虚假Android应用检测的研究与实现(2)
1.1.1 Android操作系统
Android系统是目前最受欢迎的智能移动设备操作系统,根据Gartner机构的发布的报告,2014年Android设备的市场占有率为49%,成为了全球第一大智能手机操作系统,并预计在2015年达到59%。
Android(安卓),是一个以Linux为基础的开源移动设备操作系统,主要用于智能手机和平板电脑,由Google成立的Open Handset Alliance(OHA,开放手持设备联盟)持续领导与开发中。2007年11月,Google与多家制造商、开发商及电信营运商一同成立开了放手持设备联盟来共同研发改良Android系统,随后,Google发布了Android的源码。
安卓手机系统的一大优势在于其开放性和免费的服务,Android是一个对第三方软件完全开放的平台,开发者在为其开发程序时拥有更大的自由度,和iPhone的封闭性完全相反,所以安卓获得了更好产商的支持,例如:HTC、三星、摩托罗拉、LG、中国移动等。
1.1.2 Android应用安全现状
正因为Android系统的开放性,Android平台的病毒也最为泛滥。根据2014年上半年网秦全球手机安全报告,中国大陆地区以18.20%感染比例高居全球智能手机病毒重点感染区域第一。中国已经成为了智能手机病毒的重灾区。该报告数据表明, 全球智能手机病毒主要通过第三方应用商店、手机论坛和二文码等途径传播。受感染平台96%来自于Android平台。
1.1.3 Android恶意软件特征
Android手机病毒目前根据安装的方式大致分为以下几类:
1, 重打包应用。
这一类的病毒利用反编译手段,在正版的Android程序中植入恶意内容,然后重新编译并提交到第三方市场上。同时,该方法还能够利用代码混淆技术等反静态分析技术隐藏恶意的内容。
2, 动态更新包应用。
与上面的重打包不同的是,这种方式的应用不会在APK文件中加入恶意的内容,而是在运行时,动态访问开发者的服务器,获取恶意内容或者上传隐私信息,所以静态扫描这类应用也没有办法捕获到而已内容。
3, 偷渡式下载应用。
常见于各种恶意网站,在没有获取到用户允许时,后台下载并安装伪装过得恶意软件。
4, 其他形式。
间谍软件,伪装软件,山寨应用等等。
在骗取下载和安装之后,恶意软件而需要想办法获得运行的机会,一般来说,恶意软件通过以下两种方式触发执行:
1, 骗取点击。
这种方式的应用通常会将自己伪装成别的正版应用,如QQ,微信等,骗取用户的直接点击和运行。
2, 注册监听器,监听系统时事件。
通过Android的广播和监听机制,应用可以通过监听系统的关键事件,获取相关信息和自启动。在这种情况下,程序只要被安装,即使没有得到用户的点击也能够自动运行。
在所有的系统事件中,BOOT_COMPLETE事件,即开机完成事件,是最容易遭到侦听的,许多应用都会注册针对该事件的广播侦听器,实现开机自启动。
1.1.4 Android应用检测方法
当前检测Android虚假应用的方法总体上可以分为两大类:静态检测和动态监测。两种技术各有优缺点口在现实中,大量的实例都是同时包含动态和静态检测技术。
静态分析涉及到二进制相关的技术,其中包括反编译、逆向分析、模式匹配和静态系统调用分析等。静态分析技术有一个共同的特点:应用程序不被执行。基于Android平台手机端应用的扫描技术一般都采用签名静态比对。静态分析的优点是简单并且快速,节约系统成本和资源,但是它最大的缺点是扫描恶意软件前需要知道已知恶意软件信息,如签名、行为模式、权限申请等,使得它不能实现自动扫描并适应未知恶意程序的功能。