Detección de malware mediante aprendizaje y recuperación de información para Android
Visión de conjunto
MADLIRA es una herramienta para la detección de malware de Android. De a cuerdo a los especialistas en seguridad cibernética, la herramienta consiste en dos componentes: el componente TFIDF y el componente de aprendizaje SVM. En general, se necesita un conjunto de malwares y benwares para luego extraer los comportamientos maliciosos (componente TFIDF) o el modelo de entrenamiento (clasificador SVM). Luego, usa este conocimiento para detectar comportamientos maliciosos en la aplicación de Android.
Instalación
Descargue el archivo MADLIRA.7z y descomprímalo.
Datos instalados:
MADLIRA.jar es la aplicación principal.
noAPI.txt declara el prefijo de las API.
family.txt enumera malwares por familia.
Folder TrainData contiene la configuración de entrenamiento y el modelo de entrenamiento.
Folder Samples contiene datos de muestra.
Carpeta TempData contiene datos para el cálculo de kernel.
TFIDF
Command: MADLIRA TFIDF
Para este componente, el profesional de seguridad de datos nos comenta que hay dos funciones: la función de entrenamiento (extracción de comportamiento malicioso) y la función de prueba (detección de comportamiento malicioso)
Extracción de comportamiento malicioso
Reúna aplicaciones benignas y aplicaciones maliciosas y elíjelos en carpetas denominadas benginAPKFolder y maliciousApkFolder, respectivamente.
Prepare los datos de entrenamiento y empaquételos en dos archivos llamados benignPack y maliciousPack utilizando el comando:
MADLIRA TFIDF packAPK -PB benignApkFolder -B benignPack -PM maliciousApkFolder -M maliciousPack
Extraer comportamientos maliciosos de dos archivos empaquetados (benignPack y maliciousPack) utilizando el comando:
MADLIRA TFIDF train -B benignPack -M maliciousPack
Detección de comportamiento malicioso
Recoge nuevas aplicaciones y colócalas en una carpeta llamada checkApk.
Detecte comportamientos maliciosos de aplicaciones en la carpeta checkApk usando el comando:
MADLIRA TFIDF check -S checkApk
SMV
Command: MADLIRA SVM
De acuerdo al experto en seguridad de datos, para este componente también existen dos funciones: la función de entrenamiento y la función de prueba.
Fase de entrenamiento
Reúna aplicaciones benignas en una carpeta llamada benignApkFolder y aplicaciones maliciosas en una carpeta llamada maliciousApkFolder.
Prepare los datos de entrenamiento usando los comandos:
MADLIRA SVM packAPK -PB benignApkFolder -B benignPack -PM maliciousApkFolder -M maliciousPack
Calcule el modelo de entrenamiento con este comando:
MADLIRA SVM train -B benignPack -M maliciousPack
Detección de comportamiento malicioso
Recoge nuevas aplicaciones y colócalas en una carpeta llamada checkApk
Detecte comportamientos maliciosos de aplicaciones en la carpeta checkApk usando el comando:
MADLIRA SVM check -S checkApk
Paquetes:
Esta herramienta usa los siguientes paquetes:
apktool-2.2.1 (https://ibotpeaches.github.io/Apktool/)
ojalgo-41.0.0 (https://github.com/optimatika/ojAlgo)
libsvm (https://www.csie.ntu.edu.tw/~cjlin/libsvm/)
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
