英语原文共 10 页
Android恶意软件的法医分析
恶意软件如何编写以及如何检测?
Kevin Allix,Quentin Jerome,Tegawende#39;F。Bissyande#39;,Jacques Klein,Radu State和Yves Le Traon
卢森堡大学卢森堡安全,可靠和信任跨学科中心
{FixNeord.LaSTNAM}} U.L.U.L.
摘要 - 我们在本文中考虑从Android生态系统分析大量恶意软件和良性应用程序。虽然过去几年大量的研究工作都涉及Android恶意软件,但没有一个从法医的角度来处理它。
在收集了来自用户市场和研究存储库的50多万份申请后,我 们进行了一项分析,为Android恶意软件的编写过程提供了宝贵 的见解。本研究还探讨了数据集中的一些奇怪的工件,以及最先进的防病毒软件识别/定义恶意软件的不同功能。我们进一步强调了犯罪团体对Android安全性的一些主要弱用法和误解,并 展示了其操作流程中的一些模式。最后,利用此分析的见解, 我们构建了一个天真的恶意软件检测方案,可以补充现有的反病毒软件。
关键字 - Android安全,数字取证,恶意软件分析,恶意软件开发
- 介绍
Android已经逐渐成长为几年来使用最广泛的智能手机操作系统[6]。随着越来越多的用户依赖支持Android的手持设备,并能够从官方和替代市场安装第三方应用程序,设备和底层网络的安全性成为最终用户及其服务提供商的基本关注点。近年来,从业者和研究人员目睹了各种Android恶意软件的出现。相关威胁包括简单的用户跟踪和个人信息泄露,高级欺诈和高级SMS服务订阅,甚至是无端参与僵尸网络。虽然现在大多数用户都意识到个人计算机可以并且将会受到恶意软件的攻击,但很少有人意识到他们的智能手机容易受到同样危险的威胁。
为了评估从互联网下载的软件的威胁,挑剔的用户依赖 于防病毒产品产生的扫描结果。不幸的是,每个防病毒软 件供应商都有关于如何/为什么决定将恶意软件标签分配给给定应用程序的秘密配方。因此,不同的防病毒产品可以 不同地理解应用程序,从而导致破坏性的混淆。实际上, 从业者和研究人员都非常依赖防病毒软件,无论是信任应 用程序还是构建评估任务的基本事实。
为了我们的研究目的,我们从市场和存储库中收集了数十万个Android应用程序的大型和最新数据集。然后, 我们使用VirusTotal慷慨托管的约45种防病毒产品扫描每个应用程序,以评估它们是否被标记为恶意软件。这项工作旨在获得恶意软件编写业务的清晰视图,以及恶意软件发展及其防病毒产品检测的一些见解。我们还借此机会间接调查恶意软件创建者的熟练程度。
一些研究调查了Android恶意软件[1],[8],[23], [24]。然而,大多数这些学术着作都是使用高级代码分析和数据挖掘技术来研究应用程序。因此,关于典型事件响应者在实践中将依赖的实际人工制品的报道很少。我们的研究旨在通过执行此类分析并基于大型数据集报告我们的发现来填补这一空白。本文的主要贡献是:
- 我们广泛提供证据表明恶意软件标签不是一门精确的 科学。应用程序是否已标记,具体取决于防病毒产品;
- 我们表明,大多数恶意软件编写者基本上从其他开发人员代码和来自Web的公共教程/示例中复制/粘贴代码;
- 我们发现恶意软件编写几乎是一项常规业务,工作周 期类似于每周5个工作日;
- 我们还强调,几乎所有恶意软件编写者都无法正确使 用数字证书;
- 最后,我们提出了基本检测恶意软件的路线图,这些恶意软件尚未被防病毒产品检测到。
本文的结构如下:第二部分提供了有关Android应用程序数据集构建的详细信息,以及对良性和恶意软件应用程序进行分类的标记过程。第三节描述了我们实验分析的主要发现。我们还提供了一个指导此分析的讨论。我们在第五节讨论相关工作。第六节总结了论文并概述了未来的工作。
2014年IEEE第38届国际计算机,软件和应用大会
07303157/14,31美元,2014, IEEE DOI 101109/COMPAC.2014.61
384
- 预赛
对恶意软件业务的调查需要一个代表真实应用程序的重要数据集。我们通过从市场收集应用程序来构建我们的数据集,即开发人员将应用程序分发给最终用户的在线商店。事实上,虽然谷歌 - Android软件堆栈的主要开发商 - 运营着一个名为Google Play的官方市场,但Google的政策使Android用户可以从任何其他替代市场下载和安装应用程序。
通常会创建替代市场来分发特定的应用程序选择。例如,这些市场中的一些可能专注于特定地理区域,例如俄罗斯或中国,向用户提供其本地语言的应用。其他市场专注于自由软件,并且已知至少一个市场致力于成人内容。用户还可以通过近距离圈子或通过BitTorrent发布的应用程序包直接共享应用程序。此类应用程序通常由在非自由市场中为其付费的其他用户分发。最后,我们在数据集中包含了其他人收集的应用程序,用于构建研究存储库。
在本节的其余部分,我们提供有关数据集的不同来源, 用于将每个应用程序标记为恶意软件或良性的扫描过程以及我们从应用程序包中提取以执行我们的研究的工件的详细信息。
数据集来源
我们为几个市场开发了专门的抓取工具,以自动浏览其 内容,找到可以免费检索的Android应用程序,并将它们下载到我们的存储库中。在这一步中,我们发现几个市场所 有者采取了各种措施,以防止他们的市场被自动开采。因 此,对于其中两个这样的市场,我们无法保证我们已经检 索了它们的全部内容。但是,据我们所知,我们收集的应 用程序总数构成了研究中常用的Android应用程序的最大数据集。
谷歌播放1:Android的官方市场是
允许用户通过Web浏览器浏览其内容的网站。但是,无法通过Web浏览器下载应用程序,因为任何其他文件都是如此。相反,Google提供了一个Android应用程序2,它使用专有协议与Google Play服务器进行通信。此外,如果没有有效的Google帐户,也无法从Google Play下载应用程序 - 甚至免费应用程序也无法下载。使用专有协议的开源实现和创建免费的Google帐户可以克服这样概述的两个问题。剩下的约束是时间,因为Google还强制执行严格的帐户级限速。实际上,不允许一个给定的帐户
1 http://play.google.com (以前称为Google Market) 2也称为Google
Play
在给定的时间范围内下载超过给定数量的应用程序。
AppChina3:这个市场是迄今为止最大的替代品
我们的数据集市场。在收集时,AppChina正在实施严格的刮擦保护,例如1Mb / s带宽限制和几小时禁止,如果同时使用多个连接到服务。
安智4:安智市场由和为之运营
中国Android用户群。它存储和分发以中文编写的应用程序,并提供不太严格的筛选策略,例如Google Play。
幻灯片5:由美利坚合众国经营。
这个替代市场是Google Play的直接竞争对手:它为 Android平台提供免费和付费应用。免费仓储6: FreewareLovers是一家由德国公司经
营的市场,为包括Android在内的各大移动平台提供免费 软件。FreewareLovers的一大优势是它不需要任何特定
的功能
应用程序,可以与任何Web浏览器一起使用。
ProAndroid7:ProAndroid市场由俄罗斯运营,是我们爬行的最小市场。它仅分发免费应用程序。
F-Droid8:这个免费和开源的存储库
Android平台上的软件还提供了许多用户可以在其设备上 下载和安装的应用程序。1mobile9:这个市场提供免费 的Android应用程序直接下载。这是一个非常大的市场,
为用户提供了浏览和检索数千个的机会
应用。
除了市场,我们还调查了其他分销渠道,以收集捆绑包共享的应用程序。
Torrent:我们收集了一小部分通过BitTorrent提供 的应用程序。我们注意到此类应用程序通常在未经作者同 意的情况下分发,并且通常包括付费应用程序。然而,在 考虑水蛭的数量时,我们注意到这样的Android应用程序集合似乎吸引了大量用户下载,增加了调查在这些渠道中 分发的恶意软件的兴趣。
基因组10:周等。[25]收集了Android
恶意软件样本,并让研究社区访问其构建的数据集。该数据集分为各个系列,每个系列包含彼此密切相关的恶意软件。
表I总结了从用于构建数据集的每个市场收集的应用程序数量。应用程序的最大份额来自官方Android 市场Google Play。在应用程序上使用SHA256哈希函数,我们注意到有更多的应用程序
3 http://www.appchina.com 4 http://www.anzhi.com
5 http://slideme.org 6 http://www.freewarelovers.com
7 http://proandroid.net 8 http://f-droid.org/ 9市场
10 http://www.malgenomeproject.org/
比一个市场。因此,表I中的唯一应用程序总数小于每个市场中唯一应用程序的总和。
表一
我们的数据集中的Android应用程序的起源
|
市井 |
Android应用程序数 量 |
百分比 |
|
谷歌游戏 |
325 214 |
54.73% |
|
应用汇 |
125 248 |
21.13% |
|
安志 |
76 414 |
12.86% |
|
1移动电话 |
57 506 |
9.68% |
|
幻灯片 |
27 274 |
4.68% |
|
山洪 |
5 294 |
0.89% |
|
自由仓库 |
4 145 |
0.70% |
|
丙烷 |
3 683 |
0.62% |
|
费德勒 |
2 023 |
0.34% |
|
基因组apk_bang |
1 247 363 |
0.21% 0.06% |
|
总 594 000个独特的应 |
||
研究的文物
为了执行我们的研究,我们从应用程序包中挖掘了信息, 重点关注Android包文件中的两个工件元数据。
打包日期:Android应用程序作为.apk文件分发,该文件实际上是一个ZIP存档,包含应用程序需要运行的所 有资源,例如应用程序二进制代码和图像。这种包格式的一个有趣的副作用是,使应用程序的所有文件都从开发人员的计算机转到最终用户的设备而不做任何修改。特别是, 保留.apk包中包含的文件的所有元数据,例如最后修改日期。
表示应用程序二进制代码的所有字节代码被组装到在打包时生成的classes.dex文件中。因此,该文件的最后修改日期表示包装时间。在本文的其余部分,包装日期将参考此日期。
证书元数据:在Android平台中,强制要求第一个安全措施,以保证每个应用程序的真实
以上是毕业论文外文翻译,课题毕业论文、任务书、文献综述、开题报告、程序设计、图纸设计等资料可联系客服协助查找。
