下载文档原格式
流氓的应用原理引言近年来,随着移动应用的普及,一些流氓应用也逐渐浮出水面。
这些应用似乎一直在不断地破坏用户的体验,甚至涉及到用户的隐私安全问题。
本文将探讨流氓应用的原理,帮助读者更好地识别并避免这些应用的危害。
流氓应用的定义流氓应用是指那些以欺骗、侵犯用户权益为手段,通过某种方式悄悄安装在用户的设备中,并在用户不知情的情况下进行一系列操控、获取信息或者利用用户资产的恶意应用程序。
流氓应用的应用原理•欺骗手段:一些流氓应用利用各种手段欺骗用户下载、安装,例如通过虚假广告诱导用户点击、伪装成正规应用等。
•自动安装:流氓应用往往会利用漏洞或者操纵系统设置,实现自动安装,用户往往不需要主动点击安装按钮。
•隐蔽运行:为了避免被用户发现,流氓应用通常会采取隐蔽运行的策略,例如隐藏图标、伪装成系统进程等。
•权限滥用:流氓应用通过获取用户的各种权限,以获取用户的隐私信息、控制设备等目的。
例如获取通讯录权限,获取位置信息权限等。
•恶意广告:流氓应用通过显示恶意广告获取收益,例如在锁屏界面显示广告、弹窗广告等。
•网络劫持:流氓应用利用网络劫持技术,操控用户的网络流量,例如更改域名解析、篡改网页内容等。
•资产盗取:一些流氓应用会盗取用户的账户信息,通过这些信息进行非法操作,例如盗取银行卡、支付宝等账户。
如何避免流氓应用的危害?•谨慎安装应用:只从官方应用商店下载应用,避免从第三方渠道下载应用,尽量审查应用的评分、评论及下载量。
•仔细阅读权限:在安装应用时,细心阅读应用所需权限,并判断是否合理,避免将权限授予流氓应用。
•保持系统更新:及时更新手机系统,以修复系统漏洞,降低被流氓应用利用的风险。
•安装安全软件:安装一款可信的安全软件,及时扫描并移除流氓应用。
•注意应用行为:对于出现奇怪广告、突然耗电、流量消耗等异常行为的应用要及时卸载,以免受到流氓应用的危害。
流氓应用带来的风险•隐私泄露:流氓应用可以获取用户的个人隐私信息,包括通讯录、通话记录、短信等,这些信息可能会被用于非法目的。
不必要代码(Unwanted Code)是指没有作用却会带来危险的代码,一个最安全的定义是把所有不必要的代码都看作是恶意的,不必要代码比恶意代码具有更宽泛的含义,包括所有可能与某个组织安全策略相冲突的软件。
一、恶意代码的特征恶意代码(Malicious code)或者叫恶意软件Malware(Malicious Software)具有如下共同特征:(1)恶意的目的(2)本身是程序(3)通过执行发生作用有些恶作剧程序或者游戏程序不能看作是恶意代码。
对滤过性病毒的特征进行讨论的文献很多,尽管它们数量很多,但是机理比较近似,在防病毒程序的防护范围之内,更值得注意的是非滤过性病毒。
二、非滤过性病毒非过滤性病毒包括口令破解软件、嗅探器软件、键盘输入记录软件,远程特洛伊和谍件等等,组织内部或者外部的攻击者使用这些软件来获取口令、侦察网络通信、记录私人通信,暗地接收和传递远程主机的非授权命令,而有些私自安装的P2P软件实际上等于在企业的防火墙上开了一个口子。
非滤过性病毒有增长的趋势,对它的防御不是一个简单的任务。
与非过滤性病毒有关的概念包括:(1)谍件(2)远程访问特洛伊远程访问特洛伊RAT是安装在受害者机器上,实现非授权的网络访问的程序,比如NetBus和SubSeven可以伪装成其他程序,迷惑用户安装,比如伪装成可以执行的电子邮件,或者Web下载文件,或者游戏和贺卡等,也可以通过物理接近的方式直接安装。
(3)Zombies(4)破解和嗅探程序和网络漏洞扫描口令破解、网络嗅探和网络漏洞扫描是公司内部人员侦察同事,取得非法的资源访问权限的主要手段,这些攻击工具不是自动执行,而是被隐蔽地操纵。
(5)键盘记录程序某些用户组织使用PC活动监视软件监视使用者的操作情况,通过键盘记录,防止雇员不适当的使用资源,或者收集罪犯的证据。
这种软件也可以被攻击者用来进行信息刺探和网络攻击。
(6)P2P系统.7)逻辑炸弹和时间炸弹.逻辑炸弹和时间炸弹是以破坏数据和应用程序为目的的程序。
全球五大恶意软件家族曝光黑客在利用各种攻击媒介和策略攻击技术E安全3月16日讯安全公司Check Point表示, Hancitor下载器首次挤进最活跃恶意软件家族排行前5名。
Hancitor下载器可以在被感染设备上安装银行木马和勒索软件。
该软件的全球影响力在过去三个月里增加了2倍以上,排名荣升第至22位。
Hancitor也被称为Chanitor,通过网络钓鱼电子邮件伪装成语音邮箱、传真或发票,通常作为启用宏的Office文档散播。
最活跃的恶意软件家族总体而言,排名前三的恶意软件家族表明,黑客在利用各种攻击媒介和策略攻击技术。
这些威胁影响感染链的所有环节,包括通过僵尸网络散播的垃圾电子邮件,并包含通过下载器在受害者设备中植入勒索软件或木马。
在最易受攻击的国家排名中,英国排名第38(1月从排名51上升至38),美国第90,德国和法国并列第67。
二月,活跃度最高的前三大恶意软件为1、Kelihos:影响全球12%的组织机构。
2、HackerDefender:影响5%的企业。
3、Cryptowall:影响全球4.5%的企业。
Kelihos僵尸网络Kelihos是一个盗窃比特币和发送垃圾邮件的僵尸网络。
它是最“受欢迎”的恶意软件家族,目前影响了全球12%的组织机构。
自2010年活跃以来,Kelihos的角色逐渐从发送垃圾邮件演变成出租僵尸网络,只要有人愿意付钱,Kelihos便会发送垃圾邮件。
尽管2011年被挫败,但仅隔一年,这个顽强的僵尸网络又卷土重来,并将摊子越铺越大。
去年8月仅用了两天时间,该僵尸网络的规模就扩大了三倍以上。
如今,Kelihos的发展势头不减,感染了超过30万台设备,每台设备每天能发送超过20万封电子邮件,已成为全球最臭名昭著的垃圾邮件分销商之一。
最声名狼藉的恶意软件Kelihos——主要涉足比特币盗窃和垃圾邮件的僵尸网络。
Kelihos利用对等通信,允许每个节点充当命令与控制服务器(C2)。
网络安全威胁了解恶意软件的危害恶意软件是当今世界上最常见、最具破坏力的网络安全威胁之一。
恶意软件指的是那些通过欺骗、操纵或侵入计算机系统而产生的恶意行为。
这些软件以不同的形式存在,包括计算机病毒、木马、广告软件和间谍软件等,它们的目标是获取用户的敏感信息、破坏系统的稳定性或者滥用计算机资源。
本文将介绍恶意软件的危害并提供一些应对措施。
一、个人隐私泄露恶意软件可能会通过窃取敏感信息的方式严重侵犯用户的个人隐私。
一旦用户的个人信息被泄露,黑客可以滥用这些信息,例如进行身份盗窃、信用卡欺诈等。
恶意软件还可以通过监控键盘输入、窃取登录凭据等方式获取用户的账号和密码,使用户的各种在线账户处于风险之中。
二、经济损失恶意软件不仅威胁个人隐私,还会对个人和企业的经济利益造成严重损失。
例如,勒索软件可以加密用户的重要文件并要求支付赎金才能恢复文件,这给用户带来了巨大的经济压力和损失。
另外,一些恶意软件会通过广告弹窗等方式进行欺诈行为,使用户在不知情的情况下点击广告链接,从而导致经济损失。
三、系统瘫痪恶意软件还会导致系统的瘫痪和不稳定性。
例如,计算机病毒会通过传播自身破坏文件和系统,导致系统闪烁、死机等问题。
木马软件可以使黑客远程控制受感染的计算机,从而破坏系统安全和稳定性。
这些恶意软件给用户的日常工作和生活带来了极大的不便和困扰。
四、网络安全风险恶意软件的存在给网络安全带来了巨大风险。
大规模的恶意软件感染可以导致整个网络的瘫痪。
例如,僵尸网络是指黑客通过远程控制感染了大量计算机,形成一个庞大的网络来发起攻击。
这种攻击通常被用于进行分布式拒绝服务攻击(DDoS),导致网络服务不可用。
五、社会不稳定因素恶意软件作为一种网络犯罪行为,已经成为社会不稳定的一个重要因素。
恶意软件的发展使得黑客攻击变得更加难以追踪和打击。
政府、企业、个人等都面临着对恶意软件的威胁,这不仅对经济发展造成影响,还可能导致社会秩序的恶化。
在面对恶意软件威胁时,我们需要采取切实有效的防范措施:一、安装可靠的安全软件用户应该安装并定期更新能够检测和清除恶意软件的安全软件。
智能手机时代手机恶意软件特征分析作者:李亮于浩来源:《消费电子·理论版》2014年第01期摘要:针对手机恶意软件特征进行研究,首先介绍手机恶意软件的定义与类型,再总结手机恶意软件威胁的种类及影响,以此为手机恶意软件防治研究提供有效的参考。
关键词:智能手机;恶意软件;特征分析;潜在威胁中图分类号:TN929.53 文献标识码:A 文章编号:1674-7712 (2014) 02-0000-013G网络的普及推动了移动互联网的深度应用,更多的传统应用模式转移到移动互联网。
近年来,手机以其小巧、便捷备受青睐。
随着智能手机的快速发展,智能手机性能不断提高,加上网络宽带化发展,越来越多的用户倾向于手机上网。
一、手机恶意软件定义手机恶意软件是指在用户未明确提示、许可的情况下,在用户手机上安装或运行并且侵犯用户合法权益的软件。
一般说来,手机恶意软件具有七大行为特征,一些恶意软件符合多个特征。
(一)卸载困难。
手机恶意软件一旦在手机端强制安装,用户使用常见卸载工具难以对手机恶意软件进行根本删除。
(二)强制安装。
在用户未经许可或不知情的情况下,恶意软件强制安装至用户的手机上。
(三)广告推送。
手机感染一些手机恶意软件后,恶意软件开发者可以与用户手机后台远程通讯,不时向用户手机推送大量的垃圾广告短消息、彩信[1]。
(四)浏览器中毒。
手机浏览器收感染后,操作系统的API可能被恶意调用,以进一步达到窃取用户隐私信息的目的。
(五)窃取信息。
如果手机感染某些手机恶意软件后,系统中的个人隐私信息,如用户通讯录、用户短消息等内容会被这些软件窃取。
(六)侵犯权限。
手机恶意软件可能会在程序安装后,初始化运行的时段弹出提示框,让用户在无申辩力的情况下赋予手机恶意软件文件系统访问权限。
(七)恶意捆绑。
一些恶意软件为了获取更多收益,在未经用户授权的情况下,绑定其他软件或广告,二、手机恶意软件范围参考计算机恶意软件分类与目前已出现的手机恶意软件种类,本文将手机恶意软件分为五类:手机蠕虫、手机病毒、僵尸网络、手机木马与间谍软件[2]:(一)手机蠕虫是一段能够自我复制与传播的恶意程序。
2019年移动恶意软件总结作者:周兵峰来源:《计算机与网络》2020年第07期2019年,卡巴斯基移动端检测到3 503 952恶意安装包,69 777个新的手机银行木马,68 362个新的手机勒索木马。
2019年,有2个趋势特别突出:攻击者对用户个人数据的攻击变得更加频繁;在应用市场上检测到木马软件变得更加频繁。
过去一年,针对移动设备用户的个人数据攻击增加了50%:从2018年的40386个增加到2019年的67500个。
个人信息窃取恶意软件可分为两大类:Trackers和成熟的跟踪应用程序。
Trackers通常关注2点:受害者的坐标和短信。
许多类似的免费应用可以在谷歌官方商城中找到,谷歌Play2018年底改变政策后,大多数此类恶意软件被删除,然而仍可在开发者和第三方网站上找到。
如果应用程序安装在设备上,用户位置和相关数据就可以被第三方访问,这些第三方不一定只是跟踪用户的第三方,有可能因为服务安全性较低,导致数据允许任何人访问。
成熟的跟踪应用程序情况不同:Google Play上没有这样的应用程序,但它们得到了开发人员的积极维护。
此类软件属于间谍软件,可以在设备上采集几乎所有的数据:包括整个档案和个人照片,例如,在某个位置拍摄的照片、电话、文本、位置信息、屏幕点击(键盘记录)等。
许多应用程序利用root权限从社交网络和即时消息程序中提取消息历史记录,如果无法获得所需的访问权限,软件会利用窗口截图、记录屏幕点击等方式来获取信息。
商业间谍软件Monitor Minor就是一个例子。
商业间谍软件FinSpy,可以拦截secure messengers中的通信,如Signal,Threema等。
为了确保拦截,应用程序通过利用CVE-2016-5195(又名“Dirty Cow”)获取权限,若受害者使用过时操作系统内核,此漏洞可将权限提升到root。
传统的通话和文字形式使用的人越来越少,正逐渐转向即时通信应用。
恶意软件八大特点
1、强制安装,不经过用户许可安装
指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装软件的行为。
2、难以卸载,不提供通用卸载方式
指未提供通用的卸载方式,或在不受其他软件影响、人为破坏的情况下,卸载后仍然有活动程序的行为。
3、劫持你IE,迫使用户访问特定网站
指未经用户许可,修改用户浏览器或其他相关设置,迫使用户访问特定网站或导致用户无法正常上网的行为。
4、广告频弹,被迫弹出莫名其妙广告
指未明确提示用户或未经用户许可的情况下,利用安装在用户计算机或其他终端上的软件弹出广告的行为。
5、恶意收集,用户电脑上隐私被窃取
指未明确提示用户或未经用户许可,恶意收集用户信息的行为。
6、欺骗卸载,误导用户卸载正常软件
指未明确提示用户、未经用户许可,或误导、欺骗用户卸载非恶意软件的行为。
7、恶意捆绑,用自身捆绑方式迫使用户安装
指在软件中捆绑已被认定为恶意软件的行为。
8、其他
漠视权益,侵犯用户知情权、选择权的恶意行为。
恶意软件的危害和防范措施恶意软件,指的是一类被设计用来窃取用户信息、破坏系统正常运行或者进行其他恶意活动的软件程序。
它们往往具有隐蔽性和破坏性,给个人用户和企业带来了巨大的风险和损失。
为了保护我们的个人隐私和信息安全,我们需要了解恶意软件的危害并采取相应的防范措施。
一、恶意软件的危害恶意软件的类型繁多,包括病毒、木马、间谍软件、广告软件等等。
它们的危害主要体现在以下几个方面:1. 窃取个人信息:某些恶意软件专门用来获取用户的账号密码、银行卡号、身份证号等个人敏感信息,将这些信息用于非法活动,例如盗取用户资金或者冒用用户身份。
2. 系统瘫痪:一些恶意软件被设计用来破坏系统的正常运行,例如病毒会破坏文件或程序的完整性,导致系统崩溃或数据丢失,给用户带来不便或者经济损失。
3. 远程控制:木马软件是最常见的恶意软件之一,它们可以秘密地植入用户的电脑或移动设备中,并通过远程控制来获取对设备的完全控制权。
黑客可以远程操控用户设备,窃取用户信息、进行网络攻击或者进行其他非法活动。
4. 广告骚扰:广告软件也被认为是恶意软件的一种形式。
它们会在用户的电脑或者移动设备上弹出广告,甚至在用户不知情的情况下搜集个人信息,并通过定向广告进行推销。
二、恶意软件的防范措施为了保护个人隐私和信息安全,我们应该采取一些防范措施来防止恶意软件的侵入和影响。
以下是几种常见的防范措施:1. 安装可信的杀毒软件和防火墙:选择一个可靠的杀毒软件,并及时更新病毒库以保证针对最新的威胁进行防护。
防火墙也是必不可少的,它能够监控和控制数据包的流动,有效阻止未经许可的外部访问。
2. 小心下载和安装软件:在下载和安装软件时要谨慎选择,并尽量从官方或可信的应用商店下载软件。
避免从不明或者不可信的来源下载软件,以免植入恶意软件。
3. 保持操作系统和应用程序更新:及时安装操作系统和应用程序的安全补丁,以修复已知漏洞,减少恶意软件的入侵风险。
4. 谨慎点击链接和附件:不要随便点击来自不明来源的链接,尤其是电子邮件或社交媒体中的链接。
恶意软件的特征分析与防御措施恶意软件(Malware)是指那些具有恶意目的的软件程序,它们通过各种手段侵入用户的计算机系统,窃取用户的个人信息、破坏系统功能、进行网络攻击等。
与传统的病毒相比,恶意软件更加隐蔽、复杂,给用户的计算机安全带来了巨大的威胁。
本文将从恶意软件的特征分析和防御措施两个方面进行探讨。
一、恶意软件的特征分析1. 多样性:恶意软件的种类繁多,包括病毒、蠕虫、木马、间谍软件等。
每一种恶意软件都有其独特的特征和传播方式,使得恶意软件的防御变得更加困难。
2. 隐蔽性:恶意软件通常会采取各种手段来隐藏自己的存在,比如修改系统文件、伪装成合法程序等。
这使得用户很难察觉到恶意软件的存在,增加了恶意软件攻击的成功率。
3. 自我复制能力:一些恶意软件具有自我复制的能力,可以在不经用户同意的情况下自动传播。
这种自我复制的特性使得恶意软件的传播速度非常快,给网络安全带来了巨大的挑战。
4. 具有破坏性:恶意软件的主要目的之一就是对用户的计算机系统进行破坏。
它们可以删除文件、篡改系统设置、破坏硬件等,给用户的计算机带来严重的损失。
5. 数据窃取能力:恶意软件通常会窃取用户的个人信息,比如账号密码、信用卡信息等。
这些个人信息被窃取后可能被用于非法用途,给用户带来巨大的财产和隐私损失。
二、恶意软件的防御措施1. 安装杀毒软件:杀毒软件是防御恶意软件的第一道防线,它可以及时发现和清除计算机中的恶意软件。
用户应该选择知名的杀毒软件,并及时更新病毒库,以提高杀毒软件的检测和清除能力。
2. 注意安全下载:用户在下载软件时要注意选择可信的下载渠道,避免下载来路不明的软件。
此外,用户还应该仔细阅读软件的安装协议,避免在不知情的情况下安装恶意软件。
3. 及时更新系统和应用程序:恶意软件通常会利用系统和应用程序的漏洞进行攻击。
用户应该及时更新操作系统和应用程序的补丁,以修复已知的漏洞,提高系统的安全性。
4. 谨慎点击链接和附件:用户在浏览网页或收到邮件时,要谨慎点击链接和下载附件。
恶意应用的定义是什么原理简介恶意应用,也称为恶意软件,是指具有恶意目的或行为的计算机应用程序。
恶意应用的存在给用户的设备、隐私和数据带来了巨大的威胁。
了解恶意应用的定义和工作原理,有助于用户更好地保护自己的设备和数据安全。
恶意应用的定义恶意应用是一种有意传播和执行恶意代码的应用程序。
恶意代码指的是计算机程序的一部分或全部,旨在对计算机、移动设备或数据造成损害、侵犯隐私或实现非法目的。
恶意应用通常具有以下特点: 1. 欺骗性:恶意应用通常以合法应用的外观出现,使用类似的名称、图标和界面,以便欺骗用户进行安装。
2. 潜伏性:恶意应用常常采取隐蔽的方式运行,以避开用户的察觉并持续地执行恶意代码。
3. 有害行为:恶意应用可以执行多种有害行为,如窃取用户的个人信息、发送垃圾短信、拦截通信、篡改设备设置等。
4. 自我变异:为了逃避侦测和防护机制,恶意应用常常会自我变异,改变其文件名、路径或其他关键信息。
恶意应用的工作原理恶意应用的工作原理可以分为以下几个步骤:步骤一:传播和感染恶意应用主要通过以下方式传播和感染用户的设备: - 应用商店:恶意应用可能通过恶意广告或植入恶意代码的应用程序的形式出现在应用商店。
- 第三方来源:用户从非官方渠道获取应用程序时,可能会下载到包含恶意代码的应用。
- 短信和邮件附件:恶意应用还可能通过短信、邮件等方式传播,并诱使用户点击恶意链接或下载包含恶意应用的附件。
步骤二:潜伏和执行一旦用户安装了恶意应用,它会开始潜伏和执行恶意代码,通常采取以下方式:- 权限滥用:恶意应用会请求并获取用户不必要的权限,以便执行后续的有害操作,如读取短信、访问通讯录等。
- 静默安装:恶意应用可能会在用户不知情的情况下进行静默安装,并将自身设置为默认应用。
- 后台运行:恶意应用会在后台默默地运行,以便持续执行恶意代码,如窃取用户信息、发送垃圾短信等。
步骤三:有害行为恶意应用常常执行以下有害行为之一,以达到其恶意目的: - 窃取个人信息:恶意应用可能会读取用户的通讯录、短信、浏览器历史等个人敏感信息,并将其发送给攻击者。
浅析手机恶意软件的特性与演变
[摘要]随着科技的发展,智能手机的应用刺激了手机恶意软件的发展,鉴于其快速发展,有必要开发有效的解决方案。
但是目前防护的能力的提高大大受限于对恶意软件的理解上和及时的获得相关的样本。
本文针对安卓平台,对现有安卓恶意软件进行了系统的特性分析和演变的研究,并通过对有代表性的手机杀毒软件性能进行研究,结果表明需要尽快发展下一代反手机恶意软件的解决方案。
[关键词]恶意软件激活远程控制
中图分类号:tn929.53 文献标识码:a 文章编号:1009-914x (2013)10-0054-01
1、引言
根据cnn报道,智能手机在过去三年增长了3倍。
不幸的是智能手机恶意软件也在明显的增长。
安卓系统已经取代其它软件成为恶意软件的主要平台。
自2010年夏天基于安卓的恶意软件增长了400%。
对于恶意软件由于没有深入的理解,很难想象会有有效的解决方案可能会在实际中开发出来。
目前的困难是由于缺少全面的手机恶意软件数据集是研究受到了限制。
2011年夏天,安卓恶意软件开始快速增长, droidkungfu和anserverbot 是两种主要的恶意软件。
在所研究的样本中37.5%与droidkungfu及变种相关,14.8%与anserverbot相关。
本文着重对这两种恶意软件进行探究。
2、恶意软件的特性
对于恶意软件的特性我们从对现有的恶意软件从安装、激活到加载提出了系统的特性描述。
2.1 恶意安装
安装采用三种主要的基于社会工程技术,即:重新打包,更新攻击和驱使下载。
其中重新打包是一种最为寻常的技术,将恶意加载捆绑到流行的应用程序上,恶意软件作者锁定并下载流行的应用程序,分解、封装恶意加载,重新汇编并上传到官方或其它安卓市场。
研究中为了确认使用了重新打包技术,我们采取下载官方程序,人工比较差别,对于未提供原始应用程序,就通过分解恶意软件样本,人工比较是否恶意加载是主机应用程序主要功能的一部分。
86%的样本是采用重新打包的。
为了隐藏,通常使用类文件的名称,使恶意软件类似合法。
更新攻击,由于重新打包技术将完整的恶意加载到主机应用程序中,这会极易暴露它们的存在。
如果仅包含更新组件,在运行时下载恶意加载的方法,静态扫描不会捕捉到恶意加载。
这种方法比重新打包更加隐蔽。
驱使下载则主要是诱骗用户下载看似有趣的应用程序。
android木马(名为ggtracker)就是通过应用程序内置广告开始将用户引入恶意的网址,网址内容宣称可以分析用户手机电池的使用情况,下载程序可以更有效的控制用电量,如果用户点击安装,恶意程序就会开始下载并且在后台偷偷运行。
一旦木马ggtracker运行后,将订阅各种付费服务,并且他们通常会要求用户输入一个密码答复问题或打开一个网页。
木马这样做的目的主要是用来拦截确认数据以向使用者收取费用却没有征得他
们的同意。
这样在用户不清楚的情况为恶意软件将提供一个保额服务。
而另外两种恶意软件如spyeye 和zeus的情况是用户在破解的手机上执行网上银行时,用户将间接下载一个特别的应用程序,该程序宣称可以更好的保护网银,但是该程序是恶意的,它将采集并发送mtan和短信到远程服务器。
2.2 激活
我们通过检查系统范围吸引恶意软件的安卓事件。
在现存安卓恶意软件感兴趣的事件中,boot_completed是最为感兴趣的,对于恶意软件来说,这是激活的最佳的时机。
83.3%的样本监听该事件。
sms_received是第二个感兴趣的事件,21个系列对此感兴趣。
分析发现,某些恶意软件还对于多个事件感兴趣。
anserverbot调用来自10个不同的事件,而basebridge对于9个事件。
2.3 恶意加载
通过分析,恶意加载可大致分为四类,即:权限提升、远程控制、财务支出、个人信息盗取。
权限提升,36.7%内嵌至少一个超级用户权限,早期的恶意软件复制公用超级用户权限而不加修改,droidkungfu首先将超级用户权限加密存储为资源文件,运行时间打开超级用户权限执行。
这些改变反映了恶意软件发展演变本性和增加恶意软件防御的难度。
远程控制,发现93%的样本将感染的手机改变为僵尸远程控制。
一些恶意软件系列尝试秘密加密远程命令控制服务器的url并与它通信。
研究表明控制命令服务器将主机放在公共云中。
例如
plankton间谍软件动态获取并运行加载来之的主机是亚马逊的云计算机。
大多数最近的攻击者将公用博客服务器作为它们的命令控制服务器。
财务支出,一个盈利的方法就是保险费率服务通过发送短信。
为避免用户注意,有的软件如roguesppush会幕后自动恢复y。
个人信息收集,它主要包括收集短信,手机号及用户帐户。
研究表明恶意软件倾向于更多的权限提升。
3、恶意软件的演变
通过对一些有代表性的样本的分析,droidkungfu 目前有六个变种。
在六个变种中,四个具有加密的超级用户权限,一些加密文件位于资源目录中,看上去类似正常文件。
使用加密对于避免检查很有帮助。
全部变种使用加载与控制命令服务器进行通信并接收命令。
这种软件一直改变存储命令控制服务器的地址,一种是以明文方式放在java类文件中,另一种是以明文放在本地程序中。
droidkungfu自带嵌入的应用程序,用户未知时秘密安装。
2011年9月发现的anserverbot恶意软件,它是捆绑在合法应用程序上,在第三方安卓市场中主动发布。
它使用了多项复杂技术以避免检查和分析。
通过分析发现它应该是从basebridge恶意软件演变而来。
运行时它将在加载前检查签名或完整性,该机制能防止逆向工程。
另外它还模糊了内部类、方法和域。
它的动态加载机制来源于plankton。
它可以有效地防止当前的杀毒软件的检查。
它还包含三个手机杀毒软件加密的名字。
com.qihoo360.mobilesafe,
com.tencent.qqpimsecure 和com.lbe.security,如果三种软件被检查到,它将尝试停止,并通知用户,有应用程序意外停止。
anserverbot连接到公共博客网址获取(加密)控制命令服务器。
4、恶意软件检查
我们选择了四种有代表性的杀毒软件,avg antivirus free v2.9 (avg), lookout security &antivirus v6.9 (lookout), norton mobile security lite v2.5.0.379 (norton),和 trendmicro mobile security personal edition v2.0.0.1294 (trendmicro),将各软件更新到最新版本,默认设置,启用实时防护。
创建了一个脚本,迭代每个数据集的应用程序并安装在手机中,每个程序等待30秒钟,若检查到则弹出警告。
5、结论
通过大量的调研分析,大部分恶意软件采用的重新打包技术,部分恶意软件采用权限提升和幕后发送保险费率短信等。
因此我们应有效地在重新打包检查的方式上、相关api控制等方面进行研究,尽快研发下一代反手机恶意软的解决方案,打造一个真正、干净的手机使用环境。
