Android惡意軟件特性與進(jìn)化分析研究

管飛詩 徐夫田

摘要：Android的流行使其成為眾多的惡意軟件攻擊的目標(biāo)，Android惡意軟件以驚人的速度增長。為更好的了解Android病毒特點(diǎn)及其進(jìn)化演變方向，本文對(duì)近4年的35個(gè)Android惡意家族，350個(gè)惡意樣例進(jìn)行定性定量分析。結(jié)合目前國內(nèi)外學(xué)者對(duì)Android惡意軟件研究進(jìn)展，從Android平臺(tái)下的惡意軟件的表現(xiàn)（包括侵入手機(jī)前后的各種表現(xiàn)），以及Android惡意軟件隱蔽性、重新打包、更新攻擊各個(gè)方面進(jìn)行描述，對(duì)這350個(gè)惡意樣例的特性得出一定的結(jié)論，并對(duì)Android惡意軟件進(jìn)化的趨勢(shì)做出了理性的預(yù)測(cè)。從Android病毒編程語言多樣化、查殺加殼化以及傳播“瓶頸”方面做出預(yù)測(cè)。得出今后Android惡意軟件趨向編程語言多樣化、“加殼”技術(shù)高深化、傳播途徑跨平臺(tái)化等結(jié)論。希望本文得出的有關(guān)結(jié)論和預(yù)測(cè)對(duì)于Android安全相關(guān)研究人員提供一定的參考意義。

關(guān)鍵詞：Android 惡意軟件 惡意家族 Android安全 定量分析

中圖分類號(hào)：TP39 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2016）05-0000-00

1 引言

智能手機(jī)近幾年的飛速增長，不僅日常生活越來越依賴其提供方便快捷的功能，甚至已經(jīng)滲透到了政府、醫(yī)療、軍事等重要行業(yè)。2007年11月，Google發(fā)布了安卓系統(tǒng)，2011年第一季度，安卓在全球份額超過了塞班系統(tǒng)，躍居全球第一。2012年11月，安卓在全球智能手機(jī)操作系統(tǒng)市場(chǎng)占有率為76%，在中國市場(chǎng)占有率有90%，正因?yàn)槿绱恕０沧砍蔀樵S多惡意軟件的攻擊目標(biāo)，而中國受災(zāi)程度較為嚴(yán)重。2014年全球中Android病毒的手機(jī)共2.8億部，平均每天80萬Android手機(jī)中毒。中國以近1.2億部手機(jī)中毒高居全球榜首。在2014年Google Android安全報(bào)告中特別指出中國Android手機(jī)的受害程度。

2014年Android用戶量達(dá)到20億。Android系統(tǒng)在智能手機(jī)系統(tǒng)的市場(chǎng)占有率達(dá)到84%。來自中國大陸地區(qū)百度移動(dòng)安全實(shí)驗(yàn)室、騰訊移動(dòng)安全實(shí)驗(yàn)室、獵豹移動(dòng)安全實(shí)驗(yàn)室、360移動(dòng)安全實(shí)驗(yàn)室的數(shù)據(jù)報(bào)告，Android惡意軟件每年增長速度超過100%，甚至更高。其嚴(yán)重性可見明顯。智能手機(jī)惡意軟件已經(jīng)成為人們不得不關(guān)注的一個(gè)問題，手機(jī)惡意軟件對(duì)人們的生活造成極大的影響，甚至能引起社會(huì)另一些問題。

鑒于Android巨大的市場(chǎng)發(fā)展?jié)摿捌涿媾R的嚴(yán)重安全問題。本文隨機(jī)抽取了近4年的35個(gè)Android惡意家族、350個(gè)惡意樣例。對(duì)其進(jìn)行定性定量分析。分析出惡意軟件特性，并對(duì)惡意軟件進(jìn)化進(jìn)行了理性的預(yù)測(cè)。為Android安全研究人員提供一定的參考價(jià)值。

本文其他部分的組織如下，第一部分?jǐn)?shù)據(jù)采集---惡意軟件時(shí)間表。第二部分，Android平臺(tái)下的惡意軟件行為。第三部分，惡意軟件特性分析。第四部分，惡意軟件進(jìn)化預(yù)測(cè)。第五部分對(duì)本文進(jìn)行了總結(jié)。

2惡意軟件時(shí)間表

在表1中，我們展示了35個(gè)Android惡意軟件家族，并附帶其發(fā)現(xiàn)時(shí)間。這些書籍來自中國大陸地區(qū)手機(jī)病毒防御公司。它們分別以安全公告、威脅報(bào)告或以blog形式公示出來。我們精心的收集在一起，數(shù)據(jù)采集中既有隨機(jī)性也也有針對(duì)性，體現(xiàn)了數(shù)據(jù)的可信性。數(shù)據(jù)采集時(shí)間跨度達(dá)4年之久。從2011年6月開始，截止到2015年3月。每個(gè)惡意家族并相應(yīng)收集了10個(gè)惡意軟件樣例。這些樣例既有來自官方也有來自Android 應(yīng)用市場(chǎng)。（樣例為隨機(jī)抽取）

為更好的展示惡意軟件增長速度，我們用下面幾張圖表展示近幾年Android惡意軟件增長的速度及規(guī)模。

3 Android平臺(tái)下的惡意軟件的行為表現(xiàn)

Android惡意軟件與pc惡意軟件既有相同之處也有不同之處。在該部分我們討論下Android平臺(tái)下的惡意軟件的行為表現(xiàn)。

3.1惡意軟件的侵入前的行為表現(xiàn)方式

目前，Android惡意軟件主要有兩種侵入手平臺(tái)的方式，這兩種方式分別如下：

（1） 特洛伊 app：網(wǎng)絡(luò)黑客，首先將手機(jī)APP從APP市場(chǎng)上下載下來，然后重新對(duì)APP進(jìn)行第二次修改。在修改時(shí)，將惡意代碼嵌入到APP中，對(duì)其封裝完畢后上傳到APP下載網(wǎng)點(diǎn)。

（2）惡意APP：網(wǎng)絡(luò)黑客將惡意軟件偽裝成比較流行的手機(jī)APP，然后將其上傳到手機(jī)APP市場(chǎng)。

3.2 惡意軟件侵入手機(jī)后的表現(xiàn)形式

（1）病毒：手機(jī)病毒是一種缺乏自我復(fù)制能力但具有破壞力的惡意程序。

（2）蠕蟲：能控制系統(tǒng)漏洞的惡意代碼或者利用網(wǎng)絡(luò)自動(dòng)復(fù)制到另外一系統(tǒng)的惡意程序。

（3）特洛伊木馬：未經(jīng)授權(quán)訪問或者未經(jīng)必須的操作遠(yuǎn)程訪問系統(tǒng)內(nèi)部資源。

（4）間諜或廣告軟件：在未經(jīng)用戶授權(quán)的情況下，收集用戶信息或者破壞用戶系統(tǒng)。

（5）釣魚應(yīng)用程序：偽裝成合法的站點(diǎn)，該站點(diǎn)包含手機(jī)釣魚程序可以盜取用戶的數(shù)據(jù)憑證。這種程序直到安裝或者被感染后才被發(fā)現(xiàn)。

（6）感染后的癥狀：一些莫名其妙的行為、機(jī)器性能下降，例如冰凍應(yīng)用程序、重啟失敗、網(wǎng)絡(luò)裂解困難等。耗費(fèi)電池或者處理能源，攻擊瀏覽器。在未授權(quán)的情況下亂發(fā)短信、撥打電話，甚至使手機(jī)成為“磚機(jī)”。

綜上所述。Android惡意軟件對(duì)手機(jī)平臺(tái)的攻擊方式和變現(xiàn)形式大體就這樣。當(dāng)然新型的Android惡意軟件在不斷產(chǎn)生在進(jìn)化。目前智能手機(jī)用戶的數(shù)據(jù)被侵入的惡意軟件收集或者盜取，不管是商業(yè)還是個(gè)人之智能手機(jī)用戶都可能難免于惡意軟件的侵入。這些惡意軟件對(duì)手機(jī)造成的影響可分為監(jiān)控、偵測(cè)、追蹤和警告。有的學(xué)著也概括為MDTN（monitoring、detecting、tracking、notification）。由于篇幅問題，我們對(duì)這四種行為不再過多的描述。

4 Android惡意軟件特性特點(diǎn)分析

在該部分中，我們進(jìn)行對(duì)第一部分35個(gè)惡意家族350個(gè)惡意樣例分析。并從不同的角度分析，分析惡意軟件的特性特點(diǎn)。

4.1 隱蔽性

隱蔽性是Android惡意軟件的一重要的特性。通過對(duì)350個(gè)樣例手動(dòng)分析，結(jié)合國內(nèi)外學(xué)者對(duì)Android惡意軟件分析研究，我們從Android惡意軟件重新打包、更新攻擊、強(qiáng)迫下載等方面介紹Android惡意軟件的隱蔽性。

4.1.1重新打包

重新打包是Android惡意軟件的一個(gè)重要的特點(diǎn)，也是最主要的搭載技術(shù)。惡意軟件制作者通過此項(xiàng)技術(shù)將惡意軟件搭載進(jìn)流行的應(yīng)用程序中。通常，惡意軟件制作者將當(dāng)前市場(chǎng)上最流行的APP下載到本地，對(duì)其進(jìn)行反編譯，搭載他們制作的惡意程序，進(jìn)行完整封裝。重新打包完整后，再次上傳到官方或者Android APP 市場(chǎng)。用戶在不知情的情況下下載重新打包的惡意APP，下載到手機(jī)后，進(jìn)行安裝，從而感染病毒。

在所采集的350個(gè)樣例中，諸多重新打包的惡意軟件，包括付費(fèi)的APP、著名的游戲APP、功能強(qiáng)大的工具APP，也包含色情相關(guān)的APP。比如編號(hào)10的anserverbot惡意軟件樣例重新打包成一款收費(fèi)APP在mxmotor.camelgames.com的官方Android APP市場(chǎng)可以獲取到。據(jù)有關(guān)文獻(xiàn)統(tǒng)計(jì)重新打包的惡意軟件達(dá)到80%以上。[3]

4.1.2更新攻擊

更新攻擊相比重新打包技術(shù)更為高深，它高深之處在于它加大了被發(fā)現(xiàn)的難度。特別是，它可能還重新打包在流行的APP中，但是與封裝整個(gè)有效負(fù)載相比，它只是包含了更新了部分組件部分。在運(yùn)行時(shí)，將讀取或下載該惡意的負(fù)載組件。這樣，靜態(tài)的手機(jī)掃描APP有可能捕捉不到惡意負(fù)載。從而造成惡意軟件的縱意惡行。在我們的數(shù)據(jù)采集中，編號(hào)1basebridge就是上述的惡意的家族，后來的DroidKongFu更新版層出不窮，都屬于該描述的家族。

4.1.3強(qiáng)迫下載

第三種技術(shù)是傳統(tǒng)的攻擊手段------強(qiáng)迫下載。它不直接攻擊手機(jī)瀏覽器的漏洞。但本質(zhì)上是誘惑用戶下載“趣味”或者“功能豐富”的APP。有一款叫zitmo惡意軟件（不在本文數(shù)據(jù)采集中），就是這樣的惡意軟件。該款軟件誘惑用戶下載后，盜取用戶手機(jī)中與銀行數(shù)據(jù)有關(guān)的信息，對(duì)用戶直接造成經(jīng)濟(jì)損失。

Android惡意軟件的隱蔽性造成眾多的手機(jī)被感染，重新打包、更新攻擊、強(qiáng)迫下載是Android惡意軟件最主要的攻擊方式，也是最隱蔽的體現(xiàn)之處。Android惡意軟件在不斷的更新不斷進(jìn)化，其隱蔽性將會(huì)越來越深。

4.2經(jīng)濟(jì)目的性

經(jīng)濟(jì)目的性是Android惡意軟件的又一特性。Android惡意軟件不同于電腦惡意軟件。Android惡意軟件的經(jīng)濟(jì)目的性很強(qiáng)。電腦惡意軟件大部分是導(dǎo)致系統(tǒng)癱瘓，Android惡意軟件的目的就是獲取經(jīng)濟(jì)利益。惡意扣費(fèi)、資費(fèi)消耗、手機(jī)支付、獲取銀行卡信息等各種方式進(jìn)行金錢的獲取。來自百度移動(dòng)安全、騰訊移動(dòng)安全實(shí)驗(yàn)室、金山移動(dòng)安全實(shí)驗(yàn)室、獵豹移動(dòng)安全實(shí)驗(yàn)室的數(shù)據(jù)，直接或間接的盜取費(fèi)用類型的Android惡意軟件達(dá)到60%以上，這些數(shù)據(jù)不包括其他形式造成的經(jīng)濟(jì)損失。保守估計(jì)，該類惡意軟件已經(jīng)高于70%，甚至更高。 4.3傳播中呈現(xiàn)“啞鈴”性

在圖片1中我們可以看出。惡意軟件制造和惡意軟件危害都很嚴(yán)重，是“啞鈴”的兩個(gè)大頭。而惡意軟件傳播由于受到社會(huì)工程學(xué)的束縛，很大程度上受到了限制。

惡意軟件制造者在經(jīng)濟(jì)利益驅(qū)動(dòng)下，瘋狂制造手機(jī)病毒。而且Android手機(jī)惡意軟件制造技術(shù)門檻低，這就進(jìn)一步加劇了病毒制造的泛濫。

然而，病毒在傳播上，由于目前主要的惡意傳播手段都需要社會(huì)工程學(xué)的參與，偽裝成流行應(yīng)用，誘騙誘導(dǎo)用戶下載惡意軟件，不能像pc病毒那樣自動(dòng)感染其他軟件和自動(dòng)傳播。所以手機(jī)惡意軟件在傳播上受到了限制。這也是目前手機(jī)還沒有大規(guī)模爆發(fā)像“梅麗莎”那樣病毒的重要原因。

4.4其他特性

Android惡意軟件除了上述幾大特性外，還有幾個(gè)其他的特性。盜取用戶隱私信息也是Android惡意軟件的一重大的特性，利用用戶的隱私，制造很多的家庭問題、社會(huì)問題，造成家庭破裂、造成局部社會(huì)不安定等一些嚴(yán)重問題。另外呈現(xiàn)月份性、地域性也是Android惡意軟件的一些特性。在眾多的移動(dòng)安全報(bào)告中指出，6月份Android惡意軟件出現(xiàn)較為嚴(yán)重，在地域性方便表現(xiàn)在中國大陸地區(qū)的廣州、北京地區(qū)受害程度較為嚴(yán)重。

5 Android惡意軟件進(jìn)化預(yù)測(cè)

事物不斷往新的方向發(fā)展。Android惡意軟件也不例外。盡管安全工作者在努力的排除這些惡意軟件，但惡意軟件不停的發(fā)展，也不停的進(jìn)化。我們?cè)诜治鲞@350個(gè)樣例的時(shí)候，也進(jìn)行了理性的預(yù)測(cè)。

5.1 編程語言多樣化

Android應(yīng)用支持多種開發(fā)語言，除了常規(guī)的Java與C/++。惡意軟件已經(jīng)不局限于常規(guī)的Java與C/++了。從2014年的惡意軟件中發(fā)現(xiàn)使用易語言和C#開發(fā)的惡意應(yīng)用。而且Android應(yīng)用支持易語言、VB、C#、HTML5等眾多開發(fā)語言。這對(duì)惡意軟件查殺勢(shì)必帶來重大的難度。編程語言的多樣化將成為Android惡意軟件發(fā)展趨勢(shì)。

5.2 惡意軟件加殼技術(shù)多樣化

第2部分描述的Android惡意軟件的隱蔽性的特點(diǎn)外，加殼技術(shù)也是增強(qiáng)其隱蔽性的一項(xiàng)技術(shù)。近年來，更多的惡意軟件采用加殼技術(shù)躲避安全軟件的查殺。2013年到2014年僅一年的時(shí)間，加殼軟件數(shù)量就增長了約18倍，較為著名的加殼方案dexprotect和opkprotect，很可能成為惡意代碼開發(fā)的加殼方案。

5.3 傳播將突破“瓶頸”

我們?cè)诘谌糠痔岬?，Android惡意軟件傳播中呈現(xiàn)“啞鈴式”。因?yàn)樯鐣?huì)工程學(xué)參與，其傳播途徑受到限制。百度移動(dòng)安全實(shí)驗(yàn)室已經(jīng)截獲了一種跨界手機(jī)病毒。這樣的病毒，可以從遠(yuǎn)程服務(wù)器下載病毒代碼，當(dāng)手機(jī)鏈接到PC機(jī)時(shí)感染PC，如果成功感染PC，那么病毒完全可以利用PC端病毒技術(shù)，自動(dòng)傳播并感染其他PC，最終實(shí)現(xiàn)自動(dòng)感染其他手機(jī)。由于我們的手機(jī)與電腦連接次數(shù)較多，惡意軟件制造者在利益的驅(qū)使下，會(huì)向這方向發(fā)展。

6結(jié)語

移動(dòng)設(shè)備的普及影響到了人們的方方面面，Android的占有率越來越高。Android系統(tǒng)的開放性也給其不安全性帶來某種程度上的隱患，惡意軟件制造者在經(jīng)濟(jì)利益驅(qū)使下不停的制造病毒。目前，信息安全面臨著網(wǎng)絡(luò)安全和移動(dòng)安全。二者有相同之處也有不同之處。移動(dòng)安全將成為下一代安全的研究的重點(diǎn)。目前的移動(dòng)安全只是處于初期階段，沒有很好的方案。但是從Android惡意軟件增長速度和危害程度方面看，移動(dòng)安全以及不能在遲緩。最后，希望本文的一些觀點(diǎn)能給Android安全領(lǐng)域相關(guān)人員一點(diǎn)參考價(jià)值。也希望本文能激發(fā)Android安全研究的熱潮。

參考文獻(xiàn)

[1]吳澤智，陳性元，楊智 等.安卓隱私安全研究進(jìn)展.計(jì)算機(jī)應(yīng)用研究，2014.08 Vol.31 No.8 2241--2247.

[2] 彭國軍，李晶雯，孫潤康 等.Android 惡意軟件檢測(cè)研究與進(jìn)展[J].武漢大學(xué)學(xué)報(bào)：理學(xué)版，2015.02 vol.61 No.1021-033.

[3] 邊搖悅，戴搖航，慕德俊.Android 惡意軟件特征研究[J].計(jì)算機(jī)技術(shù)與發(fā)展，2014.11 Vol.24 No11 178-181.