Saya lagi baca paper menarik tentang AndroZoo. Paper ini ditulis oleh Kevin Allix, Tegawendé F. Bissyandé, Jacques Klein and Yves Le Traon dari Universitas Luxembourg. AndroZoo ini adalah proyek untuk mengumpulkan aplikasi Android. Aplikasi-aplikasi ini dikumpulkan dari berbagai sumber Google Play dll, kemudian setiap aplikasi tersebut dianalisa oleh 10 macam antivirus. Aplikasi-aplikasi ini nantinya dapat digunakan untuk riset.

Crawler

Saat ini telah terkumpul 3 juta aplikasi android dengan ukuran mencapai 20TB. Untuk mengumpulkan aplikasi-aplikasi ini para peneliti mengembangkan crawler. Crawler ini digunakan untuk mengunduh aplikasi android dari sumber berikut ini:

• Google Play,
• Anzhi (Cina)
• AppChina, (Cina)
• 1mobile,
• AnGeeks (USA)
• Slideme (USA)
• FreewareLovers (Jerman)
• ProAndroid (Rusia)
• HiApk
• FDroid
• Torrents
• Genome

Gnome adalah database malware android hasil Penelitian serupa yang dilakukan oleh Zhou dkk. Peneliti menemukan pada FDroid banyak aplikasi android yang telah dimodifikasi. Modifikasinya diantaranya adalah iklan, atau penghapusan tracking library. Crawler dibuat berbasis web dengan framework Scrapy. Untuk mencegah duplikasi aplikasi yang diunduh, Crawler juga memiliki fungsi untuk memeriksa unique identifier, dan menyimpan pada CouchDB. Sementara sebaran sumber aplikasinya adalah:

• 59% Aplikasi didapat dari Google Play.
• 19% dari Anzhi
• 18% AppChina
• … sumber lainnya

Tantangan yang dihadapi peneliti adalah mengembangkan crawler untuk Google Play. Karena Google Play memiliki berbagai fitur untuk membatasi jumlah aplikasi android yang diunduh. Untuk itu peneliti mengembangkan aplikasi khusus yang terdiri dari dua bagian, yaitu: sebuah central dispatcher dan agent untuk mengunduh. Dengan aplikasi ini peneliti dapat mengunduh 296.448 APK baru perminggunya. Selain itu dibangun juga Collection Manager, yang bertugas untuk mendata semua APK yang terlah disimpan. Collection Manager dibangun dengan bahasa Python dengan Framework Flask. Databasenya dibangun dengan PostgreSQL dan menyediakan fungsi  PL/pgSQL untuk query dll.

Hasil Uji Malware

Aplikasi yang telah dikumpulkan kemudian discan untuk menguji malware ke VirusTotal. Setiap Aplikasi diuji oleh 10 jenis antivirus yang berbeda. Hasilnya persentasi aplikasi yang terdeteksi oleh minimal 1 antivirus berdasarkan sumber aplikasinya adalah sebagai berikut:

• Google Play: 22%
• Anzhi : 75%
• AppChina: 50%
• Genome: 100%

Sementara persentasi aplikasi yang terdeteksi oleh minimal 10 antivirus berdasarkan sumber aplikasinya adalah sebagai berikut:

• Google Play: 1%
• Anzhi : 33%
• AppChina: 17%
• Genome: 100%

Sampel yang dikumpulkan dapat digunakan oleh para peneliti untuk riset. Database AndroZoo ini dapat dilihat pada alamat berikut ini: https://androzoo.uni.lu

Database aplikasi ini telah digunakan untuk penelitian Machine Learning-based Malware Detection. Peneliti mengharapkan bahwa database ini dapat digunakan untuk meneliti penggunaan API, coding patterns, deteksi repackaging, deteksi Library popularity analysis, Obfuscation techniques, Malware analysis, application similarity, dll

Semoga Bermanfaat!

Paper ini dapat diunduh pada link berikut ini:

https://androzoo.uni.lu/publications