Malware pada perangkat mobile saat banyak yang dibuat untuk android. Beberapa teknik deteksi pada perangkat android menggunakan teknik datamining dam algoritma machine learning. Berbagai features seperti system calls, API, information flows dan struktur control flow digunakan. Beberapa penelelitian terkait teknik deteksi malware pada perangkat mobile adalah:

• Isohara et.al  membangunsebuah sistem deteksi yang melakukan analisa behavior berbasis kernel. Sistem ini terdiri dari log collector dan sebuah aplikasi analisa log. Log collector mencatat semua system calls dan memfilter events pada aplikasi target, log analyzer membandingkan aktifitas tersebut dengan signature yang dijelaskan dengan regular expressions. 
• Burguera merancang framework untuk analisa aktifitas aplikasi smaprtphone. Ada 2 dataset yang digunakan dataset dari artificial malware dan real malware. Algoritma yang digunakan 2-means clustering. Analisa dilakukan terhadap API call, information flow tracking, dan network monitoring. Dari info tersebut didapat bhevior malware. System calls yang banyak ditemukan adalah open(), read(), access(), chmod(), dan chown() 
• Shabtai merancang andromaly, sebuah framework deteksi malware untuk android. Framework ini menggunakan sebuah sistem deteksi malware host-base yang melakukan monitoring berbagai feature dan event secara terus menerus dari perangkat mobile kemudian melakukan klasifikasi menggunakan teknik deteksi anomali machine learning
• Saracino et al. membangun  MADAM, sebuah teknik deteksi malware host- based pada Android yang melakukan analisa dan menghubungkan feature pada 4 level: kernel, application, user, dan package.
• Li et.al mengenalkan metoda SigPID (significant permission identification). Metoda ini tidak melakukan ekstraksi dan analisa terhadap permission pada android, namun menggunakan 3 level mining data permission. Sistem ini mengidentifikasi berbagai permission yang sering digunakan malware. SigPID kemudian menggunakan algoritma klasifikasi ML. Menurut Li dari hasil analisa 2000 malware, hanya ada 22 permission yang signifikan untuk membedakan malware dari sekitar 135 permission yang dianalis. Dengan SVM Li berhasil mendapatkan nilai presisi, recall, akurasi dan F-measure diatas 90%
• Feizollah et.al melakukan review terhadap pemilihan feature pada deteksi mobole malware. Pada penelitian ini dilakukan 100 pengujian dengan berbagai feature berbeda. Feature dibagi menjadi 4 kelompok:  statik, dynamik, hybrid features dan metadata aplikasi. Feature statik yang signifikan adalah Android permission, network address, strings, dan hardware components. Untuk feature dynamik  adalah system calls, network traffic, system components, dan user interaction; Sementara itu untuk hybrid features adalah permissions dan Java code, system calls, dan AndroidManifest.xml; Untuk Feature metadata features adalah category, description, permissions, contact email, jumlah screenshots, and version. 
• Narayanan et.al membuat sistem Teknik deteksi untuk android menggunakan graph kernel yang dinamakan Casandra. Teknik ini menangkap behavior app security serta konteks informasi. Beberapa keunggulan casandra adalah adaptif terhadap evolusi malware. Untuk meningkatkan performa model dapat digunakan graph kernel berbeda dan dependensi API seperti information flows dan permission dependencies.
• Narayanan et.al merancang sistem MKLDROID, sebuah framework menggunakan kernel graph untuk menangkap struktur dan konteks informasi dari apps dependency graphs untuk mengenali pola malicious. Metode ini kemudian menggunakan multiple kernel learning (MKL) untuk mencari kombinasi weighed yang baik. 

Secara umum teknik deteksi mobile based menggunakan feature static dan dynamik. Namun teknik deteksi mobile based ini masih banyak keterbatasan dan perlu riset lebih lanjut. Sampai disini dulu bahasan paper Aslan et.al. tentang mobile based malware detection, besok saya lanjutkan dengan pembahasan IoT Based malware detection.

Reference:

Aslan, Ö. A., & Samet, R. (2020). A comprehensive review on malware detection approaches. IEEE Access, 8, 6249-6271.