自2013年以來，Android操作系統(tǒng)一直占據(jù)著移動(dòng)操作系統(tǒng)市場的統(tǒng)治地位，這個(gè)平臺的開源性與開放性使得Android平臺成為惡意應(yīng)用攻擊的熱門目標(biāo)。越來越多的惡意應(yīng)用沒有經(jīng)過正?？煽康陌踩珜徍司拖蛴脩舭l(fā)布，嚴(yán)重威脅到用戶的個(gè)人安全甚至國家安全。因此，本文首先分析了Android惡意應(yīng)用增長情況及其危害，然后對基于Android平臺的典型攻擊事件進(jìn)行了回顧，最后總結(jié)了檢測技術(shù)的發(fā)展趨勢并匯總了當(dāng)前主流的檢測方法。

[[265470]]

一、惡意應(yīng)用危害攻擊事件回顧

1.1惡意應(yīng)用危害

根據(jù)G DATA(歌德塔)團(tuán)隊(duì)公布的2018年全年報(bào)告，新增的Android惡意樣本數(shù)量約達(dá)到了400萬個(gè)，與2017年同期相比增長了40%。根據(jù)360互聯(lián)網(wǎng)安全中心披露的2018全年移動(dòng)端新增惡意軟件類型，主要為隱私竊取、遠(yuǎn)程控制、資費(fèi)消耗、惡意扣費(fèi)和流氓行為。其中隱私竊取是危害性最大的攻擊方式。Android惡意應(yīng)用程序利用移動(dòng)智能終端上普遍存在的網(wǎng)絡(luò)連接和個(gè)人信息作為途徑，如：信息、通訊錄、銀行證書和網(wǎng)頁瀏覽歷史等，來竊取敏感信息，獲取非法利益，創(chuàng)建僵尸網(wǎng)絡(luò)等，給用戶帶來巨大的經(jīng)濟(jì)損失，甚至導(dǎo)致隱私泄露的問題。在國家安全層面，通過隱蔽植入惡意應(yīng)用到移動(dòng)智能終端，可以獲取國家經(jīng)濟(jì)甚至政治方面的涉密信息，導(dǎo)致國家對敏感信息的監(jiān)管面臨著嚴(yán)峻的挑戰(zhàn)。

1.2典型攻擊事件

近幾年利用Android惡意應(yīng)用竊取用戶隱私信息、獲取灰色利益、遠(yuǎn)程控制達(dá)到非法個(gè)人目的的攻擊事件屢見不鮮，Android惡意應(yīng)用攻擊技術(shù)已經(jīng)日趨成熟，筆者列舉了比較典型的案例供大家參考。

事件一：Fake System木馬驚現(xiàn)新變種，百萬Android設(shè)備淪為肉雞

2018年9月，騰訊反詐騙實(shí)驗(yàn)室自研的TRP-AI反病毒引擎捕獲到一批大肆傳播的Android后門木馬病毒樣本，此木馬在用戶設(shè)備上存在私自獲取設(shè)備信息、后臺頻繁安裝應(yīng)用、后臺發(fā)送短信等可疑行為。經(jīng)過安全專家的分析，這批病毒樣本屬于“Fake System”木馬家族的新變種，此木馬病毒潛伏周期很長，使用了多種先進(jìn)的“逃逸”技術(shù)來對抗殺軟，并集成了三大主要的黑產(chǎn)變現(xiàn)手段以牟取灰色收益。下圖是騰訊反詐騙實(shí)驗(yàn)室大數(shù)據(jù)引擎的數(shù)據(jù)，2018年7月下旬到8月下旬，“Fake System”木馬新變種的感染用戶增長迅猛，在這一個(gè)月的時(shí)間里，幾個(gè)新變種的感染用戶都迅速增長到20萬左右，與此同時(shí)總體“Fake System”木馬的感染用戶也大幅增長，影響近百萬用戶。

事件二：FaceBook通過Android應(yīng)用追蹤用戶數(shù)據(jù)

2019年1月，國際隱私組織披露，一些非常流行的Android智能手機(jī)應(yīng)用程序，包括Skyscanner、TripAdvisor和MyFitnessPal，在未經(jīng)用戶同意的情況下，將他們的數(shù)據(jù)發(fā)送給了社交網(wǎng)絡(luò)Facebook。這種做法可能違反了歐盟的規(guī)定。在對34款非常流行的Android應(yīng)用程序研究后發(fā)現(xiàn)，至少有20個(gè)應(yīng)用程序在手機(jī)上被打開之后，在未獲得用戶允許的情況下，就直接將他們的某些數(shù)據(jù)發(fā)送給了Facebook。發(fā)送的信息包括應(yīng)用程序的名稱、用戶的谷歌ID，以及應(yīng)用程序自下載安裝以來被打開和關(guān)閉的次數(shù)。有些網(wǎng)站，如旅游網(wǎng)站Kayak，還將人們搜索航班的詳細(xì)信息也發(fā)送給了Facebook，包括旅行日期、用戶是否有孩子以及他們搜索的航班和目的地。

二、檢測技術(shù)發(fā)展史

目前國內(nèi)外許多研究學(xué)者和安全公司都對Android平臺惡意應(yīng)用的檢測做了大量研究，匯總2010-2019年的上百篇文獻(xiàn)總結(jié)惡意應(yīng)用檢測的思想路線如下圖所示。其中，對特征提取和分類環(huán)節(jié)所做的研究最多，接下來將分別進(jìn)行梳理。

2.1特征提取環(huán)節(jié)

根據(jù)“特征提取”步驟中獲取應(yīng)用信息的方式，以是否需要運(yùn)行應(yīng)用作為標(biāo)準(zhǔn)，可以將惡意應(yīng)用檢測技術(shù)分為靜態(tài)檢測技術(shù)和動(dòng)態(tài)檢測技術(shù)。靜態(tài)檢測不需要運(yùn)行Android應(yīng)用程序，動(dòng)態(tài)檢測需要在運(yùn)行時(shí)執(zhí)行，還有一種是混合檢測，它結(jié)合了二者各自的優(yōu)點(diǎn)。

靜態(tài)檢測

優(yōu)點(diǎn)是能耗低、風(fēng)險(xiǎn)小、速度快，對實(shí)時(shí)性要求低;缺點(diǎn)是準(zhǔn)確率較低?，F(xiàn)在有許多研究人員運(yùn)用靜態(tài)檢測的方法。靜態(tài)檢測可以分為基于簽名、權(quán)限、組件、Dalvik字節(jié)碼的方法等等，下圖匯總了這幾種檢測方法的研究現(xiàn)狀，并對其存在的問題進(jìn)行了分析。

動(dòng)態(tài)檢測

動(dòng)態(tài)檢測是指在應(yīng)用程序運(yùn)行過程中監(jiān)控其行為特征，對實(shí)時(shí)性和運(yùn)行環(huán)境要求較高，耗時(shí)更長。動(dòng)態(tài)檢測一般分為基于模式和基于行為的方法兩種，下圖匯總了這兩種檢測方法的研究現(xiàn)狀，并對其存在的問題進(jìn)行了分析。

混合檢測

混合方法是靜態(tài)和動(dòng)態(tài)檢測結(jié)合的研究方法，包含了以上二者的優(yōu)點(diǎn)。下圖舉例介紹幾種混合檢測方法，并對其存在的問題進(jìn)行了分析。

2.2分類環(huán)節(jié)

根據(jù)“分類”步驟中處理應(yīng)用信息的方式，可以將惡意應(yīng)用檢測技術(shù)分為基于特征值、基于規(guī)則和基于機(jī)器學(xué)習(xí)算法的檢測技術(shù)。下圖描述了自2009年起Android惡意軟件檢測在“分類”環(huán)節(jié)中的發(fā)展趨勢，2011年之前，基于特征值和規(guī)則的檢測方法占絕對優(yōu)勢，2011年之后，基于特征和規(guī)則的檢測方法局限性日益突出，它們無法檢測出未知的惡意應(yīng)用。

隨后機(jī)器學(xué)習(xí)算法得到廣泛應(yīng)用，起初研究學(xué)者直接采用某種機(jī)器學(xué)習(xí)算法，后來選擇幾種機(jī)器學(xué)習(xí)算法協(xié)同進(jìn)行，近幾年已經(jīng)開始對已有算法的不足提出改進(jìn)，以此更好地適應(yīng)特征，如下圖所示。

深度學(xué)習(xí)作為機(jī)器學(xué)習(xí)的一個(gè)分支，強(qiáng)調(diào)模型結(jié)構(gòu)的深度，突出特征學(xué)習(xí)的重要性。自2015年深度學(xué)習(xí)對圖像識別準(zhǔn)確度超過人眼，深度學(xué)習(xí)算法開始被應(yīng)用于Android惡意軟件檢測領(lǐng)域，如下圖所示。

DroidDetector：對每個(gè)Android應(yīng)用的靜態(tài)分析和動(dòng)態(tài)分析中提取200多個(gè)特性，應(yīng)用深度學(xué)習(xí)技術(shù)進(jìn)行分類。結(jié)果表明，深度學(xué)習(xí)技術(shù)遠(yuǎn)比其他機(jī)器學(xué)習(xí)技術(shù)更合適，包括：貝葉斯、SVM、C4、邏輯回歸和多層感知機(jī)。

DeepDroid：在使用相同測試集的情況下，DeepDroid算法的正確率比SVM算法高出3.96個(gè)百分點(diǎn)，比樸素貝葉Naive Bayes法高出12.16個(gè)百分點(diǎn)，比K最鄰近算法高出13.62個(gè)百分點(diǎn)。

在相同的實(shí)驗(yàn)條件下，基于深度學(xué)習(xí)的Android惡意應(yīng)用檢測方法往往具有相比于傳統(tǒng)機(jī)器學(xué)習(xí)算法更優(yōu)的性能。

三、建議

在此，筆者對Android手機(jī)用戶和Android惡意軟件的研究人員提出幾點(diǎn)建議：

(1)選擇官方網(wǎng)站下載Android應(yīng)用，同時(shí)確認(rèn)網(wǎng)址是否正確。確保應(yīng)用上傳者是官方開發(fā)者，而非個(gè)人，這樣的應(yīng)用安全隱患較高。

(2)下載前閱讀用戶評價(jià)，即便是官方網(wǎng)站上的應(yīng)用也會包含廣告信息或其他惡意負(fù)載，因此通過其他用戶的評價(jià)可以幫助我們完成初步篩選。

(3)不要下載論壇或博客中的破解軟件，這樣的應(yīng)用被植入惡意組件或者惡意指令的可能性較大。

(4)正確配置應(yīng)用權(quán)限開啟狀態(tài)，這將有效避免絕大多數(shù)手機(jī)的安全問題。雖然涉及手機(jī)安全的因素還有很多，但對于大部分用戶來說控制好權(quán)限狀態(tài)就相當(dāng)于將手機(jī)安全隱患降到最低了。這里教大家一個(gè)關(guān)閉無用權(quán)限的小方法：

使用系統(tǒng)自帶的權(quán)限管理工具進(jìn)行管理，如華為的“手機(jī)管家”，小米的“安全中心”，魅族的“手機(jī)管家”等。打開應(yīng)用，點(diǎn)擊權(quán)限管理，找到對應(yīng)的應(yīng)用進(jìn)行權(quán)限設(shè)置。以華為手機(jī)管家為例：打開手機(jī)管家，點(diǎn)擊“權(quán)限管理”;選擇要設(shè)置的應(yīng)用;設(shè)置權(quán)限開關(guān);也可以點(diǎn)擊“設(shè)置單項(xiàng)權(quán)限”，進(jìn)入設(shè)置權(quán)限開關(guān)。

(5)對于Android惡意軟件研究者可以使用以下幾種公開數(shù)據(jù)集進(jìn)行相關(guān)研究：

可以聯(lián)系導(dǎo)師，然后發(fā)郵件聯(lián)系他們獲取，一些不再共享的也可以聯(lián)系一些已經(jīng)擁有數(shù)據(jù)集的大學(xué)和機(jī)構(gòu)，基本上國內(nèi)知名的大學(xué)都會有這些數(shù)據(jù)集。

(6)當(dāng)人工分析較為耗時(shí)或者困難時(shí)，可以借助一些專業(yè)工具輔助完成：

結(jié)束語

通過對Android惡意應(yīng)用發(fā)展趨勢、危害和攻擊事件的介紹相信大家已經(jīng)意識到其帶來的問題不容小覷?；谝陨蠈ndroid惡意應(yīng)用檢測研究的總結(jié)，對于“特征提取”環(huán)節(jié)，不難發(fā)現(xiàn)將靜態(tài)和動(dòng)態(tài)結(jié)合的混合方法會更加準(zhǔn)確全面，同時(shí)提倡提取細(xì)粒度特征使得其能夠精確的描述應(yīng)用行為;對于“分類”環(huán)節(jié)，深度學(xué)習(xí)算法應(yīng)用到安全領(lǐng)域是未來幾年的一個(gè)發(fā)展趨勢。在今后我們的研究中，也應(yīng)采用混合方法，同時(shí)應(yīng)用其他輔助手段，提高準(zhǔn)確率，降低誤判率，從而高效檢測Android惡意軟件。

參考文獻(xiàn)

[1] Gartner. Gartner says Android has been growing market share in the smartphone opera ting system market, which in 2017 is at 85.9% [EB/OL]. [2018-02-14]. https://www.gartner. com/doc/3855724?ref=SiteSearch&sthkw=android%20market&fnl=search&srcId=1-3478922254.

[2] G DATA. Cyber attacks on Android devices on the rise. [EB/OL]. [2018-11-07]. https://www.gdatasoftware.com/blog/2018/11/31255-cyber-attacks-on-android-devices-on-the-rise.

[3] 360互聯(lián)網(wǎng)安全中心：2018年Android惡意軟件年度專題報(bào)告. [EB/OL]. [2019-02-18]. http://zt.#/1101061855.php?dtid=1101061451&did=610100815.

[4] FREEBUF. Hero RAT：一種基于Telegram的Android惡意軟件. [EB/OL]. [2018-08-14]. https://www.freebuf.com/articles/terminal/179842.html

[5] FREEBUF. Fake System木馬驚現(xiàn)新變種，百萬Android設(shè)備淪為肉雞. [EB/OL]. [2018-09-07]. https://www.freebuf.com/articles/terminal/183221.html

[6] Securityaffairs. Facebook tracks non-users via Android Apps [EB/OL]. [2018-12-30]. https://securityaffairs.co/wordpress/79313/digital-id/facebook-tracking-android-apps.html.

[7] Zhenlong Yuan, Yongqiang Lu, Yibo Xue.DroidDetector:Android Malware Characterization and Detection Using DeepLearning[J]. 清華大學(xué)學(xué)報(bào)自然科學(xué)版(英文版), 2016, 21(1):114-123.

[8] 蘇志達(dá), 祝躍飛, 劉龍. 基于深度學(xué)習(xí)的安卓惡意應(yīng)用檢測[J]. 計(jì)算機(jī)應(yīng)用, 2017(6).

【本文為51CTO專欄作者“中國保密協(xié)會科學(xué)技術(shù)分會”原創(chuàng)稿件，轉(zhuǎn)載請聯(lián)系原作者】

戳這里，看該作者更多好文