Skip to main content
QUICK REVIEW

[論文レビュー] The Company You Keep: Mobile Malware Infection Rates and Inexpensive Risk Indicators

Hien Thi Thu Truong, Eemil Lagerspetz|arXiv (Cornell University)|Dec 11, 2013
Advanced Malware Detection Techniques参考文献 21被引用数 48
ひとこと要約

本稿では、55,000台以上のデバイスからのデータを用いて、Androidマルウェア感染率の最初の直接的で大規模な測定を実施し、感染率が0.26%および0.28%であることを明らかにした。これは従来の間接的推定値よりも顕著に高い。本稿では、インストールされたアプリケーションやバッテリー消費量といった低コストのデバイスレベル指標を用いて、標的型マルウェア分析の対象となる感染感受性の高いデバイスを特定する手法を提案しており、ランダム選択に比べて最大5倍の精度向上を達成している。

ABSTRACT

There is little information from independent sources in the public domain about mobile malware infection rates. The only previous independent estimate (0.0009%) [12], was based on indirect measurements obtained from domain name resolution traces. In this paper, we present the first independent study of malware infection rates and associated risk factors using data collected directly from over 55,000 Android devices. We find that the malware infection rates in Android devices estimated using two malware datasets (0.28% and 0.26%), though small, are significantly higher than the previous independent estimate. Using our datasets, we investigate how indicators extracted inexpensively from the devices correlate with malware infection. Based on the hypothesis that some application stores have a greater density of malicious applications and that advertising within applications and cross-promotional deals may act as infection vectors, we investigate whether the set of applications used on a device can serve as an indicator for infection of that device. Our analysis indicates that this alone is not an accurate indicator for pinpointing infection. However, it is a very inexpensive but surprisingly useful way for significantly narrowing down the pool of devices on which expensive monitoring and analysis mechanisms must be deployed. Using our two malware datasets we show that this indicator performs 4.8 and 4.6 times (respectively) better at identifying infected devices than the baseline of random checks. Such indicators can be used, for example, in the search for new or previously undetected malware. It is therefore a technique that can complement standard malware scanning by anti-malware tools. Our analysis also demonstrates a marginally significant difference in battery use between infected and clean devices.

研究の動機と目的

  • 公開ソースからの実証データの欠如に起因する、モバイルマルウェア感染率の独立的かつ直接的な推定値を提供すること。
  • インストールされたアプリケーションやバッテリー消費量といった低コストのデバイスレベル指標が、マルウェア感染感受性を予測できるかどうかを調査すること。
  • 高価な監視ツールの展開に適した、リスクの高い少数のデバイスを特定することで、マルウェア検出の効率を高めること。
  • BYODポリシーの下で特に脆弱なユーザーに焦点を当て、セキュリティベンダーや企業IT部門がリソースを集中できるように支援すること。

提案手法

  • 55,000台以上の実際のAndroidデバイスで動作するCaratアプリケーションを拡張し、インストール済みアプリケーションに関するリアルタイムデータ収集を実施した。
  • 2つの独立したマルウェアデータセット(McAfeeおよびMobile Sandbox)と照合することで、デバイスの感染状況を特定した。
  • 統計的モデリングを用いて、感染済みデバイスとクリーンなデバイスのバッテリー持続時間の推定値を比較し、エネルギー消費量がマルウェアの代理指標として有効かどうかを評価した。
  • 精度と再現率の指標を用いて、インストール済みアプリケーションセットが将来的な感染リスクを軽量な指標として予測できるかを評価した。
  • モデルの性能をランダムベースラインと比較することで、感受性の高いデバイスを特定する際の性能向上を定量化した。
  • 従来のソフトウェア中心のマルウェア検出とは対照的に、デバイス中心のアプローチを採用し、個々のアプリの分類ではなく、感染感受性の推定に焦点を当てた。

実験結果

リサーチクエスチョン

  • RQ1実際のデバイスからの直接的測定に基づき、Androidデバイスにおけるモバイルマルウェアの真の感染率は何か?
  • RQ2デバイスにインストールされたアプリケーションのセットは、マルウェア感染感受性を特定するための低コストな代理指標として機能できるか?
  • RQ3マルウェア感染はデバイスのバッテリー持続時間に測定可能な影響を与えるか? その影響を検出シグナルとして利用できるか?
  • RQ4アプリケーションセットに基づく指標は、ランダム選択に比べて、感染済みデバイスを特定する際にどれほど性能が向上するか?

主な発見

  • 55,000台以上のAndroidデバイスを対象とした直接的測定により、感染率はMobile Sandboxでは0.26%、McAfeeでは0.28%であった。これは従来の間接的推定値0.0009%よりも顕著に高い。
  • デバイスにインストールされたアプリケーションのセットは、感染感受性を示す意味のある低コストの指標であり、ランダム選択に比べて最大5倍の精度向上を達成した。
  • 感染済みデバイスとクリーンなデバイスとの間で、バッテリー持続時間にわずかに有意な差が認められた。これはエネルギー消費量がマルウェア存在の潜在的代理指標である可能性を示唆している。
  • 提案手法により、高リスクデバイスを的確に特定し、より深い分析に割り当てることが可能となり、セキュリティベンダーや企業ITがリソース制約下でも効果的に対応できるようになった。
  • 従来のマルウェアスキャンとは対照的に、個々のアプリの分析ではなく感染感受性に焦点を当てたデバイス中心のアプローチが、従来の手法を補完するものとなった。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。