Android恶意软件特征及分类
原文链接:https://blog.csdn.net/ybdesire/java/article/details/52761808
展开
针对Android的恶意软件,除了熟知的木马、病毒,还有勒索软件(ransomware)、广告(adware)和间谍软件(spyware)。
要研究Android的恶意软件,首先需要知道,软件的哪些行为算是“恶意”,什么样的软件叫“恶意软件”。
恶意软件特征
文章[1]中给出了很详细的说明,推荐仔细阅读。这里根据自己的理解总结一下。
[1]从软件安装,功能触发,负载三个方面描述了恶意软件的特征。
恶意软件是怎么被安装到手机上的
重打包
比如把“愤怒的小鸟”反编译后,植入恶意代码,再重新编译为APK提交给第三方市场。它还可能做一下代码混淆,防止静态检测。
更新包
APP动态运行时才下载恶意负载。
偷渡式下载
引诱用户访问恶意网站,并在未经用户允许的情况下下载恶意负载。
触发方式
诱导用户点击
用户直接点击,就触发了恶意负载的运行。
监听系统事件
广播机制会自动进行事件通知和函数回调。所以恶意软件通过监听系统事件,就能自动触发恶意负载。
BOOT_COMPLETED,开机自启动
SMS_RECEIVED,监听来自运营商的服务定制确认短信
恶意负载
主要有5类:
权限提升
远程控制
话费吸取
隐私窃取
自我保护
特权提升
特权提升能够突破Android的权限机制和沙箱机制,允许恶意软件执行特权操作。
远程控制
远程灵活控制,负责信息回传,更新本地恶意功能。
话费吸取
比如强行定制SP服务并从中牟利。
恶意软件还会通过过滤SP的短信,达到秘密扣费的目的。
隐私窃取
窃取短信,通讯录,通话记录,定位,拍照等功能。手机用户隐私数据,社交数据和设备数据。
自我保护
恶意软件利用代码保护技术,造成静态分析失败,反编译困难。
ProGuard可用于压缩,优化和混淆Java字节码。
恶意软件分类
根据[2],可知Android恶意软件有不同的分类方法,下面介绍两种分类。
按传统方法分
按照传统的分类方法,恶意软件可分为:
木马类:这是一类多发性的恶意软件,比如
Zsone:自动发短信去订阅付费内容,从而扣除电话费
FakeNetflix: Netflix是一个看视频的软件。FakeNetflix会盗窃Netflix用户的账号信息,并传回Server端
Fakeplayer:
Spitmo: 被注入到银行应用中,偷盗用户的银行账号密码
Zitmo: 盗窃银行发送的验证码
病毒类
Obad: 蠕虫病毒,自我复制和传播
后门类
Obad: 利用Android提升权限,防止被卸载。向增值服务号码发送短信获利。既是后门,又是病毒
RATC: RageAgainstTheCage,adb setuid exhaustion attack,是一个Root漏洞
Basebridge: 它会kill掉安全应用,并发送获利短信订阅增值服务
Kmin: 盗取信息并传回server端
僵尸类
Geinimi:接受远程指令,控制移动端手机,并收集手机信息传回server端
AnserverBot: 接受远程指令
NotCompatible: 让你的手机变成一个proxy
间谍类软件
GPSSpy: 伪装成其他APP,上传用户的GPS信息
Nickyspy: 记录受害者的电话拨入拨出信息,track用户GPS信息,向其它号码发送短信
恐吓类软件
Koler: 显示信息,告诉用户你不交钱就要把你送进监狱
勒索类软件
Fakedefender.B: 显示安全报警信息,说服用户购买服务来删除不存在的malware
广告类软件
Uapush.APP: 广告软件+偷窃设备信息
跟踪类软件
SMSTracker
也有根据Android恶意软件的特征来进行分类的:
恶意软件安装
重打包
更新攻击
诱惑下载
恶意软件运行
恶意载荷
提权攻击
远程控制
付费
信息收集
权限使用
2015年Top10恶意软件
Android.Lotoor(36.8%): 利用漏洞来获取root权限
Android.RevMob(10.0%): 广告库
Android.Malapp(6.1%): 弹出广告,诱导你进入不安全网站
Android.Fakebank.B(5.4%): 偷盗信息
Android.Generisk(5.2%): 暴露隐私、安全、稳定性risk
Android.AdMob(3.3%): 广告库
Android.Iconosis(3.1%): 偷盗你的联系人、图片,track你的位置,访问短息,log你的按键按下信息,发送短信订阅高额服务,
Android.Opfake(2.7%): 发送短信订阅增值服务
Android.Premiumtext(2.0%): 发送短信订阅增值服务,被重打包过
Android.Basebridge(1.7%): 发送短信订阅增值服务,还会kill掉安全应用
参考
[1] Android恶意软件检测研究与进展_彭国军
[2] Android安全研究进展_卿斯汉
[3] 2016 Internet Security Threat Report, https://www.symantec.com/security-center/threat-report
————————————————