Skip to main content
QUICK REVIEW

[논문 리뷰] Beyond the Virus: A First Look at Coronavirus-themed Mobile Malware

Liu Wang, He Ren|arXiv (Cornell University)|2020. 05. 29.
Advanced Malware Detection Techniques참고 문헌 48인용 수 26
한 줄 요약

이 논문은 코로나19를 주제로 한 안드로이드 악성코드에 대한 첫 번째 체계적 분석을 제시한다. 연구자들은 앱 마켓, 저장소, 위협 지능 자료원에서 4,322개의 고유한 코로나19 주제 APK(611개의 악성코드 샘플 포함)를 수집하고 레이블을 붙였다. 분석 결과, 49퍼센트 이상의 악성코드가 사용자를 속이기 위해 동일한 이름과 아이콘을 가진 정상 앱을 모조로 가장한 것으로 밝혀졌으며, 대부분의 악성 행위자들은 악성코드 개발 분야에서 신규이자 영어권, 중국, 아랍권 국가들을 주로 표적으로 삼았다.

ABSTRACT

As the COVID-19 pandemic emerged in early 2020, a number of malicious actors have started capitalizing the topic. Although a few media reports mentioned the existence of coronavirus-themed mobile malware, the research community lacks the understanding of the landscape of the coronavirus-themed mobile malware. In this paper, we present the first systematic study of coronavirus-themed Android malware. We first make efforts to create a daily growing COVID-19 themed mobile app dataset, which contains 4,322 COVID-19 themed apk samples (2,500 unique apps) and 611 potential malware samples (370 unique malicious apps) by the time of mid-November, 2020. We then present an analysis of them from multiple perspectives including trends and statistics, installation methods, malicious behaviors and malicious actors behind them. We observe that the COVID-19 themed apps as well as malicious ones began to flourish almost as soon as the pandemic broke out worldwide. Most malicious apps are camouflaged as benign apps using the same app identifiers (e.g., app name, package name and app icon). Their main purposes are either stealing users' private information or making profit by using tricks like phishing and extortion. Furthermore, only a quarter of the COVID-19 malware creators are habitual developers who have been active for a long time, while 75% of them are newcomers in this pandemic. The malicious developers are mainly located in US, mostly targeting countries including English-speaking countries, China, Arabic countries and Europe. To facilitate future research, we have publicly released all the well-labelled COVID-19 themed apps (and malware) to the research community. Till now, over 30 research institutes around the world have requested our dataset for COVID-19 themed research.

연구 동기 및 목표

  • 연구계에서 코로나19 주제의 모바일 악성코드에 대한 종합적인 이해 부족을 해소하기 위해.
  • 코로나19 주제의 안드로이드 앱 및 악성코드에 대한 매일 업데이트되는, 공개 가능한 데이터셋을 수집하고 정제하기 위해.
  • 이러한 앱의 추세, 설치 방법, 악성 행동, 그리고 배후 악성 행위자들의 프로필을 분석하기 위해.
  • 30여 개 이상의 연구 기관에 잘 레이블링된 데이터셋을 공개하여 향후 사회적 사건 기반 사이버 위협에 대한 연구를 지원하기 위해.

제안 방법

  • 코로나19 주제의 APK 샘플 총 4,322개를 구글 플레이, 대체 앱 마켓, 쿠두스, 위협 지능 보고서, 팬데믹과 관련된 도메인에서 수집하였다.
  • 정적 및 동적 분석을 통해 서명 일치 및 행동 분석을 포함하여 총 611개의 악성코드 샘플(370개의 고유 앱)을 식별하였다.
  • 행동 기반으로 정보 유출, 피싱, 협박, 프리미엄 SMS 남용 등의 범주로 악성코드를 분류하였다.
  • 앱 메타데이터(패키지 이름, 앱 이름, 아이콘)를 사용하여 가짜 앱 및 재패키징된 악성코드를 탐지하였다.
  • IP 및 행동 분석을 통해 악성 개발자의 지리적 분포를 매핑하였다.
  • 2020년 5월 29일에 연구 공동체에 완전히 레이블링된 데이터셋을 공개하였으며, 주간 업데이트를 지속하고 있다.

실험 결과

연구 질문

  • RQ1팬데믹이 시작된 이래 코로나19 주제의 안드로이드 악성코드는 얼마나 널리 퍼졌고, 어떻게 진화해 왔는가?
  • RQ2악성 행위자들은 어떻게 악성코드를 정상 앱처럼 위장하여 사용자를 속이는가? 어떤 기법을 사용하는가?
  • RQ3이러한 악성코드 샘플들이 나타내는 주요 악성 행동은 무엇인가?
  • RQ4이러한 위협의 배후 악성 행위자들은 누구이며, 경험 수준과 지리적 기원 측면에서 어떻게 다를까?
  • RQ5이러한 사회적 동기의 악성코드 분석을 위해 기존 도구와 데이터셋은 얼마나 충분한가?

주요 결과

  • 2020년 11월 중순 기준으로 총 4,300여 개의 고유한 코로나19 주제 안드로이드 APK 샘플을 수집하였으며, 그 중 611개(370개의 고유 앱)가 악성코드로 확인되었다.
  • 49.6퍼센트 이상의 악성코드 샘플이 사용자를 속이기 위해 정상 앱의 이름, 패키지 이름, 아이콘을 복제한 가짜 앱이었다.
  • 악성코드 샘플의 5.4퍼센트만이 정상 앱의 재패키징 버전이었으며, 이는 원천 개발이 이제 주된 방법이 되었다는 것을 시사한다.
  • 다수의 악성 행동은 정보 유출, 피싱, 협박, 프리미엄 SMS/통화 남용이었으며, 스파이웨어 및 트로이 목마 악성코드가 가장 흔한 유형이었다.
  • 악성코드 개발자의 75퍼센트가 사이버 범죄 분야에서 신규였으며, 이는 팬데믹 기간 동안 기회주의 공격가의 급증을 시사한다.
  • 가장 활동적인 악성 행위자들은 미국에 기반을 두었으며, 주로 영어권 국가, 중국, 아랍권 국가, 유럽 국가들을 표적으로 삼았다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.