管飛詩 徐夫田

摘要：Android的流行使其成為眾多的惡意軟件攻擊的目標，Android惡意軟件以驚人的速度增長。為更好的了解Android病毒特點及其進化演變方向，本文對近4年的35個Android惡意家族，350個惡意樣例進行定性定量分析。結合目前國內外學者對Android惡意軟件研究進展，從Android平臺下的惡意軟件的表現(xiàn)（包括侵入手機前后的各種表現(xiàn)），以及Android惡意軟件隱蔽性、重新打包、更新攻擊各個方面進行描述，對這350個惡意樣例的特性得出一定的結論，并對Android惡意軟件進化的趨勢做出了理性的預測。從Android病毒編程語言多樣化、查殺加殼化以及傳播“瓶頸”方面做出預測。得出今后Android惡意軟件趨向編程語言多樣化、“加殼”技術高深化、傳播途徑跨平臺化等結論。希望本文得出的有關結論和預測對于Android安全相關研究人員提供一定的參考意義。

關鍵詞：Android 惡意軟件 惡意家族 Android安全 定量分析

中圖分類號：TP39 文獻標識碼：A 文章編號：1007-9416（2016）05-0000-00

1 引言

智能手機近幾年的飛速增長，不僅日常生活越來越依賴其提供方便快捷的功能，甚至已經滲透到了政府、醫(yī)療、軍事等重要行業(yè)。2007年11月，Google發(fā)布了安卓系統(tǒng)，2011年第一季度，安卓在全球份額超過了塞班系統(tǒng)，躍居全球第一。2012年11月，安卓在全球智能手機操作系統(tǒng)市場占有率為76%，在中國市場占有率有90%，正因為如此。安卓成為許多惡意軟件的攻擊目標，而中國受災程度較為嚴重。2014年全球中Android病毒的手機共2.8億部，平均每天80萬Android手機中毒。中國以近1.2億部手機中毒高居全球榜首。在2014年Google Android安全報告中特別指出中國Android手機的受害程度。

2014年Android用戶量達到20億。Android系統(tǒng)在智能手機系統(tǒng)的市場占有率達到84%。來自中國大陸地區(qū)百度移動安全實驗室、騰訊移動安全實驗室、獵豹移動安全實驗室、360移動安全實驗室的數(shù)據報告，Android惡意軟件每年增長速度超過100%，甚至更高。其嚴重性可見明顯。智能手機惡意軟件已經成為人們不得不關注的一個問題，手機惡意軟件對人們的生活造成極大的影響，甚至能引起社會另一些問題。

鑒于Android巨大的市場發(fā)展?jié)摿捌涿媾R的嚴重安全問題。本文隨機抽取了近4年的35個Android惡意家族、350個惡意樣例。對其進行定性定量分析。分析出惡意軟件特性，并對惡意軟件進化進行了理性的預測。為Android安全研究人員提供一定的參考價值。

本文其他部分的組織如下，第一部分數(shù)據采集---惡意軟件時間表。第二部分，Android平臺下的惡意軟件行為。第三部分，惡意軟件特性分析。第四部分，惡意軟件進化預測。第五部分對本文進行了總結。

2惡意軟件時間表

在表1中，我們展示了35個Android惡意軟件家族，并附帶其發(fā)現(xiàn)時間。這些書籍來自中國大陸地區(qū)手機病毒防御公司。它們分別以安全公告、威脅報告或以blog形式公示出來。我們精心的收集在一起，數(shù)據采集中既有隨機性也也有針對性，體現(xiàn)了數(shù)據的可信性。數(shù)據采集時間跨度達4年之久。從2011年6月開始，截止到2015年3月。每個惡意家族并相應收集了10個惡意軟件樣例。這些樣例既有來自官方也有來自Android 應用市場。（樣例為隨機抽?。?/p>

為更好的展示惡意軟件增長速度，我們用下面幾張圖表展示近幾年Android惡意軟件增長的速度及規(guī)模。

3 Android平臺下的惡意軟件的行為表現(xiàn)

Android惡意軟件與pc惡意軟件既有相同之處也有不同之處。在該部分我們討論下Android平臺下的惡意軟件的行為表現(xiàn)。

3.1惡意軟件的侵入前的行為表現(xiàn)方式

目前，Android惡意軟件主要有兩種侵入手平臺的方式，這兩種方式分別如下：

（1） 特洛伊 app：網絡黑客，首先將手機APP從APP市場上下載下來，然后重新對APP進行第二次修改。在修改時，將惡意代碼嵌入到APP中，對其封裝完畢后上傳到APP下載網點。

（2）惡意APP：網絡黑客將惡意軟件偽裝成比較流行的手機APP，然后將其上傳到手機APP市場。

3.2 惡意軟件侵入手機后的表現(xiàn)形式

（1）病毒：手機病毒是一種缺乏自我復制能力但具有破壞力的惡意程序。

（2）蠕蟲：能控制系統(tǒng)漏洞的惡意代碼或者利用網絡自動復制到另外一系統(tǒng)的惡意程序。

（3）特洛伊木馬：未經授權訪問或者未經必須的操作遠程訪問系統(tǒng)內部資源。

（4）間諜或廣告軟件：在未經用戶授權的情況下，收集用戶信息或者破壞用戶系統(tǒng)。

（5）釣魚應用程序：偽裝成合法的站點，該站點包含手機釣魚程序可以盜取用戶的數(shù)據憑證。這種程序直到安裝或者被感染后才被發(fā)現(xiàn)。

（6）感染后的癥狀：一些莫名其妙的行為、機器性能下降，例如冰凍應用程序、重啟失敗、網絡裂解困難等。耗費電池或者處理能源，攻擊瀏覽器。在未授權的情況下亂發(fā)短信、撥打電話，甚至使手機成為“磚機”。

綜上所述。Android惡意軟件對手機平臺的攻擊方式和變現(xiàn)形式大體就這樣。當然新型的Android惡意軟件在不斷產生在進化。目前智能手機用戶的數(shù)據被侵入的惡意軟件收集或者盜取，不管是商業(yè)還是個人之智能手機用戶都可能難免于惡意軟件的侵入。這些惡意軟件對手機造成的影響可分為監(jiān)控、偵測、追蹤和警告。有的學著也概括為MDTN（monitoring、detecting、tracking、notification）。由于篇幅問題，我們對這四種行為不再過多的描述。

4 Android惡意軟件特性特點分析

在該部分中，我們進行對第一部分35個惡意家族350個惡意樣例分析。并從不同的角度分析，分析惡意軟件的特性特點。

4.1 隱蔽性

隱蔽性是Android惡意軟件的一重要的特性。通過對350個樣例手動分析，結合國內外學者對Android惡意軟件分析研究，我們從Android惡意軟件重新打包、更新攻擊、強迫下載等方面介紹Android惡意軟件的隱蔽性。

4.1.1重新打包

重新打包是Android惡意軟件的一個重要的特點，也是最主要的搭載技術。惡意軟件制作者通過此項技術將惡意軟件搭載進流行的應用程序中。通常，惡意軟件制作者將當前市場上最流行的APP下載到本地，對其進行反編譯，搭載他們制作的惡意程序，進行完整封裝。重新打包完整后，再次上傳到官方或者Android APP 市場。用戶在不知情的情況下下載重新打包的惡意APP，下載到手機后，進行安裝，從而感染病毒。

在所采集的350個樣例中，諸多重新打包的惡意軟件，包括付費的APP、著名的游戲APP、功能強大的工具APP，也包含色情相關的APP。比如編號10的anserverbot惡意軟件樣例重新打包成一款收費APP在mxmotor.camelgames.com的官方Android APP市場可以獲取到。據有關文獻統(tǒng)計重新打包的惡意軟件達到80%以上。[3]

4.1.2更新攻擊

更新攻擊相比重新打包技術更為高深，它高深之處在于它加大了被發(fā)現(xiàn)的難度。特別是，它可能還重新打包在流行的APP中，但是與封裝整個有效負載相比，它只是包含了更新了部分組件部分。在運行時，將讀取或下載該惡意的負載組件。這樣，靜態(tài)的手機掃描APP有可能捕捉不到惡意負載。從而造成惡意軟件的縱意惡行。在我們的數(shù)據采集中，編號1basebridge就是上述的惡意的家族，后來的DroidKongFu更新版層出不窮，都屬于該描述的家族。

4.1.3強迫下載

第三種技術是傳統(tǒng)的攻擊手段------強迫下載。它不直接攻擊手機瀏覽器的漏洞。但本質上是誘惑用戶下載“趣味”或者“功能豐富”的APP。有一款叫zitmo惡意軟件（不在本文數(shù)據采集中），就是這樣的惡意軟件。該款軟件誘惑用戶下載后，盜取用戶手機中與銀行數(shù)據有關的信息，對用戶直接造成經濟損失。

Android惡意軟件的隱蔽性造成眾多的手機被感染，重新打包、更新攻擊、強迫下載是Android惡意軟件最主要的攻擊方式，也是最隱蔽的體現(xiàn)之處。Android惡意軟件在不斷的更新不斷進化，其隱蔽性將會越來越深。

4.2經濟目的性

經濟目的性是Android惡意軟件的又一特性。Android惡意軟件不同于電腦惡意軟件。Android惡意軟件的經濟目的性很強。電腦惡意軟件大部分是導致系統(tǒng)癱瘓，Android惡意軟件的目的就是獲取經濟利益。惡意扣費、資費消耗、手機支付、獲取銀行卡信息等各種方式進行金錢的獲取。來自百度移動安全、騰訊移動安全實驗室、金山移動安全實驗室、獵豹移動安全實驗室的數(shù)據，直接或間接的盜取費用類型的Android惡意軟件達到60%以上，這些數(shù)據不包括其他形式造成的經濟損失。保守估計，該類惡意軟件已經高于70%，甚至更高。 4.3傳播中呈現(xiàn)“啞鈴”性

在圖片1中我們可以看出。惡意軟件制造和惡意軟件危害都很嚴重，是“啞鈴”的兩個大頭。而惡意軟件傳播由于受到社會工程學的束縛，很大程度上受到了限制。

惡意軟件制造者在經濟利益驅動下，瘋狂制造手機病毒。而且Android手機惡意軟件制造技術門檻低，這就進一步加劇了病毒制造的泛濫。

然而，病毒在傳播上，由于目前主要的惡意傳播手段都需要社會工程學的參與，偽裝成流行應用，誘騙誘導用戶下載惡意軟件，不能像pc病毒那樣自動感染其他軟件和自動傳播。所以手機惡意軟件在傳播上受到了限制。這也是目前手機還沒有大規(guī)模爆發(fā)像“梅麗莎”那樣病毒的重要原因。

4.4其他特性

Android惡意軟件除了上述幾大特性外，還有幾個其他的特性。盜取用戶隱私信息也是Android惡意軟件的一重大的特性，利用用戶的隱私，制造很多的家庭問題、社會問題，造成家庭破裂、造成局部社會不安定等一些嚴重問題。另外呈現(xiàn)月份性、地域性也是Android惡意軟件的一些特性。在眾多的移動安全報告中指出，6月份Android惡意軟件出現(xiàn)較為嚴重，在地域性方便表現(xiàn)在中國大陸地區(qū)的廣州、北京地區(qū)受害程度較為嚴重。

5 Android惡意軟件進化預測

事物不斷往新的方向發(fā)展。Android惡意軟件也不例外。盡管安全工作者在努力的排除這些惡意軟件，但惡意軟件不停的發(fā)展，也不停的進化。我們在分析這350個樣例的時候，也進行了理性的預測。

5.1 編程語言多樣化

Android應用支持多種開發(fā)語言，除了常規(guī)的Java與C/++。惡意軟件已經不局限于常規(guī)的Java與C/++了。從2014年的惡意軟件中發(fā)現(xiàn)使用易語言和C#開發(fā)的惡意應用。而且Android應用支持易語言、VB、C#、HTML5等眾多開發(fā)語言。這對惡意軟件查殺勢必帶來重大的難度。編程語言的多樣化將成為Android惡意軟件發(fā)展趨勢。

5.2 惡意軟件加殼技術多樣化

第2部分描述的Android惡意軟件的隱蔽性的特點外，加殼技術也是增強其隱蔽性的一項技術。近年來，更多的惡意軟件采用加殼技術躲避安全軟件的查殺。2013年到2014年僅一年的時間，加殼軟件數(shù)量就增長了約18倍，較為著名的加殼方案dexprotect和opkprotect，很可能成為惡意代碼開發(fā)的加殼方案。

5.3 傳播將突破“瓶頸”

我們在第三部分提到，Android惡意軟件傳播中呈現(xiàn)“啞鈴式”。因為社會工程學參與，其傳播途徑受到限制。百度移動安全實驗室已經截獲了一種跨界手機病毒。這樣的病毒，可以從遠程服務器下載病毒代碼，當手機鏈接到PC機時感染PC，如果成功感染PC，那么病毒完全可以利用PC端病毒技術，自動傳播并感染其他PC，最終實現(xiàn)自動感染其他手機。由于我們的手機與電腦連接次數(shù)較多，惡意軟件制造者在利益的驅使下，會向這方向發(fā)展。

6結語

移動設備的普及影響到了人們的方方面面，Android的占有率越來越高。Android系統(tǒng)的開放性也給其不安全性帶來某種程度上的隱患，惡意軟件制造者在經濟利益驅使下不停的制造病毒。目前，信息安全面臨著網絡安全和移動安全。二者有相同之處也有不同之處。移動安全將成為下一代安全的研究的重點。目前的移動安全只是處于初期階段，沒有很好的方案。但是從Android惡意軟件增長速度和危害程度方面看，移動安全以及不能在遲緩。最后，希望本文的一些觀點能給Android安全領域相關人員一點參考價值。也希望本文能激發(fā)Android安全研究的熱潮。

參考文獻

[1]吳澤智，陳性元，楊智 等.安卓隱私安全研究進展.計算機應用研究，2014.08 Vol.31 No.8 2241--2247.

[2] 彭國軍，李晶雯，孫潤康 等.Android 惡意軟件檢測研究與進展[J].武漢大學學報：理學版，2015.02 vol.61 No.1021-033.

[3] 邊搖悅，戴搖航，慕德俊.Android 惡意軟件特征研究[J].計算機技術與發(fā)展，2014.11 Vol.24 No11 178-181.