Skip to main content
QUICK REVIEW

[논문 리뷰] The Company You Keep: Mobile Malware Infection Rates and Inexpensive Risk Indicators

Hien Thi Thu Truong, Eemil Lagerspetz|arXiv (Cornell University)|2013. 12. 11.
Advanced Malware Detection Techniques참고 문헌 21인용 수 48
한 줄 요약

이 논문은 55,000대 이상의 장치에서 수집한 데이터를 사용하여 Android 악성 소프트웨어 감염률을 처음으로 직접적으로 대규모로 측정한 것으로, 감염률이 0.26%와 0.28%로 이전 간접 추정치보다 훨씬 높음을 발견했다. 악성 소프트웨어 분석을 위한 표적화된 장치를 식별하기 위해 설치된 애플리케이션 수와 배터리 사용량과 같은 저비용의 장치 수준 지표를 제안하며, 무작위 선택 대비 최대 5배 높은 정밀도를 달성했다.

ABSTRACT

There is little information from independent sources in the public domain about mobile malware infection rates. The only previous independent estimate (0.0009%) [12], was based on indirect measurements obtained from domain name resolution traces. In this paper, we present the first independent study of malware infection rates and associated risk factors using data collected directly from over 55,000 Android devices. We find that the malware infection rates in Android devices estimated using two malware datasets (0.28% and 0.26%), though small, are significantly higher than the previous independent estimate. Using our datasets, we investigate how indicators extracted inexpensively from the devices correlate with malware infection. Based on the hypothesis that some application stores have a greater density of malicious applications and that advertising within applications and cross-promotional deals may act as infection vectors, we investigate whether the set of applications used on a device can serve as an indicator for infection of that device. Our analysis indicates that this alone is not an accurate indicator for pinpointing infection. However, it is a very inexpensive but surprisingly useful way for significantly narrowing down the pool of devices on which expensive monitoring and analysis mechanisms must be deployed. Using our two malware datasets we show that this indicator performs 4.8 and 4.6 times (respectively) better at identifying infected devices than the baseline of random checks. Such indicators can be used, for example, in the search for new or previously undetected malware. It is therefore a technique that can complement standard malware scanning by anti-malware tools. Our analysis also demonstrates a marginally significant difference in battery use between infected and clean devices.

연구 동기 및 목표

  • 공개 자료에서의 실증적 데이터 부족 문제를 해결하기 위해, 실제 환경에서의 모바일 악성 소프트웨어 감염률에 대한 첫 번째 독립적이고 직접 측정된 추정치를 제공하는 것.
  • 설치된 애플리케이션과 배터리 소비량과 같은 저비용의 장치 수준 지표가 악성 소프트웨어 감염에 취약한지 여부를 예측할 수 있는지 조사하는 것.
  • 비용이 많이 드는 모니터링 도구의 배포를 위해 고위험 장치의 소규모 풀을 식별하여 악성 소프트웨어 탐지의 효율성을 높이는 것.
  • 특히 BYOD 정책 하에서 취약 사용자에게 자원을 집중할 수 있도록 악성 소프트웨어 방지 업체와 엔터프라이즈 IT에 지원하는 것.

제안 방법

  • 실제 환경의 55,000대 이상의 안드로이드 장치에서 설치된 애플리케이션에 대한 실시간 데이터를 수집하기 위해 Carat 애플리케이션을 수정했다.
  • 두 개의 독립된 악성 소프트웨어 데이터셋(McAfee 및 Mobile Sandbox)과 장치의 애플리케이션 집합을 대조하여 감염된 장치를 식별했다.
  • 감염된 장치와 정상 장치 간의 배터리 수명 예측치를 비교하기 위해 통계 모델링을 사용하여 에너지 소비가 악성 소프트웨어의 지표로 사용될 수 있는지 평가했다.
  • 정밀도와 재현율 지표를 사용하여 설치된 애플리케이션 집합이 향후 감염을 예측하는 데 있어 경량 지표로서의 성능을 평가했다.
  • 모델 성능을 무작위 기반 기준과 비교하여 취약한 장치를 식별하는 데서의 향상 정도를 정량화했다.
  • 기존의 소프트웨어 중심의 악성 소프트웨어 탐지 방식과 대비하여, 개별 앱 분석이 아닌 감염에 취약한지 여부를 추정하는 데 초점을 맞춘 장치 중심의 접근 방식을 적용했다.

실험 결과

연구 질문

  • RQ1실제 장치에서 직접 측정한 바탕으로, 안드로이드 장치에서의 모바일 악성 소프트웨어 감염률은 얼마인가요?
  • RQ2장치에 설치된 애플리케이션의 집합은 감염에 취약한 장치를 식별하는 데 있어 저비용의 대체 지표로 기능할 수 있는가요?
  • RQ3악성 소프트웨어 감염이 장치의 배터리 수명에 측정 가능한 영향을 미치며, 이를 탐지 신호로 사용할 수 있는가요?
  • RQ4앱 집합 기반 지표가 감염된 장치를 식별하는 데 있어 무작위 선택 대비 얼마나 더 뛰어난 성능을 보이는가요?

주요 결과

  • 55,000대 이상의 안드로이드 장치에서 직접 측정한 악성 소프트웨어 감염률은 Mobile Sandbox 기준 0.26%, McAfee 기준 0.28%로, 이전 간접 추정치인 0.0009%보다 훨씬 높았다.
  • 장치에 설치된 애플리케이션의 집합은 감염에 취약한지 여부를 의미 있는 저비용 지표로 기능하며, 무작위 장치 선택 대비 감염 장치 식별 정밀도를 최대 5배 향상시켰다.
  • 감염된 장치와 정상 장치 간에 배터리 수명에 미미하게 유의미한 차이가 관찰되어 에너지 소비가 악성 소프트웨어 존재 여부의 잠재적 지표가 될 수 있음을 시사했다.
  • 제안된 방법은 고위험 장치를 깊이 있는 분석 대상으로 효율적으로 대상 지정할 수 있게 하여, 자원이 제한된 환경에서 악성 소프트웨어 방지 업체와 엔터프라이즈 IT에 지원한다.
  • 기존의 악성 소프트웨어 스캐닝과 보완적으로 작용하며, 개별 앱 분석이 아닌 감염에 취약한지 여부에 초점을 맞춘 장치 중심의 접근 방식이다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.