The openness of the Android operating system and its immense penetration into the market makes it a hot target for malware writers. This work introduces Androtomist, a novel tool capable of symmetrically applying static and dynamic analysis of applications on the Android platform. Unlike similar hybrid solutions, Androtomist capitalizes on a wealth of features stemming from static analysis along with rigorous dynamic instrumentation to dissect applications and decide if they are benign or not. The focus is on anomaly detection using machine learning, but the system is able to autonomously conduct signature-based detection as well. Furthermore, Androtomist is publicly available as open source software and can be straightforwardly installed as a web application. The application itself is dual mode, that is, fully automated for the novice user and configurable for the expert one. As a proof-of-concept, we meticulously assess the detection accuracy of Androtomist against three different popular malware datasets and a handful of machine learning classifiers. We particularly concentrate on the classification performance achieved when the results of static analysis are combined with dynamic instrumentation vis-a-vis static analysis only. Our study also introduces an ensemble approach by averaging the output of all base classification models per malware instance separately, and provides a deeper insight on the most influencing features regarding the classification process. Depending on the employed dataset, for hybrid analysis, we report notably promising to excellent results in terms of the accuracy, F1, and AUC metrics.

中文翻译：

---

两个解剖学家胜过一个——双级 Android 恶意软件检测

Android 操作系统的开放性及其对市场的巨大渗透使其成为恶意软件编写者的热门目标。这项工作介绍了 Androtomist，这是一种新颖的工具，能够对称地对 Android 平台上的应用程序进行静态和动态分析。与类似的混合解决方案不同，Androtomist 利用源自​​静态分析的丰富功能以及严格的动态仪器来剖析应用程序并确定它们是否良性。重点是使用机器学习进行异常检测，但该系统也能够自主进行基于签名的检测。此外，Androtomist 可作为开源软件公开使用，并且可以直接作为 Web 应用程序安装。应用程序本身是双模式的，即 完全自动化的新手用户和配置的专家之一。作为概念验证，我们针对三种不同的流行恶意软件数据集和少数机器学习分类器仔细评估了 Androtomist 的检测准确性。我们特别关注将静态分析的结果与仅针对静态分析的动态仪器相结合时所实现的分类性能。我们的研究还通过分别对每个恶意软件实例的所有基本分类模型的输出进行平均来引入集成方法，并提供对有关分类过程影响最大的特征的更深入的见解。根据所使用的数据集，对于混合分析，我们报告了在准确性、F1 和 AUC 指标方面的出色结果。作为概念验证，我们针对三种不同的流行恶意软件数据集和少数机器学习分类器仔细评估了 Androtomist 的检测准确性。我们特别关注将静态分析的结果与仅针对静态分析的动态仪器相结合时所实现的分类性能。我们的研究还通过分别对每个恶意软件实例的所有基本分类模型的输出进行平均来引入集成方法，并提供对有关分类过程影响最大的特征的更深入的见解。根据所使用的数据集，对于混合分析，我们报告了在准确性、F1 和 AUC 指标方面的出色结果。作为概念验证，我们针对三种不同的流行恶意软件数据集和少数机器学习分类器仔细评估了 Androtomist 的检测准确性。我们特别关注将静态分析的结果与仅针对静态分析的动态仪器相结合时所实现的分类性能。我们的研究还通过分别对每个恶意软件实例的所有基本分类模型的输出进行平均来引入集成方法，并提供对有关分类过程影响最大的特征的更深入的见解。根据所使用的数据集，对于混合分析，我们报告了在准确性、F1 和 AUC 指标方面的出色结果。我们针对三种不同的流行恶意软件数据集和少数机器学习分类器精心评估了 Androtomist 的检测准确性。我们特别关注将静态分析的结果与仅针对静态分析的动态仪器相结合时所实现的分类性能。我们的研究还通过分别对每个恶意软件实例的所有基本分类模型的输出进行平均来引入集成方法，并提供对有关分类过程影响最大的特征的更深入的见解。根据所使用的数据集，对于混合分析，我们报告了在准确性、F1 和 AUC 指标方面的出色结果。我们针对三种不同的流行恶意软件数据集和少数机器学习分类器精心评估了 Androtomist 的检测准确性。我们特别关注将静态分析的结果与仅针对静态分析的动态仪器相结合时所实现的分类性能。我们的研究还通过分别对每个恶意软件实例的所有基本分类模型的输出进行平均来引入集成方法，并提供对有关分类过程影响最大的特征的更深入的见解。根据所使用的数据集，对于混合分析，我们报告了在准确性、F1 和 AUC 指标方面的出色结果。我们特别关注将静态分析的结果与仅针对静态分析的动态仪器相结合时所实现的分类性能。我们的研究还通过分别对每个恶意软件实例的所有基本分类模型的输出进行平均来引入集成方法，并提供对有关分类过程影响最大的特征的更深入的见解。根据所使用的数据集，对于混合分析，我们报告了在准确性、F1 和 AUC 指标方面的出色结果。我们特别关注将静态分析的结果与仅针对静态分析的动态仪器相结合时所实现的分类性能。我们的研究还通过分别对每个恶意软件实例的所有基本分类模型的输出进行平均来引入集成方法，并提供对有关分类过程影响最大的特征的更深入的见解。根据所使用的数据集，对于混合分析，我们报告了在准确性、F1 和 AUC 指标方面的出色结果。并提供对有关分类过程影响最大的特征的更深入的见解。根据所使用的数据集，对于混合分析，我们报告了在准确性、F1 和 AUC 指标方面的出色结果。并提供对有关分类过程影响最大的特征的更深入的见解。根据所使用的数据集，对于混合分析，我们报告了在准确性、F1 和 AUC 指标方面的出色结果。