Android 手机恶意软件发展情况调研
- 格式:pdf
- 大小:1.08 MB
- 文档页数:12
下载文档原格式
合集下载
基于机器学习的Android恶意软件识别技术研究
基于机器学习的Android恶意软件识别技术研究随着Android移动设备的普及,恶意软件攻击也越来越猖獗。
这些恶意软件通常被设计成看似无害的应用程序,但实际上它们会在用户不知情的情况下收集用户的个人信息,破坏设备,甚至盗取银行账户信息。
解决这个问题的最佳途径之一是使用机器学习(Machine Learning)技术对恶意软件进行分类和识别。
本文将研究基于机器学习的Android恶意软件识别技术,讨论如何利用机器学习来识别恶意软件,并探究算法的设计和优化。
一、恶意软件分类首先,需要对恶意软件进行分类。
对于恶意软件的分类,目前比较流行的方法是静态分析和动态分析。
静态分析是指对恶意软件的程序代码进行分析,以便理解其功能。
动态分析是指在真实环境下对应用程序的行为进行跟踪并分析。
虽然这两种方法各有优缺点,但机器学习技术更多地运用了动态分析。
二、特征提取分析恶意软件所提供的数据,通常是对应用程序的行为进行分析。
在此过程中,可以收集恶意软件的一些行为信息,例如使用的权限、访问的URL、敏感文件和注册表设置等。
这些信息被称为特征向量。
通过收集了大量的特征向量,可以进行有效的特征提取,为后续的机器学习算法提供输入数据。
三、机器学习算法接下来,需要选择和运用合适的机器学习算法来识别恶意软件。
机器学习技术通常需要使用大量数据,因此需要收集大量的真实样本数据来进行训练模型。
最常用的机器学习算法包括决策树,朴素贝叶斯,支持向量机和神经网络。
这些算法都可以用于识别恶意软件。
其中,支持向量机和神经网络的准确率往往比其它算法高。
四、算法的设计和优化为了提高算法的准确性,可以利用深度学习(Deep Learning)和半监督学习(Semi-Supervised Learning)等技术,并对数据集进行过抽样、划分和选择,对模型的参数进行优化和调整等。
在选择算法时,还应考虑到算法的实时性和可维护性。
例如,将算法嵌入到Android设备中,既可以隔离恶意软件,也可以及时识别和报告新的威胁。
浅析手机恶意软件的特性与演变
浅析手机恶意软件的特性与演变作者:赵艳辉邓颖来源:《中国科技博览》2013年第10期[摘要]随着科技的发展,智能手机的应用刺激了手机恶意软件的发展,鉴于其快速发展,有必要开发有效的解决方案。
但是目前防护的能力的提高大大受限于对恶意软件的理解上和及时的获得相关的样本。
本文针对安卓平台,对现有安卓恶意软件进行了系统的特性分析和演变的研究,并通过对有代表性的手机杀毒软件性能进行研究,结果表明需要尽快发展下一代反手机恶意软件的解决方案。
[关键词]恶意软件激活远程控制中图分类号:TN929.53 文献标识码:A 文章编号:1009-914X(2013)10-0054-011、引言根据CNN报道,智能手机在过去三年增长了3倍。
不幸的是智能手机恶意软件也在明显的增长。
安卓系统已经取代其它软件成为恶意软件的主要平台。
自2010年夏天基于安卓的恶意软件增长了400%。
对于恶意软件由于没有深入的理解,很难想象会有有效的解决方案可能会在实际中开发出来。
目前的困难是由于缺少全面的手机恶意软件数据集是研究受到了限制。
2011年夏天,安卓恶意软件开始快速增长, DroidKungFu和AnserverBot 是两种主要的恶意软件。
在所研究的样本中37.5%与DroidKungFu及变种相关,14.8%与AnserverBot相关。
本文着重对这两种恶意软件进行探究。
2、恶意软件的特性对于恶意软件的特性我们从对现有的恶意软件从安装、激活到加载提出了系统的特性描述。
2.1 恶意安装安装采用三种主要的基于社会工程技术,即:重新打包,更新攻击和驱使下载。
其中重新打包是一种最为寻常的技术,将恶意加载捆绑到流行的应用程序上,恶意软件作者锁定并下载流行的应用程序,分解、封装恶意加载,重新汇编并上传到官方或其它安卓市场。
研究中为了确认使用了重新打包技术,我们采取下载官方程序,人工比较差别,对于未提供原始应用程序,就通过分解恶意软件样本,人工比较是否恶意加载是主机应用程序主要功能的一部分。
“恶意软件”调查报告
“恶意软件”调查报告“恶意软件”调查报告一、调查背景:2008 年5 月17 日是世界电信与信息社会日,主题是“通信技术惠及残疾人”。
AA科技频道在围绕这一主题进行访谈和策划报道的基础上,加强了对目前信息社会上尚存的一些不和谐因素的调查和报道。
从2008 年5 月7 日开始,至2008 年5 月19 日止,AA 科技依靠强大的客户端优势,调动网友积极参与互动调查,对目前尚存的不和谐因素进行了投票调查,一共涉及“垃圾短信”、“响一声电话”、“网络诈骗”、“垃圾邮件”、“流氓软件”、“网络病毒”、“网络隐私”七大话题,累计投票总数达***** 票。
其中,“响一声电话”调查参与度最高,达到***** 票。
二、调查时间:2008 年5 月7 日至2008 年5 月19 日。
调查方式:网络有奖调查,凡参与调查者,均有可能获得AAQ 币或公仔。
四、调查基本结论选项最高投票数*****,选项最低投票数*****。
五、调查基本结论根据对***** 名网友的调查数据和综合调查,AA 科技得出以下结论:1、恶意软件严重伤害了中国网民的感情,94.94%网友表示对其“十分厌恶”,95.26%网民遭遇过恶意软件;2、恶意软件短期内不会消失,甚至有69.92%网友认为,恶意软件永远不会消失;3、恶意软件存在和一度泛滥的原因,主要是由于灰色商业利益的诱惑,而非网民防范意识差;4、网民认为治理恶意软件需要多管齐下;5、通过恶意软件投广告是短视行为六、调查核心报告1、恶意软件释义:2006 年10 月17 日,中国互联网协会联合会员单位召开了“反恶意软件研讨会”,将“恶意软件”的称谓正式改为“恶意软件”。
2006 年11 月22 日,中国互联网协会最终确定“恶意软件”定义并向社会公布:恶意软件是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵害用户合法权益的软件,但不包含我国法律法规规定的计算机病毒。
移动应用商店中的恶意应用检测技术研究
移动应用商店中的恶意应用检测技术研究随着智能手机的普及和移动应用的爆发式增长,移动应用商店也越来越成为了用户获取应用的主要途径。
然而,随之而来的是大量存在安全隐患的应用,包括恶意软件、间谍软件、广告软件、诱导软件等。
这些应用可能会窃取用户的个人信息、利用用户的设备进行 DDoS 攻击、甚至在不知情的情况下让用户参与到挖矿等非法活动中。
因此,移动应用商店的恶意应用检测技术的研究变得十分重要。
一、移动应用商店中的恶意应用分类在研究移动应用商店中的恶意应用检测技术之前,我们需要对移动应用商店中的恶意应用做一个分类。
根据恶意应用的特点和功能,我们可以将它们分为以下几类:1、间谍软件间谍软件是一种可以悄悄监控用户行为的软件,可以记录用户的通话记录、短信、位置、网络活动等信息并发送给黑客或第三方。
这些信息一旦泄露,会对用户的个人隐私造成极大的威胁。
2、广告软件广告软件会在用户使用应用时不停地弹出广告,极大地影响用户的体验。
在某些情况下,这些广告还可能包含恶意代码,导致用户的设备被感染。
3、诱导软件诱导软件是一种以欺骗手段向用户收取高额费用的应用。
例如,某些健康应用会在用户购买会员之后才提供实际的功能,而购买会员的费用很高。
4、挖矿软件挖矿软件是一种利用用户设备的计算能力进行加密货币挖矿的软件。
这些软件会占用大量的设备资源,导致用户设备的性能下降,甚至发生过热等问题。
5、木马病毒木马病毒是一种潜藏在应用中的恶意代码,可以获取用户的敏感信息、监控用户的行为、控制用户设备等。
这些恶意代码往往极难被察觉,给用户带来极大的安全隐患。
二、移动应用商店中的恶意应用检测技术为了保护用户的设备和个人信息,现在的大多数移动应用商店都会对上传的应用进行安全检测。
常见的恶意应用检测技术包括以下几种:1、静态分析静态分析是通过对应用代码进行逐行分析,判断应用中是否存在恶意代码的一种技术。
静态分析可以在应用上传和发布之前进行,但是它的研究和应用需要很高的专业知识和技术能力。
手机软件调研报告
手机软件调研报告手机软件调研报告一、引言随着智能手机的普及和移动互联网的发展,手机软件已经成为人们日常生活中必不可少的一部分。
手机软件的功能和丰富多样,覆盖了生活、教育、娱乐、旅游等各个领域。
为了了解当前手机软件的发展现状以及用户使用手机软件的情况,我们进行了一项手机软件调研。
二、调研目的1.了解当前市场上手机软件的种类和流行程度;2.分析用户使用手机软件的主要目的和购买意愿;3.了解用户对手机软件的用户体验和满意度。
三、调研方法1.问卷调查:我们设计了一份关于手机软件的问卷,通过线上和线下两种方式进行调查,总共收集了500份有效问卷;2.深度访谈:我们还进行了一些深度访谈,与用户面对面交流,了解他们对手机软件的真实体验和评价。
四、调研结果与分析1.手机软件的种类和流行程度根据调研结果显示,目前市场上的手机软件种类众多,主要包括社交、游戏、购物、出行、学习、娱乐等。
其中,社交类软件的使用较为普遍,占比达到65%,其次是游戏类软件和购物类软件。
这说明人们更倾向于与他人保持联系、轻松娱乐和进行在线购物等方面。
2.用户使用手机软件的主要目的通过问卷调查和深度访谈我们发现,用户使用手机软件的主要目的有以下几点:(1)社交需求:大部分用户使用手机软件是为了与家人、朋友保持联系,分享生活动态和交流心情。
(2)信息获取:用户使用手机软件可以迅速获取各类信息,如新闻、天气、股票、健康等。
(3)轻松娱乐:手机软件提供了各种各样的游戏、音乐、短视频等娱乐内容,可以在闲暇时间里缓解压力。
(4)便捷购物:用户可以通过手机软件实现在线购物,随时随地浏览商品、下单购买,并享受多种促销活动。
3.用户对手机软件的用户体验和满意度据调查显示,用户对手机软件的用户体验和满意度整体较好。
其中,用户对于界面的友好程度、功能的丰富程度和反应速度比较满意。
但也有部分用户表示在使用过程中出现了卡顿、崩溃等问题,希望软件开发公司能够更加重视优化和性能提升方面的问题。
基于Android平台的手机安全性研究
基于Android平台的手机安全性研究在现代社会中,手机已经成为人们生活的必需品,几乎每个人都拥有自己的手机。
随着科技的发展,人们对手机的安全性越来越重视。
为了满足用户的需求,不断推出安全性更高的手机系统。
而Android系统由于其开放性和便利性,成为了众多消费者的首选。
但是,面对日益增长的黑客攻击和恶意软件威胁,如何保证Android手机安全性成为一项非常重要的研究领域。
一、Android平台下的手机安全状况分析Android系统是一个开放性的系统,其拥有更灵活的平台,这也导致了在安全领域更加容易受到攻击和侵犯。
在分析和评估Android系统的安全状况时,可以从以下几个方面进行考虑:1.操作系统漏洞在操作系统开发过程中,难免会出现一些漏洞,如果不及时处理就会引发安全问题。
为了防范攻击者利用漏洞挑战Android系统的安全性,Google提供了安全更新,及时修复系统漏洞,保持系统的安全性。
2.应用程序权限众所周知,大多数应用程序需要获得一定的权限才能正常运行。
比如,拨打电话需要获得电话权限,使用相机需要获得相机权限。
但是,有些应用程序却会请求非必要权限,从而存在一定的安全风险。
因此,为了避免应用程序滥用权限,Google 在Android系统中加入了应用程序权限管理功能,可以对权限进行精细管理和控制。
3.程序运行环境一些应用程序需要访问系统底层资源,如摄像头、声卡等,这些资源可能会被恶意程序进行利用,从而引发安全隐患。
而Android系统则采用了沙箱机制,将该程序的资源隔离到特定的运行环境中,不会对系统的正常运行造成影响。
4.网络安全随着人们对网络的依赖程度不断增加,黑客攻击也与日俱增。
在Android系统中,黑客攻击主要会通过网络渠道进行。
比如,有些应用会在连接网络时从网络上下载一些恶意代码,从而对手机造成威胁。
因此,保持网络的安全性是极为重要的。
二、Android平台下的手机安全性解决方案针对上述安全隐患,提高Android平台的手机安全性,需要制定一个整体解决方案,应该从以下三个方面考虑。
手机应用程序安全性分析研究
手机应用程序安全性分析研究随着科技的发展和社会的进步,手机已成为我们日常生活中不可或缺的一部分,而手机应用程序更是成为了我们使用手机的主要方式。
但是,随着应用程序的普及,安全问题也变得越来越突出。
因此,本文将对手机应用程序的安全性进行分析研究。
一、手机应用程序的安全威胁1. 病毒及恶意软件的攻击病毒及恶意软件是目前手机应用程序最为常见的安全威胁之一。
这些恶意软件通常通过使用者不慎下载或安装软件的方式,进入手机并在不知情的情况下窃取个人信息、拨打电话或发送短信等。
2. 网络钓鱼的攻击网络钓鱼攻击是指骗子利用伪造信息的方式,诱骗使用者输入个人信息或下载恶意软件的行为。
这些骗子通常会通过伪造熟悉的网站界面或社交网络界面,来获得使用者的信任并进行诈骗。
3. 代码漏洞的攻击代码漏洞是指应用程序开发者在开发过程中没能考虑到所有可能的异常情况,导致应用程序中出现漏洞或错误,从而造成攻击者可以通过这些漏洞入侵手机系统或者是窃取用户敏感信息等。
二、手机应用程序的安全保护措施1. 应用程序检测手机用户可通过此方法来检测已安装的应用程序是否有风险,如果检测到有风险,则可以进行卸载或清除相关数据。
此种方法要求用户具有一定的安全意识和能力,还需要人工的操作和维护。
2. 应用程序源认证应用程序源认证是指使用者在下载应用程序前,在官方渠道查证该应用程序的合法性。
此种方法可以保证应用程序的安全性,避免用户意外地下载到含有威胁的应用程序。
3. 安全软件的安装安全软件通常可以提供恶意软件和病毒的检测及防护,还可提供数据加密和信息保护等基本安全服务。
使用这些软件可以让手机的安全性得到保障,避免一些常见的安全威胁。
4. 设备管理策略设备管理策略可帮助使用者监控和管理设备的访问,控制数据使用的范围和权限。
通过设置设备管理策略,可以加强系统的防御能力,保护数据安全。
5. 加密方法加密方法是指利用密码学技术来保护信息安全。
这种方法可用在互联网、移动设备等环境中,可以加强数据传输的安全性,保护用户隐私。
移动互联网Android系统终端恶意程序浅析
1引言随着第四代移动通信技术(4G)的快速发展建设,移动互联网智能终端的普及率逐年增高,移动互联网用户数量和智能应用程序市场规模达到了历史空前的水平。
据中国互联网络信息中心(CNNIC)在第39次《中国互联网络发展状况统计报告》中指出:截至2016年12月,我国网民规模已达到7.31亿,其中手机网民规模达6.95亿,占比95.1%,与2015年相比,增长了5个百分点。
据专家预测,我国手机网民规模及其占比在2017年有望继续增长。
在移动互联网用户和移动智能终端数量呈现爆发式增长的同时,移动互联网终端安全正面临着严峻的挑战。
据调查显示,由手机恶意程序造成的“用户隐私信息窃取、手机恶意扣费、终端远程控制、诱骗欺诈、手机流氓行为”等安全事件,对人们的信息安全、财产安全已经造成了严重的威胁和不良的影响。
在这些安全事件中,市场占有率超过8成的Android系统终端,受到恶意程序的影响最为严重。
因此,对移动互联网Android系统终端恶意程序的研究已成为各界广泛关注的焦点。
本文在概括了Android系统终端恶意程序基础知识及分析了恶意程序检测方法的基础上,对互联网恶意程序的防范提出了具体解决措施。
2Android系统终端恶意程序概述2.1恶意程序的类型及伪装形式根据工业和信息化部在《移动互联网恶意程序描述格式》中的相关描述,对移动互联网恶意程序定义为:“在用户不知情或未授权的情况下,在移动终端系统中安装、运行以达到不正当目的的,或具有违反国家相关法律法规行为的可执行文件、程序模块或程序片段”。
根据属性的不同,可将恶意程序分为恶意扣费(Payment)、信息窃取(Privacy)、远程控制(Remote)、恶意传播(Spread)、资费消耗(Expense)、系统破坏(System)、诱骗欺诈(Fraud)、流氓行为(Rogue)等。
根据移动互联网恶意程序安装到用户终端方式的不同,可将恶意程序的伪装形式分为3种社会工程学技术,即下载攻击(Drive-by DownloadAttack)、重包装攻击(RepackagingAttack)和更新攻击(UpdateAttack)。
手机APP安全问题的挖掘与解决方法研究
手机APP安全问题的挖掘与解决方法研究随着智能手机的普及以及移动互联网的飞速发展,手机APP已经成为人们生活中不可或缺的一部分。
然而,如今各种各样的APP涌现出来,也引起了人们对手机APP的安全问题的关注。
对于有些APP,许多用户并没有意识到它们对信息的处理可能存在风险,一些恶意APP甚至会窃取用户的个人隐私。
因此,如何挖掘和解决手机APP的安全问题已成为了一项热门话题。
一、手机APP安全问题的种类1.恶意软件恶意软件是一种会利用手机APP安全薄弱点的应用程序。
这种软件会以远程攻击、网络钓鱼和传统的计算机病毒等形式存在,从而危害用户的手机安全。
2.间谍软件间谍软件也是一种在手机APP中存在的安全问题。
这种软件会在用户不知情的情况下,收集并传送其手机上的信息、照片、视频等敏感数据信息给黑客,导致用户的信息安全受到威胁。
3.数据泄露要是用户在使用APP的时候不注意,可能会把一些个人信息泄露给APP开发商或第三方公司。
一旦泄露,这些数据极有可能被用于欺骗、诈骗等,对用户的信息安全带来威胁。
二、手机APP安全问题的解决方法1.选择常用APP不要轻易下载未经验证的APP,尽量使用有一定知名度的APP,在APP下载之前一定要进行资料的核实和比对,避免安装非法APP。
2.了解APP的隐私政策在使用APP之前一定要看一看APP是否有完整和明确的隐私政策,如果有的话,最好详细阅读一下。
如果隐私政策难以理解或者不够精确,那么这个APP就不值得信任。
3.手机定期清理和管理为了保障手机APP的安全,需要定期清理手机上的无用APP,及时卸载存在问题的APP,同时也要关闭一些没有必要的APP权限,这可以有效降低APP对手机数据的危害。
4.使用手机安全软件现在市面上有很多针对手机APP的安全软件,这些软件可以及时预警用户并协助用户解决安全问题。
安装一款好的手机安全软件可以大幅度降低用户被APP攻击的风险。
5.APP工作机制的改进应用开发商在设计APP时,应该尽可能地优化安全机制。
手机软件调研报告
手机软件调研报告
手机软件调研报告
一、调查目的
本次调研旨在了解手机软件市场现状,分析用户需求和使用习惯,为手机软件开发和推广提供参考。
二、调查方法
采用问卷调查的方式进行调研,共计发放200份问卷,回收有效问卷190份。
三、调查结果分析
1.手机软件使用频率
根据统计数据显示,超过60%的用户每天都会使用手机软件,其中大部分用户每天使用手机软件的时间超过2小时。
2.常用手机软件类型
用户最常使用的手机软件类型包括社交类、娱乐类和新闻类,占比分别为35%、30%和25%。
3.用户选择手机软件的主要因素
用户选择手机软件的主要因素包括功能性、界面友好度和推荐度,占比分别为40%、25%和20%。
4.用户购买手机软件的意愿
当被问及是否愿意购买收费手机软件时,70%的用户表示不愿
意购买,主要原因是有太多的免费替代品可供选择。
5.用户对手机软件的改进意见
用户对手机软件的改进意见主要包括:功能更加实用、界面设计更加美观、广告数量减少。
四、结论与建议
1.手机软件市场仍然具有较大的发展空间,用户对社交类、娱乐类和新闻类的手机软件需求量较大。
2.在开发手机软件时,需要注重功能性的设计,尽量满足用户的需求。
3.界面设计应更加美观,提高用户的使用体验。
4.如果要推出收费手机软件,需要提供独特的功能,以吸引用户支付。
5.尽量减少广告数量和干扰用户的体验。
五、参考资料
1.《手机软件发展现状与趋势分析》
2.《手机软件用户调研分析报告》
3.《移动互联网时代下的手机软件开发策略研究》。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Android手机恶意软件发展情况调研ShuanAbstract:The number of devices running with the Android operating system has been on the rise. By the end of 2015, it will account for nearly 80 percent of the world's smart-phone market. Along with its growth, the importance of security has also risen. Be-cause Android is open source, it’s easier for people to write malicious apps. W e want to find out the history and the characterizations of Android Smart Phone Virus and the working theory of the Anti-Virus Apps. Moreover, based on the methods of machine learning, some personal thoughts were illustrated in this paper. According to security experts’ guidance, a little common sense would help you to protect yourself and your virtual asset.Key words : Android Virus Malware Anti-Virus Machine Learning摘要:近些年,运行在安卓平台上的设备数量与日俱增。
截止到2015年末,安卓系统在世界智能手机市场的占有率已经接近80%。
伴随着占有率的快速上涨,其安全性也引发了高度关注。
正因为安卓系统的开源性,这更加方便了不法分子编写安卓平台的恶意软件。
我们试图通过回溯安卓手机病毒的演化历史,分析病毒具有的特征,着重理清杀毒软件工作机理,并给出关于机器学习在病毒查杀领域自己的想法。
最终根据一些安全专家的建议,给出一些保护个人虚拟资产安全的方法。
关键词:安卓系统病毒恶意软件反病毒机器学习引言:在过去的三年间,手机数量呈现出爆发式增长的趋势,从12亿部一跃达到19.1亿部。
然而,恶意软件与智能终端的繁荣相伴而生[1]。
全世界最为流行的Google公司旗下Android开源平台,也已经成为了逾半数恶意软件的基础平台,且该比例还在持续性高速增长。
仅2010年至2012年两年时间,Android平台恶意软件数量增长了4倍[2]。
鉴于当前严峻的形式,我们迫切的需要一些高效的鉴别和防御手段。
然而,在缺乏对手机病毒的深刻理解的情况下,这些都无从谈起。
因此,通过此文,我们希望能逐步了解And-roid平台各类病毒的发展历程,和其具有的特征,并了解对于病毒的有效查杀手段。
手机恶意软件历史手机恶意软件,最早是由巴西的软件工程师Marcos Velasco提出的[3],为了使大众意识到这种威胁的存在。
第一个真正为人所知的手机恶意软件"Timofonica",出现于西班牙,在2000年7月被法国与俄罗斯的反病毒实验室正式定性为恶意软件。
"Timof-onica"通过向GSM制式的手机发送SMS信息"Information for you:Tele-fónica is fooling you.",利用了西班牙的电信运营商MoviStar的Internet SMS接口[4]。
2004年6月,一个名为0jam的公司启动了植入于其公司旧版本的手机游戏中的侵犯个人隐私的特洛伊木马病毒。
这个病毒在用户不知情的情况下向公司发送SMS信息,尽管此病毒很快在该公司高版本的游戏中被移除,但是老旧的版本仍旧可以在一些开源社区被下载到。
同年7月,一位计算机爱好者披露了一种验证性质的手机病毒Cab-ir,通过蓝牙来进行复制和传播,并自动感染运行Symbian系统的手机[5][6]。
至2005年3月,已有报道指出,一种名为Commwarrior-A的计算机蠕虫病毒已经感染了60余部Symbian 系统的手机[7],该种病毒通过手机的多媒体信息服务功能完成自身的复制,向用户通信录中的其他手机发送自身的副本。
尽管该蠕虫病毒本身无害,但是,这标志着手机病毒元年的来临。
至2010年8月,卡巴斯基实验室报告第一例针对Android系统的特洛伊SMS恶意软件[8],通过在用户不知情的情况下向收费号码发送SMS 信息,产生巨额的资讯费用。
目前,大量的安全公司Trend Mi-cro, A VG, avast!, Kaspersky Lab, PSa-fe,360等等都在致力于保护处于威胁中的移动设备,而系统开发者也在通过权限管理等方式来遏制恶意软件的传播。
然而,最近的研究表明,由于恶意软件的大量变种和快速发展,杀毒软件往往应接不暇[9]。
手机恶意软件分类最为常见的4类手机恶意软件[10]:蠕虫:手机蠕虫病毒的主要意图在于不断的自我复制以及向外传播。
有些蠕虫病毒自身也携带恶意代码,通过SMS 或者MMS方式进行传播,且通常不需要同用户进行交互。
特洛伊木马:与蠕虫病毒不同,特洛伊木马通常通过与用户的交互来激活。
此类病毒看起来似乎是无害的可执行文件或应用,一旦被激活,将会终止其他进程甚至锁定手机本身,造成部分操作失效或者一段时间无响应的同时,将用户数据与远端服务器同步。
后门程序:此类程序通过在用户不知情的情况下收集使用和传播用户的敏感个人信息来对移动设备造成威胁,一般又被细分为四类:系统监视器、木马、广告植入软件、Cookie追踪软件。
幽灵推:这是一种感染Android设备,并自动获取Root权限的病毒。
下载恶意软件、转化为系统进程,甚至恢复出厂设置也无法将其根除,只有将固件刷新才可以避免被感染。
此类恶意软件耗尽所有的系统资源并吸干用户的手机电量,并且大量推送或占满屏幕或不断弹出提示窗的广告,在连接互联网的条件下,将会下载更多恶意软件,同时窃取用户的个人信息。
恶意软件特征根据恶意软件的不同类型,可以提取在安装,激活过程中的恶意行为和数据:1)安装过程恶意软件的安装通常可以伪装为三种方式,或者三种方式交织起来来诱使用户下载:A.重打包重打包时恶意软件制作者最常使用的,向流行软件或相似软件中植入恶意代码的方式。
恶意软件的作者将会选取一款目标软件,将其逆向解包,植入恶意代码,然后再重新打包。
将其提交到官方或者非官方的Android Market,根据调查结果显示[1],攻击者通常选择:热门游戏,强力系统工具,色情相关应用作为植入的选择。
同时,为了掩人耳目,恶意软件作者通常会选择看似系统文件的类名来承载恶意代码,比如com.sec.andro-id.provider.drm,com.google.update等伪装成Google公司更新内容类名。
甚至,还有一些恶意软件使用广为人知的私钥(Android Open Source Proje-ct AOSP)来为自己的应用打包,Andr-oid安全机制允许使用手机固件签名的应用获取一些第三方应用无法获得权限[37]。
然而一些固件镜像就是由默认的AOSP私钥进行的签名,这将使用户在不知情的情况下,被执行高权限操作。
B.更新攻击不同于第一种攻击方式,恶意软件将自身全部打包到宿主程序中,第二种方式仅仅只将更新组件进行替换或者插入,在程序运行时下载恶意代码执行,静态的恶意代码检测将无法发现其可疑行为。
攻击者往往选择具有Root权限的手机,在用户不知情的情况下下载更新进行安装,或者提示用户该应用需要更新,但是,下载的内容为恶意代码自身而非源程序更新补丁。
在更新完成后,往往提示新的权限请求,用户出于对原软件的使用习惯将会同意这些请求[18],恶意软件将会顺利的安装。
C.隐藏下载一些第三方应用本身并没有利用浏览器的漏洞进行欺诈,只是诱使用户点击链接下载一些看似无害的工具类应用。
他们往往将用户的请求重定向到一些恶意网站,声称用户的系统需要修补安全漏洞或者额电量消耗太快,需要安装相应软件,骗取用户的点击事件,最终安装恶意软件[19]。
2)激活过程恶意软件可以依赖于系统事件的通知表1. 系统事件表在所有可使用的系统事件中,BO-OT_COMPLETED(图1)是恶意软件最为感兴趣的一个(表1所示)。
由于这个事件是在系统刚刚完成boot后触发的,作为恶意软件开启后台进程的最佳时机,这个事件的选择并不令人意外。
紧随其后的是SMS相关事件,一些恶意软件通过监听SMS_RECEIV-ED事件,有选择性的拦截来自特定发件人的短消息,比如10010,10086 [20],这些恶意软件通常包含恶意扣费问题*。
图1. 系统事件监听3)恶意行为恶意软件可以依赖其恶意行为进行划分,通常被划分为4类:权限提升,远程控制,恶意吸费,隐私窃取。
A.权限提升Android系统不仅仅建立在Linux内核基础之上,还包含着Android框架下的大量开源库,存在着大量潜在权限提升漏洞点。
通常情况下,恶意软件存在着两个以上的Root权限权限提升利用脚本,来提升在不同平台的Root成功率。
随着恶意软件技术的发展,不再直接将Root利用代码嵌入其中[21],而是首先对Root利用代码加密,以Resource文件或者Asset文件形式进行存储,在运行时将Root脚本文件解密脱壳并执行。
在此类病毒2011年出现时,当年没有杀毒软件宣称可以有效对其进行查杀。
除此之外,一些恶意软件甚至对Root利用代码进*:TheFinalProject第四模块SMSReceiver.java BootCompleteReceiver.java 行了文件名的混淆,伪装成png文件[22]来逃避检测。
B.远程控制绝大多数恶意软件在感染用户设备后,将通过远程控制的方式,将用户设备变为肉机。
通过Http连接的方式,接收来自远端Server的指令。
通常URL和与Server之间的通信都被事先加密[23],而远程主机注册的域名一般为攻击者所有,但也已经有攻击者使用Cloud服务作为主机的载体,甚至使用Blog服务器来实施攻击[24]。
C.恶意吸费恶意软件的编写者通常采用操纵用户设备发送付费短信方式来获取利益。
Android OS中存在需要SMS_S- END权限的短信后台发送API:send-TextMessage,通常攻击者将一些吸费号码固化在代码中,但是,已有一些恶意软件将远程控制与此功能相结合,使静态分析无法检测出目的号码来进行追查[25]。