Android恶意软件检测技术分析和应用研究

doi:10.3969/j.issn.1000-436x.2014.08.011

摘要/Abstract

摘要：

针对Android平台安全问题，提出了手机端和服务端协作的恶意代码检测方案，手机端应用主要采用基于permission检测技术，实现轻量级的检测。服务端检测系统主要负责对手机端提交的可疑样本进行检测，同时实现了软件行为分析，特征库更新，与手机端同步等功能。其中服务端检测技术包括基于permission检测技术、基于字节码静态检测技术和基于root权限的动态检测技术。实验测试结果表明，3种检测技术能达到较好的检测效果。

关键词: 恶意代码检测, 静态分析, 动态分析, 权限分析

Abstract:

For the Android platform security problem, a mobile client and server collaborative malware detection pro-posal was proposed, where mobile client application was mainly based on permission detection technology and imple-mented lightweight testing. The server-side detection system is mainly responsible for testing suspicious samples submit-ted by the mobile terminals, meanwhile implements the functions of software behavior analysis, signature library updates, and mobile client synchronization, etc. The server-side detection techniques include permission-based detection technol-ogy, bytecode-based static detection technology and root-based dynamic detection technology. The result of the experi-ment shows that the three detection techniques can achieve better detection results.

Key words: malcode detection, static analysis, dynamic analysis, permission analysis

文伟平,梅瑞,宁戈,汪亮亮. Android恶意软件检测技术分析和应用研究[J]. 通信学报, 2014, 35(8): 78-85.

Wei-ping WEN,Rui MEI,Ge NING,Liang-liang WANG. Malware detection technology analysis and applied research of android platform[J]. Journal on Communications, 2014, 35(8): 78-85.

图/表 10

图1

图2

图3

表1

表2

表3

图4

图5

表4

表5

参考文献 9

[1]	JESSE B . Developing secure mobile application for Android[EB/OL] , 2008.
[2]	SCHMIDT A D , SCHMIDT H G , BATYUK L . Smartphone malware evolution revisited: Android next target[A]. Proceedings of the 4th IEEE International Conference on Malicious and Unwanted Software[C]. USA, 2009. 1-7.
[3]	SCHMIDT A D , SCHMIDT H G , CLAUSEN J . Static analysis of executables for collaborative malware detection on android[A]. IEEE International Congress on Communication (ICC) 2009 - Communica-tion and Information Systems Security Symposium[C]. 2009.
[4]	ENCK W , ONGTANG M , MCDANIEL P . Understanding Android security[J]. IEEE Security and Privacy, 2009,7(1): 50-57.
[5]	SHABTAI A , FLEDEL Y , ELOVICI Y . Securing android-powered mobile devices using selinux[J]. IEEE Security and Privacy[C]. 2009. 10-15.
[6]	BERGERON J , DEBBABI M , DESHARNAIS J . Static detection of malicious code in executable programs[A]. Proceedings of the Sym-posium on Requirements Engineering for Information Security[C]. USA, 2001. 20-24.
[7]	MOSER A , KRUEGEL C , KIRDA E . Limits of static analysis for malware detection[A]. Proceedings of the 23rd Annual Computer Se-curity Application Conference[C]. Seoul, Korea, 2007. 421-430.
[8]	BISHOP M A . The Art and Science of Computer Security[M]. Boston:Addison-Wesley Longman Publishing Co, 2002. 213-217.
[9]	[EB/OL]. 2001.

恶意软件	重要敏感权限	描述
ADRD	INTERNET, ACCESS_NETWORK_STATE, RECEIVE_BOOT_COMPLETED	蠕虫病毒
DroidDream	CHANGE_WIFI_STATE	root提权利用木马
Bgserv	INTERNET,RECEIVE_SMS,SEND_SMS	蠕虫病毒
DroidDreamLig	INTERNET,READ_PHONE_STATE	信息窃取木马
Genimi	INTERNET,SEND_SMS	蠕虫病毒
jSMSHider	INSTALL_PACKAGES	破坏系统固件木马
Pjapps	INTERNET,RECEIVE_SMS	蠕虫病毒
Zsone	RECEIVE_SMS,SEND_SMS	恶意发送短信木马
zHash	CHANGE_WIFI_STATE	root提权利用木马
BaseBridge	NATIVE_CODE	root提权利用木马

权限	能力描述
SET_DEBUG_APP	为调试配置一个应用程序
SET_TIME	允许应用程序设置系统时间
SET_TIME_ZONE	允许应用程序设置系统时区
WRITE_APN_SETTINGS	允许应用程序设置APN，其中的APN（acess point分为2大类：CMWAP(通过GPRS访问WAP业务)、CMNET（除了WAP以外的服务目前都是CMNET，比如连接name）即“接入点名称”，用来标识GPRS的业务种类，目前因特网等）
BRICK	禁用设备必须拥有的权限
INSTALL PACKAGES	安装新的软件
REBOOT	重启设备
SHUTDOWN	关闭设备
CHANGE_WIFI_STATE	改变Wi-Fi的状态

权限	描述
INTERNET,ACCESS_NETWORK_STATE, RECEIVE_BOOT_COMPLETED	木马控制能力
READ_CONTACTS , INTERNET	泄漏用户联系人的能力
INTERNET,RECEIVE_SMS,SEND_SMS	在后台实现扣费短信能力
INTERNET,READ_PHONE_STATE	泄漏IMEI号能力
INTERNET,SEND_SMS	木马控制能力
INTERNET,RECEIVE_SMS	木马控制能力
RECEIVE_SMS,SEND_SMS	后台实现扣费短信能力
RECEIVE_BOOT_COMPLETED＆INTERNET＆ACCESS_FINE_LOCATION	跟踪用户地理位置的能力，跟踪方式为GPS
RECEIVE_BOOT_COMPLETED＆INTERNET＆ACCESS_COARSE_LOCATION	跟踪用户地理位置的能力，跟踪方式为CELL-ID或者WIFI
PROCESS_OUTGOING_CALL＆ RECORD_AUDIO＆INTERNET	具有记录用户打电话的内容并且上传到指定服务器能力
READ_CONTACTS＆SEND_SMS	泄漏用户联系人并发送短信能力

其他数据来源	恶意倾向软件	比例/%	恶意软件
Google市场（20 925）	130	0.62	3
M1（5 225）	252	4.82	8
M2（3 665）	187	5.10	7
M3（4 870）	233	4.78	6
M4（15 895）	577	3.63	23
总数（50 580）	1 379	2.73	47
不同应用（45 820）	1 184	2.58	45

其他数据来源	恶意软件	比例%
Google市场（20 925）	10	0.05
M1（5 225）	20	0.39
M2（3 665）	15	0.41
M3（4 870）	22	0.45
M4（15 895）	51	0.32
总数（50 580）	118	0.23
不同应用（45 820）	108	0.23