Android恶意软件的行为总结
针对Android的恶意软件,除了熟知的木马、病毒,还有勒索软件(ransomware)、广告(adware)和间谍软件(spyware)。
要研究Android的恶意软件,首先需要知道,软件的哪些行为算是“恶意”,什么样的软件叫“恶意软件”。
恶意软件特征
文章[1]中给出了很详细的说明,推荐仔细阅读。这里根据自己的理解总结一下。
[1]从软件安装,功能触发,负载三个方面描述了恶意软件的特征。
恶意软件是怎么被安装到手机上的
重打包
比如把“愤怒的小鸟”反编译后,植入恶意代码,再重新编译为APK提交给第三方市场。它还可能做一下代码混淆,防止静态检测。
更新包
APP动态运行时才下载恶意负载。
偷渡式下载
引诱用户访问恶意网站,并在未经用户允许的情况下下载恶意负载。
触发方式
诱导用户点击
用户直接点击,就触发了恶意负载的运行。
监听系统事件
广播机制会自动进行事件通知和函数回调。所以恶意软件通过监听系统事件,就能自动触发恶意负载。
BOOT_COMPLETED,开机自启动
SMS_RECEIVED,监听来自运营商的服务定制确认短信
恶意负载
主要有5类:
- 权限提升
- 远程控制
- 话费吸取
- 隐私窃取
- 自我保护
特权提升
特权提升能够突破Android的权限机制和沙箱机制,允许恶意软件执行特权操作。
远程控制
远程灵活控制,负责信息回传,更新本地恶意功能。
话费吸取
比如强行定制SP服务并从中牟利。
恶意软件还会通过过滤SP的短信,达到秘密扣费的目的。
隐私窃取
窃取短信,通讯录,通话记录,定位,拍照等功能。手机用户隐私数据,社交数据和设备数据。
自我保护
恶意软件利用代码保护技术,造成静态分析失败,反编译困难。
ProGuard可用于压缩,优化和混淆Java字节码。
恶意软件分类
Android恶意软件有不同的分类方法,下面介绍两种分类。
按传统方法分
按照传统的分类方法,恶意软件可分为:
- 木马类:这是一类多发性的恶意软件,比如
- Zsone:自动发短信去订阅付费内容,从而扣除电话费
- FakeNetflix: Netflix是一个看视频的软件。FakeNetflix会盗窃Netflix用户的账号信息,并传回Server端
- Fakeplayer:恶意使用用户的流量
- Spitmo: 被注入到银行应用中,偷盗用户的银行账号密码
- Zitmo: 盗窃银行发送的验证码
- 病毒类
- Obad: 蠕虫病毒,自我复制和传播
- 后门类
- Obad: 利用Android提升权限,防止被卸载。向增值服务号码发送短信获利。既是后门,又是病毒
- RATC: RageAgainstTheCage,adb setuid exhaustion attack,是一个Root漏洞
- Basebridge: 它会kill掉安全应用,并发送获利短信订阅增值服务
- Kmin: 盗取信息并传回server端
- 僵尸类
- Geinimi:接受远程指令,控制移动端手机,并收集手机信息传回server端
- AnserverBot: 接受远程指令
- NotCompatible: 让你的手机变成一个proxy
- 间谍类软件
- GPSSpy: 伪装成其他APP,上传用户的GPS信息
- Nickyspy: 记录受害者的电话拨入拨出信息,track用户GPS信息,向其它号码发送短信
- 恐吓类软件
- Koler: 显示信息,告诉用户你不交钱就要把你送进监狱
- 勒索类软件
- Fakedefender.B: 显示安全报警信息,说服用户购买服务来删除不存在的malware
- 广告类软件
- Uapush.APP: 广告软件+偷窃设备信息
- 跟踪类软件
- SMSTracker
也有根据Android恶意软件的特征来进行分类的:
1.恶意软件安装
- 重打包
- 更新攻击
- 诱惑下载
2.恶意软件运行
3.恶意载荷
- 提权攻击
- 远程控制
- 付费
- 信息收集
4.权限使用
参考:
- [1] Android恶意软件检测研究与进展_彭国军
- [2] Android安全研究进展_卿斯汉
原文:https://blog.csdn.net/ybdesire/article/details/52761808
Android恶意软件的行为总结相关推荐
- Android恶意软件偷取Uber凭证
近期,一种新的Android恶意软件变种Android.Fakeapp被研究人员所披露.据了解该Android恶意软件主要目标是窃取Uber用户的凭证信息,然后使用合法的Uber app的深层链接来隐 ...
- Android恶意软件特征及分类
针对Android的恶意软件,除了熟知的木马.病毒,还有勒索软件(ransomware).广告(adware)和间谍软件(spyware). 要研究Android的恶意软件,首先需要知道,软件的哪些行 ...
- 最流行的10种Android恶意软件类别解释
常见三种Android恶意软件 本节讲的是恶意软件大类别. (1) Repacking 恶意软件作者通过反编译流行的应用,植入恶意程序,并投放到市场.用户安装这些被感染的应用,就中毒了.注意流行的应用 ...
- Android恶意软件模拟器检测技术
前言 下面的报告来自SophosLabs实验室的Android安全专家陈宇,还有来自Android组的成员William Lee, Jagadeesh Chandraiah and Ferenc Lá ...
- 新的Android恶意软件!可窃取银行密码,看看怎么防御?
国内知名网络安全组织,东方联盟安全研究人员对新发现的Android发出警报,针对银行应用和加密货币钱包的恶意软件.该恶意软件命名为EventBot,伪装成合法的Android应用程序,如Adobe F ...
- 拥有相同的起源的Android恶意软件家族——GM BOTSlemBunk
Fnut · 2016/03/18 10:38 0x00 前言 二月19号,IBM XForce的研究员发布了一个情报报告,这份报告声称GM BOT的源代码在2015年12月被泄漏到了一个恶意软件的论 ...
- Android恶意软件样本库寻找方式
因为要做一个Android恶意软件静态检测的研究,后面在寻找恶意软件样本的时候遇到一些困难,发现恶意软件样本库大多数都不公开,下面介绍几种寻找恶意软件的途径: 1,安全企业的样本库,这种如果是个人的话 ...
- 目前的Android恶意软件分类
本文总共列出了119类恶意软件家族 列表列出了截止日期是2013年2月28日的Android平台上的木马以及在mobile-sandbox-system上的检测结果.这个表会一直更新,每个家族选取一列 ...
- 安全研究人员发现新的Android恶意软件:已感染1000多万部安卓手机
整理 | 祝涛 出品 | CSDN(ID:CSDNnews) Zimperium发现了一款名为GriftHorse的新型安卓恶意软件,它可以让用户订阅付费短信服务.据报道,GriftHorse恶意软件 ...
最新文章
- MFC中定义全局变量和全局函数的方法
- ace unlock 苹果解锁_Apple Watch将支持指纹识别功能?苹果最新专利曝光
- java中的23中设计模式
- node输出mysql的数据_node.js+async+mysql 查询数据输出问题,如何分别统计、提取每个sql语句的结果!!...
- python查询数据库后更新_python 实现数据库中数据添加、查询与更新的示例代码...
- 一起教育科技登陆纳斯达克:首日股价上涨0.67%
- 无线SD-WAN提供商Cradlepoint完成C轮融资8900万美元
- 收集整理的125个微信小程序模板源码分享
- python爬淘宝评论_python爬虫实例,一小时上手爬取淘宝评论(附代码)
- 天气预报城市代码对应表
- mysql数据库工资管理系统_数据库课程设计—企业工资管理系统(java版完整代码).doc...
- Android OpenGL ES 2.0(六)--- 纹理过滤
- DASCTF X GFCTF 2022十月挑战赛 WriteUp
- 初识云计算————云计算概念
- 应届生,一口气拿下微软、Hulu、Amazon、腾讯、百度、网易、美团、华为等18家公司SP Offer面经...
- 0x77A26B83 (ntdll.dll) 处有未经处理的异常: 0xC0000374: 堆已损坏。
- 淘宝商品信息爬取(已登录)
- eel+html 2 exe
- LaTex常用技巧6:矩阵编写总结
- pyshark引用TShark时:TShark not found的解决方法