Android惡意軟件特性與進化分析研究

管飛詩 徐夫田

摘要：Android的流行使其成為眾多的惡意軟件攻擊的目標，Android惡意軟件以驚人的速度增長。為更好的了解Android病毒特點及其進化演變方向，本文對近4年的35個Android惡意家族，350個惡意樣例進行定性定量分析。結合目前國內外學者對Android惡意軟件研究進展，從Android平臺下的惡意軟件的表現（包括侵入手機前后的各種表現），以及Android惡意軟件隱蔽性、重新打包、更新攻擊各個方面進行描述，對這350個惡意樣例的特性得出一定的結論，并對Android惡意軟件進化的趨勢做出了理性的預測。從Android病毒編程語言多樣化、查殺加殼化以及傳播“瓶頸”方面做出預測。得出今后Android惡意軟件趨向編程語言多樣化、“加殼”技術高深化、傳播途徑跨平臺化等結論。希望本文得出的有關結論和預測對于Android安全相關研究人員提供一定的參考意義。

關鍵詞：Android 惡意軟件 惡意家族 Android安全 定量分析

中圖分類號：TP39 文獻標識碼：A 文章編號：1007-9416（2016）05-0000-00

1 引言

智能手機近幾年的飛速增長，不僅日常生活越來越依賴其提供方便快捷的功能，甚至已經滲透到了政府、醫療、軍事等重要行業。2007年11月，Google發布了安卓系統，2011年第一季度，安卓在全球份額超過了塞班系統，躍居全球第一。2012年11月，安卓在全球智能手機操作系統市場占有率為76%，在中國市場占有率有90%，正因為如此。安卓成為許多惡意軟件的攻擊目標，而中國受災程度較為嚴重。2014年全球中Android病毒的手機共2.8億部，平均每天80萬Android手機中毒。中國以近1.2億部手機中毒高居全球榜首。在2014年Google Android安全報告中特別指出中國Android手機的受害程度。

2014年Android用戶量達到20億。Android系統在智能手機系統的市場占有率達到84%。來自中國大陸地區百度移動安全實驗室、騰訊移動安全實驗室、獵豹移動安全實驗室、360移動安全實驗室的數據報告，Android惡意軟件每年增長速度超過100%，甚至更高。其嚴重性可見明顯。智能手機惡意軟件已經成為人們不得不關注的一個問題，手機惡意軟件對人們的生活造成極大的影響，甚至能引起社會另一些問題。

鑒于Android巨大的市場發展潛力及其面臨的嚴重安全問題。本文隨機抽取了近4年的35個Android惡意家族、350個惡意樣例。對其進行定性定量分析。分析出惡意軟件特性，并對惡意軟件進化進行了理性的預測。為Android安全研究人員提供一定的參考價值。

本文其他部分的組織如下，第一部分數據采集---惡意軟件時間表。第二部分，Android平臺下的惡意軟件行為。第三部分，惡意軟件特性分析。第四部分，惡意軟件進化預測。第五部分對本文進行了總結。

2惡意軟件時間表

在表1中，我們展示了35個Android惡意軟件家族，并附帶其發現時間。這些書籍來自中國大陸地區手機病毒防御公司。它們分別以安全公告、威脅報告或以blog形式公示出來。我們精心的收集在一起，數據采集中既有隨機性也也有針對性，體現了數據的可信性。數據采集時間跨度達4年之久。從2011年6月開始，截止到2015年3月。每個惡意家族并相應收集了10個惡意軟件樣例。這些樣例既有來自官方也有來自Android 應用市場。（樣例為隨機抽取）

為更好的展示惡意軟件增長速度，我們用下面幾張圖表展示近幾年Android惡意軟件增長的速度及規模。

3 Android平臺下的惡意軟件的行為表現

Android惡意軟件與pc惡意軟件既有相同之處也有不同之處。在該部分我們討論下Android平臺下的惡意軟件的行為表現。

3.1惡意軟件的侵入前的行為表現方式

目前，Android惡意軟件主要有兩種侵入手平臺的方式，這兩種方式分別如下：

（1） 特洛伊 app：網絡黑客，首先將手機APP從APP市場上下載下來，然后重新對APP進行第二次修改。在修改時，將惡意代碼嵌入到APP中，對其封裝完畢后上傳到APP下載網點。

（2）惡意APP：網絡黑客將惡意軟件偽裝成比較流行的手機APP，然后將其上傳到手機APP市場。

3.2 惡意軟件侵入手機后的表現形式

（1）病毒：手機病毒是一種缺乏自我復制能力但具有破壞力的惡意程序。

（2）蠕蟲：能控制系統漏洞的惡意代碼或者利用網絡自動復制到另外一系統的惡意程序。

（3）特洛伊木馬：未經授權訪問或者未經必須的操作遠程訪問系統內部資源。

（4）間諜或廣告軟件：在未經用戶授權的情況下，收集用戶信息或者破壞用戶系統。

（5）釣魚應用程序：偽裝成合法的站點，該站點包含手機釣魚程序可以盜取用戶的數據憑證。這種程序直到安裝或者被感染后才被發現。

（6）感染后的癥狀：一些莫名其妙的行為、機器性能下降，例如冰凍應用程序、重啟失敗、網絡裂解困難等。耗費電池或者處理能源，攻擊瀏覽器。在未授權的情況下亂發短信、撥打電話，甚至使手機成為“磚機”。

綜上所述。Android惡意軟件對手機平臺的攻擊方式和變現形式大體就這樣。當然新型的Android惡意軟件在不斷產生在進化。目前智能手機用戶的數據被侵入的惡意軟件收集或者盜取，不管是商業還是個人之智能手機用戶都可能難免于惡意軟件的侵入。這些惡意軟件對手機造成的影響可分為監控、偵測、追蹤和警告。有的學著也概括為MDTN（monitoring、detecting、tracking、notification）。由于篇幅問題，我們對這四種行為不再過多的描述。

4 Android惡意軟件特性特點分析

在該部分中，我們進行對第一部分35個惡意家族350個惡意樣例分析。并從不同的角度分析，分析惡意軟件的特性特點。

4.1 隱蔽性

隱蔽性是Android惡意軟件的一重要的特性。通過對350個樣例手動分析，結合國內外學者對Android惡意軟件分析研究，我們從Android惡意軟件重新打包、更新攻擊、強迫下載等方面介紹Android惡意軟件的隱蔽性。

4.1.1重新打包

重新打包是Android惡意軟件的一個重要的特點，也是最主要的搭載技術。惡意軟件制作者通過此項技術將惡意軟件搭載進流行的應用程序中。通常，惡意軟件制作者將當前市場上最流行的APP下載到本地，對其進行反編譯，搭載他們制作的惡意程序，進行完整封裝。重新打包完整后，再次上傳到官方或者Android APP 市場。用戶在不知情的情況下下載重新打包的惡意APP，下載到手機后，進行安裝，從而感染病毒。

在所采集的350個樣例中，諸多重新打包的惡意軟件，包括付費的APP、著名的游戲APP、功能強大的工具APP，也包含色情相關的APP。比如編號10的anserverbot惡意軟件樣例重新打包成一款收費APP在mxmotor.camelgames.com的官方Android APP市場可以獲取到。據有關文獻統計重新打包的惡意軟件達到80%以上。[3]

4.1.2更新攻擊

更新攻擊相比重新打包技術更為高深，它高深之處在于它加大了被發現的難度。特別是，它可能還重新打包在流行的APP中，但是與封裝整個有效負載相比，它只是包含了更新了部分組件部分。在運行時，將讀取或下載該惡意的負載組件。這樣，靜態的手機掃描APP有可能捕捉不到惡意負載。從而造成惡意軟件的縱意惡行。在我們的數據采集中，編號1basebridge就是上述的惡意的家族，后來的DroidKongFu更新版層出不窮，都屬于該描述的家族。

4.1.3強迫下載

第三種技術是傳統的攻擊手段------強迫下載。它不直接攻擊手機瀏覽器的漏洞。但本質上是誘惑用戶下載“趣味”或者“功能豐富”的APP。有一款叫zitmo惡意軟件（不在本文數據采集中），就是這樣的惡意軟件。該款軟件誘惑用戶下載后，盜取用戶手機中與銀行數據有關的信息，對用戶直接造成經濟損失。

Android惡意軟件的隱蔽性造成眾多的手機被感染，重新打包、更新攻擊、強迫下載是Android惡意軟件最主要的攻擊方式，也是最隱蔽的體現之處。Android惡意軟件在不斷的更新不斷進化，其隱蔽性將會越來越深。

4.2經濟目的性

經濟目的性是Android惡意軟件的又一特性。Android惡意軟件不同于電腦惡意軟件。Android惡意軟件的經濟目的性很強。電腦惡意軟件大部分是導致系統癱瘓，Android惡意軟件的目的就是獲取經濟利益。惡意扣費、資費消耗、手機支付、獲取銀行卡信息等各種方式進行金錢的獲取。來自百度移動安全、騰訊移動安全實驗室、金山移動安全實驗室、獵豹移動安全實驗室的數據，直接或間接的盜取費用類型的Android惡意軟件達到60%以上，這些數據不包括其他形式造成的經濟損失。保守估計，該類惡意軟件已經高于70%，甚至更高。 4.3傳播中呈現“啞鈴”性

在圖片1中我們可以看出。惡意軟件制造和惡意軟件危害都很嚴重，是“啞鈴”的兩個大頭。而惡意軟件傳播由于受到社會工程學的束縛，很大程度上受到了限制。

惡意軟件制造者在經濟利益驅動下，瘋狂制造手機病毒。而且Android手機惡意軟件制造技術門檻低，這就進一步加劇了病毒制造的泛濫。

然而，病毒在傳播上，由于目前主要的惡意傳播手段都需要社會工程學的參與，偽裝成流行應用，誘騙誘導用戶下載惡意軟件，不能像pc病毒那樣自動感染其他軟件和自動傳播。所以手機惡意軟件在傳播上受到了限制。這也是目前手機還沒有大規模爆發像“梅麗莎”那樣病毒的重要原因。

4.4其他特性

Android惡意軟件除了上述幾大特性外，還有幾個其他的特性。盜取用戶隱私信息也是Android惡意軟件的一重大的特性，利用用戶的隱私，制造很多的家庭問題、社會問題，造成家庭破裂、造成局部社會不安定等一些嚴重問題。另外呈現月份性、地域性也是Android惡意軟件的一些特性。在眾多的移動安全報告中指出，6月份Android惡意軟件出現較為嚴重，在地域性方便表現在中國大陸地區的廣州、北京地區受害程度較為嚴重。

5 Android惡意軟件進化預測

事物不斷往新的方向發展。Android惡意軟件也不例外。盡管安全工作者在努力的排除這些惡意軟件，但惡意軟件不停的發展，也不停的進化。我們在分析這350個樣例的時候，也進行了理性的預測。

5.1 編程語言多樣化

Android應用支持多種開發語言，除了常規的Java與C/++。惡意軟件已經不局限于常規的Java與C/++了。從2014年的惡意軟件中發現使用易語言和C#開發的惡意應用。而且Android應用支持易語言、VB、C#、HTML5等眾多開發語言。這對惡意軟件查殺勢必帶來重大的難度。編程語言的多樣化將成為Android惡意軟件發展趨勢。

5.2 惡意軟件加殼技術多樣化

第2部分描述的Android惡意軟件的隱蔽性的特點外，加殼技術也是增強其隱蔽性的一項技術。近年來，更多的惡意軟件采用加殼技術躲避安全軟件的查殺。2013年到2014年僅一年的時間，加殼軟件數量就增長了約18倍，較為著名的加殼方案dexprotect和opkprotect，很可能成為惡意代碼開發的加殼方案。

5.3 傳播將突破“瓶頸”

我們在第三部分提到，Android惡意軟件傳播中呈現“啞鈴式”。因為社會工程學參與，其傳播途徑受到限制。百度移動安全實驗室已經截獲了一種跨界手機病毒。這樣的病毒，可以從遠程服務器下載病毒代碼，當手機鏈接到PC機時感染PC，如果成功感染PC，那么病毒完全可以利用PC端病毒技術，自動傳播并感染其他PC，最終實現自動感染其他手機。由于我們的手機與電腦連接次數較多，惡意軟件制造者在利益的驅使下，會向這方向發展。

6結語

移動設備的普及影響到了人們的方方面面，Android的占有率越來越高。Android系統的開放性也給其不安全性帶來某種程度上的隱患，惡意軟件制造者在經濟利益驅使下不停的制造病毒。目前，信息安全面臨著網絡安全和移動安全。二者有相同之處也有不同之處。移動安全將成為下一代安全的研究的重點。目前的移動安全只是處于初期階段，沒有很好的方案。但是從Android惡意軟件增長速度和危害程度方面看，移動安全以及不能在遲緩。最后，希望本文的一些觀點能給Android安全領域相關人員一點參考價值。也希望本文能激發Android安全研究的熱潮。

參考文獻

[1]吳澤智，陳性元，楊智 等.安卓隱私安全研究進展.計算機應用研究，2014.08 Vol.31 No.8 2241--2247.

[2] 彭國軍，李晶雯，孫潤康 等.Android 惡意軟件檢測研究與進展[J].武漢大學學報：理學版，2015.02 vol.61 No.1021-033.

[3] 邊搖悅，戴搖航，慕德俊.Android 惡意軟件特征研究[J].計算機技術與發展，2014.11 Vol.24 No11 178-181.