Detección y categorización de malware de Android basada en gráficos a través de BERT Transformer

Con el aumento de los teléfonos inteligentes y tabletas con Android, el número de aplicaciones maliciosas dirigidas a estos dispositivos también ha aumentado significativamente. Como resultado, existe una necesidad de aprender métodos efectivos para detectar y categorizar el malware de Android, comprender su comportamiento y planificar contraataques. A pesar de la existencia de muchas familias de malware para Android, categorizar el malware para Android en clases específicas ha demostrado ser una tarea desalentadora.

La complejidad del malware de Android y las diversas técnicas empleadas por los atacantes para eludir las medidas de seguridad y comprometer los dispositivos de los usuarios hacen que sea difícil etiquetar y clasificar el malware con precisión porque adaptan continuamente sus métodos para explotar las vulnerabilidades en el ecosistema. de Android, aprovechando nuevos vectores de ataque. Estas técnicas implican ofuscación, cifrado, inyección de código, carga dinámica y polimorfismo. En este artículo, proponemos un enfoque novedoso para el análisis de malware de Android que aprovecha el clasificador BERT (Representaciones de codificador bidireccional de Transformers) para detectar y categorizar malware.

BERT es un modelo de lenguaje de última generación que ha mostrado buenos resultados en una amplia gama de tareas de procesamiento del lenguaje natural y podría usarse para detectar y categorizar malware en Android, ya que puede comprender el contexto de una secuencia de palabras y la capacidad. de manejar secuencias largas y capturar las relaciones entre ellas. Hemos empleado BERT para clasificar secuencias de llamadas API de Android, extraídos de gráficos de llamadas API, para identificar patrones de comportamiento que son indicativos de diferentes actividades maliciosas y, por lo tanto, diferentes categorías de malware. El gráfico de llamadas API representa las relaciones entre las llamadas API dentro de una aplicación de Android. Describe el conjunto de llamadas y funciones que ocurren entre los distintos componentes de la aplicación. El uso de API Call Graph es particularmente útil para el análisis de malware, ya que permite la identificación de patrones de comportamiento que son indicativos de diferentes actividades maliciosas. Al analizar la secuencia de llamadas API y sus relaciones, es posible descubrir la intención del malware y clasificarlo en diferentes tipos de amenazas. Hemos decidido llevar a cabo nuestro análisis en 3 categorías diferentes de malware que cubrieron más del 90% del conjunto de datos de evaluación comparativa: troyanos SMS, rootkits y spyware. Al aplicar BERT al campo del análisis de malware de Android, hemos desarrollado un método para detectar y categorizar malware, que logra una precisión del 98 % en la detección y un 94 % de precisión en la categorización.

En comparación con los enfoques basados ​​en firmas y en el aprendizaje automático, nuestro enfoque que utiliza BERT tiene la ventaja de no depender de reglas o características predefinidas. Los enfoques basados ​​en firmas se basan en firmas creadas manualmente para variantes de malware conocidas, que pueden no ser efectivas para detectar malware nuevo y desconocido. Por otro lado, los enfoques basados ​​en el aprendizaje automático generalmente requieren una ingeniería de funciones exhaustiva para extraer información significativa de los datos, lo que puede llevar mucho tiempo y no ser efectivo para capturar la complejidad del malware de Android. En comparación con los enfoques CNN (redes neuronales convolucionales) y GCN (redes convolucionales gráficas), nuestro enfoque que utiliza BERT tiene la ventaja de ser más adecuado para capturar la naturaleza secuencial de las llamadas API en malware de Android. Las CNN y GCN están diseñadas principalmente para procesar datos con una estructura similar a una cuadrícula, como imágenes y gráficos, respectivamente. Si bien estos enfoques se han aplicado a datos secuenciales, como datos de series temporales y tareas de procesamiento del lenguaje natural, es posible que no sean tan efectivos como BERT para capturar dependencias y relaciones a largo plazo.

Fuente: Saracino, A. y Simoni, M. (2023). Detección y categorización de malware de Android basada en gráficos a través de BERT Transformer. Actas de la 18.ª Conferencia Internacional sobre Disponibilidad, Fiabilidad y Seguridad , 1-7. https://doi.org/10.1145/3600160.3605057