Android平臺(tái)下木馬檢測(cè)技術(shù)的研究與實(shí)現(xiàn)*

吳 勇，李永忠

（江蘇科技大學(xué) 計(jì)算機(jī)學(xué)院，江蘇 鎮(zhèn)江 212003）

0 引 言

Android作為市場(chǎng)占有率最大的移動(dòng)操作平臺(tái)，由于其開源特性，正頻繁遭受不法分子的惡意攻擊。2017年5月11日，360發(fā)布的《2017年中國(guó)手機(jī)安全風(fēng)險(xiǎn)報(bào)告》指出，2017年第一季度，360互聯(lián)網(wǎng)安全中心共截獲Android平臺(tái)新增惡意程序樣本222.8萬個(gè)，平均每天截獲新增手機(jī)惡意程序樣本近2.5萬個(gè)。木馬因其良好的隱藏性﹑欺騙性和破壞性，已成為攻擊Android平臺(tái)的主要手段，而由木馬造成的危害也越來越嚴(yán)重。因此，研究Android平臺(tái)下的木馬檢測(cè)技術(shù)意義重大。

目前，特征碼檢測(cè)是最成熟﹑最有效的木馬檢測(cè)技術(shù)。本文充分利用其誤報(bào)率低的優(yōu)點(diǎn)，同時(shí)為規(guī)避其無法防范未知惡意軟件的缺點(diǎn)，結(jié)合權(quán)限檢測(cè)，設(shè)計(jì)了一個(gè)基于Android平臺(tái)的木馬檢測(cè)系統(tǒng)，實(shí)現(xiàn)了木馬檢測(cè)功能。

1 Android系統(tǒng)架構(gòu)

Android系統(tǒng)采用分層架構(gòu)，由高到低分為4層，依次是應(yīng)用程序?qū)樱ˋpplications）﹑應(yīng)用程序框架層（Application Framework）﹑系統(tǒng)運(yùn)行庫(kù)層（Libraries）和Linux內(nèi)核層（Linux Kernel），如圖1所示。

圖1 Android系統(tǒng)架構(gòu)

應(yīng)用程序?qū)影撕诵膽?yīng)用程序，手機(jī)上的應(yīng)用程序都屬于這一層，如系統(tǒng)自帶的聯(lián)系人程序﹑短信程序等。應(yīng)用程序框架層主要提供構(gòu)建應(yīng)用程序時(shí)用到的各種API。Android自帶的一些核心應(yīng)用就是使用這些API完成的，如視圖（Views）﹑活動(dòng)管理器（Activity Manager）等。系統(tǒng)運(yùn)行庫(kù)層包含系統(tǒng)庫(kù)和Android運(yùn)行環(huán)境，主要是通過C/C++庫(kù)來為Android系統(tǒng)提供主要的特性支持。Linux內(nèi)核層為Android設(shè)備的各種硬件提供了底層的驅(qū)動(dòng)，如顯示驅(qū)動(dòng)﹑音頻驅(qū)動(dòng)﹑藍(lán)牙驅(qū)動(dòng)和電源管理驅(qū)動(dòng)等[1]。

2 Android木馬介紹

2.1 木馬的概念

木馬是一個(gè)基于遠(yuǎn)程控制的程序，由客戶端和服務(wù)端兩部分組成。客戶端部署在互聯(lián)網(wǎng)側(cè)，服務(wù)端以手機(jī)應(yīng)用的形式植入到手機(jī)終端。木馬的攻擊方法是通過客戶端向服務(wù)端發(fā)送控制命令，服務(wù)端接收到控制命令后，在目標(biāo)手機(jī)終端上執(zhí)行相應(yīng)的惡意行為[2]。現(xiàn)如今，Android平臺(tái)下，木馬可以竊取并上傳用戶隱私信息﹑控制后臺(tái)錄音﹑攝像等，基本架構(gòu)如圖2所示。

圖2 Android木馬架構(gòu)

2.2 木馬的傳播途徑

木馬主要通過網(wǎng)絡(luò)﹑短信﹑彩信的方式傳播。它們偽裝成移動(dòng)客戶端應(yīng)用程序，誘導(dǎo)用戶訪問并下載安裝[3]。手機(jī)資源站﹑軟件捆綁是木馬傳播的主要途徑。一些手機(jī)資源網(wǎng)站缺乏對(duì)惡意程序的監(jiān)管鑒別機(jī)制，導(dǎo)致下載時(shí)更易感染木馬。而軟件捆綁則是不法分子通過植入惡意代碼或惡意廣告插件捆綁知名軟件進(jìn)行二次打包，造成用戶大規(guī)模感染。隨著手機(jī)網(wǎng)上支付的盛行，二維碼也逐漸成為木馬傳播的新途徑，并占據(jù)較大比例。各大電子市場(chǎng)作為用戶下載APP的主力市場(chǎng)，更是木馬傳播的主要風(fēng)險(xiǎn)渠道。騰訊發(fā)布的《2017年第一季度手機(jī)木馬渠道來源比例》，如圖3所示。

圖3 2017年第一季度手機(jī)木馬渠道來源比例

2.3 木馬的惡意行為

木馬在Android平臺(tái)下運(yùn)行時(shí)通過各種技術(shù)隱藏自身，使得設(shè)備終端不斷受其控制，給用戶的生活和經(jīng)濟(jì)造成了嚴(yán)重危害。目前，它的主要惡意行為如下。

（1）資費(fèi)消耗：以廣告推銷﹑自動(dòng)撥號(hào)等手段，增加用戶的額外資費(fèi)來牟取暴利。這類惡意行為較隱秘，難以被用戶發(fā)現(xiàn)，可以長(zhǎng)期潛伏在手機(jī)中，不斷造成話費(fèi)﹑流量的損失。

（2）隱私竊取：竊取用戶的短信﹑通話﹑地理位置﹑賬號(hào)密碼等一系列隱私信息，并將信息發(fā)送到遠(yuǎn)端服務(wù)器[4]。

（3）流氓行為：誘導(dǎo)用戶下載安裝惡意軟件或?qū)阂獬绦虼虬秸?yīng)用中，而用戶無法將其刪除和卸載，影響手機(jī)的正常使用。

（4）惡意扣費(fèi)：偽裝成游戲﹑播放器等誘使用戶下載安裝，一旦安裝，通過對(duì)外發(fā)送短信或聯(lián)網(wǎng)訂購(gòu)，在用戶不知情或虛假描述下，直接訂購(gòu)SP付費(fèi)業(yè)務(wù)，給用戶造成經(jīng)濟(jì)損失。

3 Android木馬檢測(cè)技術(shù)

目前，針對(duì)Android平臺(tái)木馬檢測(cè)的主流技術(shù)有特征碼檢測(cè)法﹑啟發(fā)式檢測(cè)法﹑行為檢測(cè)法和完整性檢測(cè)法。下面將對(duì)每種檢測(cè)技術(shù)進(jìn)行分析。

3.1 特征碼檢測(cè)法

特征碼檢測(cè)法是一種簡(jiǎn)單有效的木馬檢測(cè)技術(shù)。它首先收集大量已知木馬樣本，然后從中提取若干唯一﹑典型的字節(jié)作為某種木馬及其變種的特征碼，從而構(gòu)建特征庫(kù)對(duì)木馬進(jìn)行查殺[5]。若掃描文件的特征值與特征庫(kù)中的特征碼匹配，則判定目標(biāo)程序是木馬程序，并指出是何種木馬。該技術(shù)必須不斷更新特征庫(kù)，獲悉未知木馬提高查殺率。

3.2 啟發(fā)式檢測(cè)法

啟發(fā)式檢測(cè)法是將木馬分析過程中獲得的一些統(tǒng)計(jì)的﹑靜態(tài)的啟發(fā)知識(shí)，運(yùn)用到特征碼檢測(cè)上的一種反木馬檢測(cè)技術(shù)。它是一種先驗(yàn)的程序行為預(yù)測(cè)方法，通過對(duì)程序文件進(jìn)行反匯編，再對(duì)程序指令序列進(jìn)行分析，從而判斷程序是否具有惡意的行為意圖[6]。該技術(shù)在掃描系統(tǒng)的基礎(chǔ)上，要能夠辨別程序指令序列，實(shí)現(xiàn)過程相對(duì)復(fù)雜。

3.3 行為檢測(cè)法

行為檢測(cè)法是通過監(jiān)控程序在系統(tǒng)中的運(yùn)行，根據(jù)其行為判斷是否具有惡意企圖的檢測(cè)技術(shù)。當(dāng)木馬程序植入手機(jī)后，使用行為檢測(cè)工具實(shí)時(shí)監(jiān)控該程序操作，并將其與安全行為策略作比較。當(dāng)某些行為與安全策略相悖時(shí)，則終止該程序的執(zhí)行，并給用戶以提示。該技術(shù)適用于已被木馬感染的系統(tǒng)，但誤報(bào)率較高。

3.4 完整性檢測(cè)法

完整性檢測(cè)法是根據(jù)木馬入侵時(shí)會(huì)將惡意代碼植入文件的這一特性來判斷木馬入侵的檢測(cè)技術(shù)。植入是木馬發(fā)揮作用的前提。它一般依附或寄生在其他正常的程序或文件中，導(dǎo)致正常的程序或文件發(fā)生諸如大小增加﹑更新日期被修改等變化。該技術(shù)通過記錄系統(tǒng)正常文件相關(guān)屬性信息，計(jì)算正常文件內(nèi)容的校驗(yàn)和。當(dāng)每次打開該文件前，根據(jù)文件當(dāng)前內(nèi)容算出校驗(yàn)和，并與正常值作對(duì)比。若二者不一致，則判斷文件被感染[7]。但是，文件內(nèi)容的改變也有可能是因?yàn)檐浖漏p運(yùn)行參數(shù)變動(dòng)等，因此該技術(shù)存在誤報(bào)。

3.5 幾種技術(shù)的比較

綜上，四種檢測(cè)技術(shù)原理各異，又各具優(yōu)缺點(diǎn)。特征碼檢測(cè)法技術(shù)成熟，使用最廣泛，檢測(cè)最準(zhǔn)確，誤報(bào)率最低，但需要頻繁更新特征庫(kù)，無法檢測(cè)未知木馬。啟發(fā)式檢測(cè)法在一定程度上能檢測(cè)未知木馬，但存在誤報(bào)，對(duì)系統(tǒng)性能要求較高。行為檢測(cè)法能防范未知木馬的攻擊，但存在誤報(bào)，可能系統(tǒng)實(shí)際已被感染。完整性檢測(cè)法能發(fā)現(xiàn)未知木馬，但誤報(bào)率較高，需要手機(jī)空間存儲(chǔ)量大。

4 Android木馬檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

目前，移動(dòng)終端的網(wǎng)絡(luò)傳輸速率不夠理想。由于環(huán)境變化會(huì)對(duì)其穩(wěn)定性造成影響，而特征碼檢測(cè)法對(duì)網(wǎng)絡(luò)傳輸?shù)男枨筝^少，技術(shù)成熟有效，誤報(bào)率低，故本文選擇特征碼檢測(cè)法作為木馬檢測(cè)系統(tǒng)的核心。為了解決該技術(shù)對(duì)未知木馬漏檢的情況，本文結(jié)合權(quán)限檢測(cè)技術(shù)，對(duì)應(yīng)用程序的權(quán)限進(jìn)行檢測(cè)，并與敏感權(quán)限進(jìn)行比較，從而鑒別應(yīng)用的安全性，增強(qiáng)木馬檢測(cè)效率。

4.1 系統(tǒng)整體架構(gòu)

該系統(tǒng)主要分為5個(gè)模塊：文件掃描模塊﹑特征碼匹配模塊﹑權(quán)限掃描模塊﹑敏感權(quán)限匹配模塊和結(jié)果顯示模塊。系統(tǒng)整體架構(gòu)如圖4所示。

圖4 系統(tǒng)整體架構(gòu)

4.2 文件掃描模塊

Android應(yīng)用程序主要由Java語言編寫，編譯后會(huì)生成APK文件。APK文件是zip格式的壓縮包。文件掃描模塊首先遍歷系統(tǒng)中的文件，判斷其是否是壓縮形式。如果是，進(jìn)行解壓縮操作，然后對(duì)掃描的APK文件提取特征值，并傳遞給特征碼匹配模塊。該模塊工作流程圖如圖5所示。

圖5 文件掃描模塊工作流程

4.3 特征碼匹配模塊

該模塊將掃描文件的特征碼與特征庫(kù)中的特征碼進(jìn)行匹配。若匹配成功，則判定該掃描文件為可疑木馬文件，并輸出其路徑和名稱信息；否則，輸出未發(fā)現(xiàn)可疑木馬程序。該模塊工作流程圖如圖6所示。

圖6 特征碼匹配模塊工作流程

4.4 權(quán)限掃描模塊

正常情況下，Android系統(tǒng)中的應(yīng)用程序無法對(duì)系統(tǒng)以及其他應(yīng)用資源進(jìn)行訪問。如果應(yīng)用程序在系統(tǒng)運(yùn)行時(shí)需要對(duì)一個(gè)有權(quán)限保護(hù)的功能進(jìn)行訪問，那么必須在Android Manifest.xml中使用標(biāo)簽聲明需求的權(quán)限信息[8]。例如，一個(gè)申請(qǐng)“讀取用戶聯(lián)系人信息”權(quán)限的聲明形式如下：

XML文件中的節(jié)點(diǎn)記錄了應(yīng)用程序的權(quán)限，本模塊就是對(duì)被掃描應(yīng)用程序的權(quán)限信息進(jìn)行記錄。

4.5 敏感權(quán)限匹配模塊

Android權(quán)限管理機(jī)制對(duì)應(yīng)用程序可以執(zhí)行的操作在權(quán)限方面進(jìn)行了嚴(yán)格控制。根據(jù)訪問資源﹑系統(tǒng)API的不同，Android系統(tǒng)共封裝了145個(gè)權(quán)限[9]。該模塊對(duì)封裝的所有權(quán)限中涉及用戶隱私﹑資費(fèi)耗損等敏感權(quán)限進(jìn)行統(tǒng)計(jì)，形成敏感權(quán)限庫(kù)。然后，將掃描文件的權(quán)限集與之對(duì)比，當(dāng)應(yīng)用包含敏感權(quán)限時(shí)，判定為具有威脅性的木馬程序。

綜上，權(quán)限檢測(cè)的工作流程圖如圖7所示。

圖7 權(quán)限檢測(cè)工作流程

5 實(shí)驗(yàn)對(duì)比分析

Android木馬檢測(cè)系統(tǒng)的實(shí)現(xiàn)，如圖8所示。

圖8 Android木馬檢測(cè)系統(tǒng)實(shí)現(xiàn)

為評(píng)估本文設(shè)計(jì)的Android木馬檢測(cè)系統(tǒng)的工作效率，特將其與著名的Android惡意軟件靜態(tài)分析工具Androguard進(jìn)行實(shí)驗(yàn)對(duì)比。實(shí)驗(yàn)從國(guó)內(nèi)各大安全論壇上收集了200個(gè)木馬樣本，其中涉及吸費(fèi)﹑隱私﹑惡意廣告等惡意行為。實(shí)驗(yàn)結(jié)果如表1所示。

表1 本系統(tǒng)與Androguard對(duì)比

由表1可以看出，本文設(shè)計(jì)的Android木馬檢測(cè)系統(tǒng)的檢測(cè)率明顯優(yōu)于Androguard。Androguard采用特征碼掃描技術(shù)只能對(duì)已知木馬程序進(jìn)行檢測(cè)，而本文結(jié)合權(quán)限檢測(cè)，能對(duì)未知木馬檢測(cè)能力有一定補(bǔ)充，達(dá)到了設(shè)計(jì)的預(yù)期目標(biāo)。同時(shí)，不斷優(yōu)化權(quán)限預(yù)警模型，實(shí)現(xiàn)更加準(zhǔn)確有效檢測(cè)，將是下一步的研究重點(diǎn)。

6 結(jié) 語

本文使用特征碼檢測(cè)與權(quán)限檢測(cè)相結(jié)合的方案，設(shè)計(jì)并實(shí)現(xiàn)了Android平臺(tái)下的木馬檢測(cè)系統(tǒng)。經(jīng)實(shí)驗(yàn)對(duì)比分析可控制，該系統(tǒng)能彌補(bǔ)特征碼掃描法對(duì)未知木馬漏檢的缺陷，一定程度上提高了木馬檢測(cè)效率。但是，權(quán)限預(yù)警機(jī)制還不夠完善，下一步需要改進(jìn)敏感權(quán)限的劃分方式，以期實(shí)現(xiàn)更好的檢測(cè)效果。

[1] 郭霖.第一行代碼——Android[M].第2版.北京:人民郵電出版社,2016.

GUO Lin.The First Line of Code-Android[M].Second Edition.Beijing:People's Posts and Telecommunications Press,2016.

[2] 董蕾,黃淑華,尹浩然等.基于Android平臺(tái)的手機(jī)木馬關(guān)鍵技術(shù)分析[J].技術(shù)研究,2012(11):63-65.

DONG Lei,HUANG Shu-hua,YIN Hao-ran,et al.The Key Technical Analysis of Mobile Trojan Horse Based on Android Platform[J].Technology Research,2012(11):63-65.

[3] 康志博.基于Android平臺(tái)的木馬機(jī)理與檢測(cè)技術(shù)研究[D].北京:北京郵電大學(xué),2014.

KANG Zhi-bo.Research on Trojan Mechanism and Detection Technology Based on Android Platform[D].Beijing:Beijing University of Posts and Telecommunications,2014.

[4] 曹歡歡,李永忠.Android平臺(tái)下的安全檢測(cè)軟件的設(shè)計(jì)與實(shí)現(xiàn)[J].電子設(shè)計(jì)工程,2015(12):141-144.

CAO Huan-huan,LI Yong-zhong.The Design and Implementation of Security Detection Software Under Android Platform[J].Electronic Design Engineering,2015(12):141-144.

[5] 夏彬,邱峰.基于Android的木馬檢測(cè)引擎的研究與實(shí)現(xiàn)[J].電信科學(xué),2016(10):36-41.

XIA Bin,QIU Feng.Research and Realization of the Trojan Detection Engine Based on Android[J].Telecommunications Science,2016(10):36-41.

[6] 莫宇祥,俞建鑾,王磊等.基于角色的Android手機(jī)平臺(tái)木馬檢測(cè)系統(tǒng)[J].現(xiàn)代計(jì)算機(jī),2011(12):51-55.

MO Yu-xiang,YU Jian-luan,WANG Lei,et al.The Trojan Detection System of Android Mobile Platform Based on Role[J].Modern Computer,2011(12):51-55.

[7] 佟得天.基于行為分析的Android手機(jī)木馬檢測(cè)技術(shù)研究[D].廣州:中山大學(xué),2012.

TONG De-tian.Study on Android Mobile Phone Trojan Detection Based on Behavior Analysis[D].Sun Yat-sen University,2012.

[8] 孟康,周小兵,韓強(qiáng).基于Android簽名及敏感權(quán)限分組的安全檢測(cè)系統(tǒng)[J].云南民族大學(xué)學(xué)報(bào):自然科學(xué)版,2015,24(05):418-421.

MENG Kang,ZHOU Xiao-bing,HAN Qiang.A Safety Detection System Based on Android Signature and Sensitive Grouping Permissions[J].Journal of Yunnan Nationalities University(Natural Science Edition),2015,24(05):418-421.

[9] 祝小蘭,王俊峰,杜垚等.基于敏感權(quán)限及其函數(shù)調(diào)用圖的Android惡意代碼檢測(cè)[J].四川大學(xué)學(xué)報(bào):自然科學(xué)版,2016,53(03):526-533.

ZHU Xiao-lan,WANG Jun-feng,DU Yao,et al.Detecting Android Malware Based on Sensitive Permissions and Function-call Graphs[J].Journal of Sichuan University(Natural Science Edition),2016,53(03):526-533.