidender Bedeutung. Schließlich zeigen wir, wie die durch mobile Schadsoftware erzeugten noch unbekannten SMS-Nachrichten mit überwachtem maschinellen Lernen erfolgreich entdeckt werden können.

Identifikationsnummern