Labeling of Android malware with help of cryptographic API usage – Bc. Dominik Macko

Abstract:

Cieľom tejto práce bolo vyhodnotiť možnosť použitia informácií o používaní kryptografického API v aplikáciach na platforme Android pre detekciu malwaru, detekciu adwaru a klasifikáciu malwarových a adwarových rodín pomocou strojového učenia. Najprv práca poskytuje prehľad o analýze malwaru na platforme Android a o použitých algoritmoch strojového učenia, konkrétne naivný Bayesov klasifikátor, logistická regresia, náhodný les, gradientne posilované rozhodovacie stromy a viacvrstvá sieť. Dátová sada, ktorá obsahuje atribúty získané pomocou statickej analýzy kódu, je potom analyzovaná, pripravená a použitá na trénovanie daných algoritmov. Výsledky ukazujú, že atribúty založené na používaní kryptografickej API môžu byť použité na všetky spomínané ciele. Takisto, výsledky pri klasifikovaní kategórií malwaru nie sú výrazne lepšie než výsledky pri klasifikácii malwarových rodín. Výsledky tiež ukazujú, že rozlišovanie medzi malwarom a neškodlivými aplikáciami je tažšia úloha než rozlišovanie medzi adwarom a neškodlivými aplikáciami s ohľadom na atribúty a dátovú sadu použitú v tejto práci. Na základe týchto výsledkov môžu byť atribúty používané v aktuálnych systémoch na analýzu malwaru pre platformu Android rozšírené o atribúty týkajúce sa kryptografického API. …moreless

Abstract:

The thesis aims to evaluate the potential of using information about cryptography API usage in Android applications for malware detection, adware detection, and labeling of malware and adware families using machine learning. First, the thesis provides an overview of Android malware analysis and the machine learning algorithms used, specifically Naive Bayes, Logistic Regression, Random Forest, Gradient Boosted Decision Trees, and Multilayer Perceptron. Then, the dataset, which contains features extracted with static analysis, with both malicious and benign samples, is analyzed, prepared, and used to train the algorithms. The results show that features based on cryptography API usage can be leveraged for all the objectives. Furthermore, labeling malware categories does not produce significantly better results than the labeling of families. The results also show that discriminating between malware and benign samples is a more challenging objective compared to discriminating between adware and benign samples w.r.t. the feature representation and dataset used in this thesis. Based on these results, the features used by the current Android malware analysis systems can be expanded by adding features related to cryptography API. …moreless