ANDRIK: Automated Android malware analysis

Abstract

The cybercrime industry is rapidly improving and expanding, and this concerns mobile devices as well. Trojan bankers not only affect end-user computers, but are spreading in other platforms. In this particular case, Blueliv, a cyber-threat intelligence provider wants to improve its capabilities to detect these threats and to mitigate them. To do so, they want to expand the amount of samples analyzed by their sandbox to Android applications. Because there are already some solutions available, the approach followed has been to integrate one of these solutions into their sandbox systems, performing any adaptations required to provide the sandbox with stability, and efficiency. Using this sandbox, Blueliv will also be capable of classifying and extracting information from known samples. This document explains how this integration has been performed, how one can analyze Android malware samples, and how to use the results of this analysis to allow the Sandbox to classify and extract information from the analyzed samples.

La industria del delito cibernético está mejorando y expandiéndose rápidamente. Los banqueros troyanos no sólo afectan a los ordenadores sino que se están extendiendo a otras plataformas. En este caso concreto, Blueliv, un proveedor de inteligencia de amenazas cibernéticas, quiere mejorar sus capacidades para detectar estas amenazas y mitigarlas. Para ello, quieren ampliar la cantidad de muestras analizadas por su sandbox a las aplicaciones de Android. El enfoque seguido ha sido integrar una de estas soluciones en sus sistemas de sandbox, realizando las adaptaciones necesarias para proporcionar estabilidad y eficiencia. Utilizando esta caja de arena, Blueliv también será capaz de clasificar y extraer información de muestras conocidas. Este documento explica cómo se ha realizado esta integración, cómo se pueden analizar las muestras de software malicioso de Android y cómo utilizar los resultados de este análisis para permitir que Sandbox clasifique y extraiga información de las muestras analizadas.

La indústria del delicte cibernètic està millorant i expandint-se ràpidament. Els banquers trojans no només afecten als ordinadors sinó que s'estan estenent a altres plataformes. En aquest cas concret, Blueliv, un proveïdor d'intel·ligència d'amenaces cibernètiques, vol millorar les seves capacitats per detectar aquestes amenaces i mitigar-les. Per a això, volen ampliar la quantitat de mostres analitzades per la seva sandbox a les aplicacions de Android. L'enfocament seguit ha estat integrar una d'aquestes solucions en els seus sistemes de sandbox, realitzant les adaptacions necessàries per proporcionar estabilitat i eficiència. Utilitzant aquesta caixa de sorra, Blueliv també serà capaç de classificar i extreure informació de mostres conegudes. Aquest document explica com s'ha realitzat aquesta integració, com es poden analitzar les mostres de programari maliciós de Android i com utilitzar els resultats d'aquesta anàlisi per permetre que Sandbox classifiqui i extregui informació de les mostres analitzades.