Android恶意软件特征及分类

针对Android的恶意软件，除了熟知的木马、病毒，还有勒索软件(ransomware)、广告(adware)和间谍软件(spyware)。

要研究Android的恶意软件，首先需要知道，软件的哪些行为算是“恶意”，什么样的软件叫“恶意软件”。

恶意软件特征

文章[1]中给出了很详细的说明，推荐仔细阅读。这里根据自己的理解总结一下。

[1]从软件安装，功能触发，负载三个方面描述了恶意软件的特征。

恶意软件是怎么被安装到手机上的

重打包

比如把“愤怒的小鸟”反编译后，植入恶意代码，再重新编译为APK提交给第三方市场。它还可能做一下代码混淆，防止静态检测。

更新包

APP动态运行时才下载恶意负载。

偷渡式下载

引诱用户访问恶意网站，并在未经用户允许的情况下下载恶意负载。

触发方式

诱导用户点击

用户直接点击，就触发了恶意负载的运行。

监听系统事件

广播机制会自动进行事件通知和函数回调。所以恶意软件通过监听系统事件，就能自动触发恶意负载。

• BOOT_COMPLETED，开机自启动
• SMS_RECEIVED，监听来自运营商的服务定制确认短信

恶意负载

主要有5类：

• 权限提升
• 远程控制
• 话费吸取
• 隐私窃取
• 自我保护

特权提升

特权提升能够突破Android的权限机制和沙箱机制，允许恶意软件执行特权操作。

远程控制

远程灵活控制，负责信息回传，更新本地恶意功能。

话费吸取

比如强行定制SP服务并从中牟利。
恶意软件还会通过过滤SP的短信，达到秘密扣费的目的。

隐私窃取

窃取短信，通讯录，通话记录，定位，拍照等功能。手机用户隐私数据，社交数据和设备数据。

自我保护

恶意软件利用代码保护技术，造成静态分析失败，反编译困难。

ProGuard可用于压缩，优化和混淆Java字节码。

恶意软件分类

根据[2]，可知Android恶意软件有不同的分类方法，下面介绍两种分类。

按传统方法分

按照传统的分类方法，恶意软件可分为：

• 木马类：这是一类多发性的恶意软件，比如
  
  • Zsone:自动发短信去订阅付费内容，从而扣除电话费
  • FakeNetflix: Netflix是一个看视频的软件。FakeNetflix会盗窃Netflix用户的账号信息，并传回Server端
  • Fakeplayer:
  • Spitmo: 被注入到银行应用中，偷盗用户的银行账号密码
  • Zitmo: 盗窃银行发送的验证码
• 病毒类
  
  • Obad: 蠕虫病毒，自我复制和传播
• 后门类
  
  • Obad: 利用Android提升权限，防止被卸载。向增值服务号码发送短信获利。既是后门，又是病毒
  • RATC: RageAgainstTheCage，adb setuid exhaustion attack，是一个Root漏洞
  • Basebridge: 它会kill掉安全应用，并发送获利短信订阅增值服务
  • Kmin: 盗取信息并传回server端
• 僵尸类
  
  • Geinimi：接受远程指令，控制移动端手机，并收集手机信息传回server端
  • AnserverBot: 接受远程指令
  • NotCompatible: 让你的手机变成一个proxy
• 间谍类软件
  
  • GPSSpy: 伪装成其他APP，上传用户的GPS信息
  • Nickyspy: 记录受害者的电话拨入拨出信息，track用户GPS信息，向其它号码发送短信
• 恐吓类软件
  
  • Koler: 显示信息，告诉用户你不交钱就要把你送进监狱
• 勒索类软件
  
  • Fakedefender.B: 显示安全报警信息，说服用户购买服务来删除不存在的malware
• 广告类软件
  
  • Uapush.APP: 广告软件+偷窃设备信息
• 跟踪类软件
  
  • SMSTracker

也有根据Android恶意软件的特征来进行分类的：

• 恶意软件安装
  
  • 重打包
  • 更新攻击
  • 诱惑下载
• 恶意软件运行
• 恶意载荷
  
  • 提权攻击
  • 远程控制
  • 付费
  • 信息收集
• 权限使用

2015年Top10恶意软件

• Android.Lotoor(36.8%): 利用漏洞来获取root权限
• Android.RevMob(10.0%): 广告库
• Android.Malapp(6.1%): 弹出广告，诱导你进入不安全网站
• Android.Fakebank.B(5.4%): 偷盗信息
• Android.Generisk(5.2%): 暴露隐私、安全、稳定性risk
• Android.AdMob(3.3%): 广告库
• Android.Iconosis(3.1%): 偷盗你的联系人、图片，track你的位置，访问短息，log你的按键按下信息，发送短信订阅高额服务，
• Android.Opfake(2.7%): 发送短信订阅增值服务
• Android.Premiumtext(2.0%): 发送短信订阅增值服务，被重打包过
• Android.Basebridge(1.7%): 发送短信订阅增值服务，还会kill掉安全应用

参考

• [1] Android恶意软件检测研究与进展_彭国军
• [2] Android安全研究进展_卿斯汉
• [3] 2016 Internet Security Threat Report, https://www.symantec.com/security-center/threat-report