Skip to main content
QUICK REVIEW

[論文レビュー] Beyond the Virus: A First Look at Coronavirus-themed Mobile Malware

Liu Wang, He Ren|arXiv (Cornell University)|May 29, 2020
Advanced Malware Detection Techniques参考文献 48被引用数 26
ひとこと要約

本論文は、コロナウイルスをテーマにしたAndroidマルウェアの最初の体系的分析を提示する。アプリマーケット、リポジトリ、脅威インテリジェンスソースから、4,322個の独自のCOVID-19テーマAPK(うち611個がマルウェアサンプル)を収集・ラベル付けした。その結果、50%を超えるマルウェアが、同一の名前とアイコンを使用して正当なアプリを偽装していたことが判明。大多数の攻撃者はマルウェア開発経験が少なく、英語圏、中国、アラビア語圏の国々を主な標的としていた。

ABSTRACT

As the COVID-19 pandemic emerged in early 2020, a number of malicious actors have started capitalizing the topic. Although a few media reports mentioned the existence of coronavirus-themed mobile malware, the research community lacks the understanding of the landscape of the coronavirus-themed mobile malware. In this paper, we present the first systematic study of coronavirus-themed Android malware. We first make efforts to create a daily growing COVID-19 themed mobile app dataset, which contains 4,322 COVID-19 themed apk samples (2,500 unique apps) and 611 potential malware samples (370 unique malicious apps) by the time of mid-November, 2020. We then present an analysis of them from multiple perspectives including trends and statistics, installation methods, malicious behaviors and malicious actors behind them. We observe that the COVID-19 themed apps as well as malicious ones began to flourish almost as soon as the pandemic broke out worldwide. Most malicious apps are camouflaged as benign apps using the same app identifiers (e.g., app name, package name and app icon). Their main purposes are either stealing users' private information or making profit by using tricks like phishing and extortion. Furthermore, only a quarter of the COVID-19 malware creators are habitual developers who have been active for a long time, while 75% of them are newcomers in this pandemic. The malicious developers are mainly located in US, mostly targeting countries including English-speaking countries, China, Arabic countries and Europe. To facilitate future research, we have publicly released all the well-labelled COVID-19 themed apps (and malware) to the research community. Till now, over 30 research institutes around the world have requested our dataset for COVID-19 themed research.

研究の動機と目的

  • 研究コミュニティにおけるコロナウイルスをテーマにしたモバイルマルウェアに関する包括的理解の欠如に対処すること。
  • COVID-19テーマのAndroidアプリおよびマルウェアの、日々更新される公開データセットを収集・整備すること。
  • これらのアプリのトレンド、インストール方法、悪意ある行動、および背後にある攻撃者のプロファイルを分析すること。
  • 30以上の研究機関に、well-labeledなデータセットを提供することで、今後の社会的出来事に起因するサイバー脅威に関する研究を支援すること。

提案手法

  • パンデミック関連のドメイン、Google Play、代替アプリマーケット、Koodous、脅威インテリジェンスレポートなどから、4,322個のCOVID-19テーマAPKサンプルを収集した。
  • 静的および動的解析、シグネチャマッチング、行動分析を通じて、611個のマルウェアサンプル(370個のユニークなアプリ)を同定した。
  • 行動に基づいて、情報窃盗、フィッシング、脅迫、プレミアムSMS/通話の乱用などのカテゴリにマルウェアを分類した。
  • アプリメタデータ(パッケージ名、アプリ名、アイコン)を用いて、偽アプリおよび再パackされたマルウェアを検出した。
  • IPおよび行動分析を用いて、悪意ある開発者の地理的分布をマッピングした。
  • 2020年5月29日に、完全にラベル付けされたデータセットを研究コミュニティに公開し、週次での更新を継続している。

実験結果

リサーチクエスチョン

  • RQ1パンデミック開始以降、コロナウイルスをテーマにしたAndroidマルウェアの普及状況と進化はいかがだったか?
  • RQ2マルウェア攻撃者はどのようにして正当なアプリに見せかけ、ユーザーをだませるのか?どのような手法を用いているか?
  • RQ3これらのマルウェアサンプルが示した支配的な悪意ある行動は何か?
  • RQ4これらの脅威の背後にある攻撃者は誰か?経験値や地理的出処の観点から、彼らのプロファイルはどのように異なるか?
  • RQ5社会的動機によるマルウェア(例:本研究の対象となるもの)を分析するには、現存するツールやデータセットが十分に機能していると言えるか?

主な発見

  • 2020年11月中旬時点で、4,300個を超える独自のCOVID-19テーマAndroid APKサンプルが収集され、そのうち611個(370個のユニークなアプリ)が悪意あるものと特定された。
  • 49.6%を超えるマルウェアサンプルが、正当なアプリの名前、パッケージ名、アイコンを模倣した偽アプリであり、ユーザーをだます目的で使われていた。
  • マルウェアサンプルのうち5.4%しかが、良性アプリの再パッケージ化されたバージョンではなかったことから、オリジナル開発が現在の主流であると示された。
  • 大多数の悪意ある行動は、情報窃盗、フィッシング、脅迫、プレミアムSMS/通話の乱用であり、スパイウェアおよびトロイの木馬マルウェアが最も一般的なタイプであった。
  • 75%のマルウェア開発者がサイバー犯罪経験のない新参者であったため、パンデミック期に機会的攻撃が急増したと示唆された。
  • 最も活発な悪意ある攻撃者はアメリカに所在し、主に英語圏、中国、アラビア語圏、ヨーロッパ諸国を標的にしていた。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。