Paper Title: Towards Large-Scale Hunting for Android Negative-day Malware

Authors: Lun-Pin Yuan, Wenjun Hu, Ting Yu, Peng Lie, Senchun Zhu

Venue: Usenix 22^nd International Symposium on Research in Attacks Intrusions and ­Defenses

URL: https://www.usenix.org/system/files/raid2019-yuan.pdf

Problem: Dibutuhkan waktu minimum 6 bulan bagi para peneliti malware untuk membuat signature sebuah malware Zero Day. Bagaimana cara mendeteksi malware pada fase awal sebelum malware di deploy (Negative-Day)?

Contribution:

1. Mengajukan sistem Lshand (Large Scale Hunting for Android Negative-Days), yang dapat mendeteksi malware Android Neg-Day (malware yang masih dalam tahap development) melalui analisa submission pada online scanner
2. Merancang dan implementasi Lshand untuk mengatasi 3 tantangan berikut: hubungan malware yang minim pada binary, minimnya bukti pengembangan malware terkait identity dan scalability
3. Menguji Lshand dengan 2 dataset, 10 kasus neg-day malware yang disubmit ke Virustotal pada Januari 2016 dan 15 kasus neg-day pada bulan Mei 2018

Method/solution

1. Mencari kesamaan dari submisi malware
2. Memilih feature yang tidak diobfuscasi, seperti set of permissions, contacted hosts, numbers of components, dll
3. Lshand terdiri dari: sebuah data digestor, sebuah report clusterer, sebuah AMDT (Android Malware Development Trace) extractor dan sebuah Neg-Day alerter
4. Lshand melakukan clustering report malware (format text terstruktur), bila dibutuhkan melakukan klasifikasi sampel (binary) berdasarkan kemiripan dan maliciousness
5. Data digestor mencari submisi baru terkait android, contohnya memiliki label android, dari package information, informasi kompresi (apk, dex); 
6. Submisi baru dilihat dari „last-seen“ atau timestamp last-scan dari metadata
7. LShand Report clusterer mencari DT (development trace) setiap submisi. Dengan mencari hubungan antara sampel-malware
8. Feature yang diekstrak adalah submission timestamp, package information, compression information, behavioral information
9. AMDT extractor mengekstrak AMDT, dengan menguji deteksi ratio r
10. Neg-day memberi alert
11. Model clustering yang digunakan adalah incremental density-based clustering 
12. Weighted diperoleh dengan mengumpulkan 50 AMDT dan dilakukan kategori light, medium dan heavy. Kategori heavy ada 3 yaitu package number of activity, number of services dan number permission by category
13. Clustering threshold τ awalnya diset besar, kemudian dituning kebawah
14. Pengujian dilakukan pada dataset 1: submisi virustotal pada bulan Januari 2016, yang memiliki 1,3 juta submission android dari 3852 submitter.
15. Pengujian dilakukan pada dataset 2: submisi virustotal bulan mei 2018
16. Beberapa teknik Obfuscation yang dipertimbangkan dalam perancangan Lshand: package name, class name, method and variable name, inter-component interaction injection, dataflow-analysis evasive code injection, native code and bytecode injection, daummy and benign methods injection and dropper payload loadin
17. Beberapa teknik Evasion yang dipertimbangkan: incrementally adding large number of dummy activities, dummy services, irrelevant files (number of activities, service and files)
18. Beberapa teknik anonym yang digunakan penulis malware yang dipertimbangkan: menggunakan akun free yang berbeda, menggunakan proxy berbeda (atau tor) , submit irrelevant apps, tidak submite 100 sampels per hari,akun, proxy

Main result

1. Lshand berhasil 10 kasus neg-day pada dataset 1, yang terdiri dari 48 sampel malware hanya dalam waktu 1 jam. 48 sampel tersebut diberi label benign oleh 62 antivirus pada virusTotal pada bulan januari 2016, 
2. Sampel tersebut dianalisa secara manual dan discan dengan Palo Alto Networks Wildfire dan terdeteksi sebagai malware
3. Lshand menemukan 15 neg-day pada dataset 2. Hasil analisa manual  menemukan 80% sampel adalah malware atau greyware
4. Kasus Neg-day malware yang dideteksi diberi label, Dnotua, Dowgin, Ewind, Huer, Jiagu, Rootnik, SmsPay, SMSref, dan Triada, SLocker, Triada
5. 96 dari 253 sampel menggunakan teknik xor-encrypted
6. Ditemukan 2 kasus false-positive (54 app) yang dibuat oleh Appbyme
7. Memperoleh similarity score 96,77% dan skor maliciousness 31,25%
8. Menghasilkan performa lebih baik dibandingkan metode SSDC dengan akurasi 99,16%

Limitation:

1. Hanya dapat mendeteksi sampel yang disubmit dan revisi berulang
2. Tidak dapat medeteksi sampel yang dibuat dengan sebuah proxy app-creation platform
3. Tidak dapat mendeteksi malware yang menambahkan large number of dummy component atau files
4. Tidak melakukan pengujian ground-truth