Android恶意软件特性与进化分析研究.docVIP

Android恶意软件特性与进化分析研究 　　摘要：Android的流行使其成为众多的恶意软件攻击的目标，Android恶意软件以惊人的速度增长。为更好的了解Android病毒特点及其进化演变方向，本文对近4年的35个Android恶意家族，350个恶意样例进行定性定量分析。结合目前国内外学者对Android恶意软件研究进展，从Android平台下的恶意软件的表现（包括侵入手机前后的各种表现），以及Android恶意软件隐蔽性、重新打包、更新攻击各个方面进行描述，对这350个恶意样例的特性得出一定的结论，并对Android恶意软件进化的趋势做出了理性的预测。从Android病毒编程语言多样化、查杀加壳化以及传播“瓶颈”方面做出预测。得出今后Android恶意软件趋向编程语言多样化、“加壳”技术高深化、传播途径跨平台化等结论。希望本文得出的有关结论和预测对于Android安全相关研究人员提供一定的参考意义。 　　关键词：Android 恶意软件 恶意家族 Android安全 定量分析 　　中图分类号：TP39 文献标识码：A 文章编号：1007-9416（2016）05-0000-00 　　1 引言 　　智能手机近几年的飞速增长，不仅日常生活越来越依赖其提供方便快捷的功能，甚至已经渗透到了政府、医疗、军事等重要行业。2007年11月，Google发布了安卓系统，2011年第一季度，安卓在全球份额超过了塞班系统，跃居全球第一。2012年11月，安卓在全球智能手机操作系统市场占有率为76%，在中国市场占有率有90%，正因为如此。安卓成为许多恶意软件的攻击目标，而中国受灾程度较为严重。2014年全球中Android病毒的手机共2.8亿部，平均每天80万Android手机中毒。中国以近1.2亿部手机中毒高居全球榜首。在2014年Google Android安全报告中特别指出中国Android手机的受害程度。 　　2014年Android用户量达到20亿。Android系统在智能手机系统的市场占有率达到84%。来自中国大陆地区百度移动安全实验室、腾讯移动安全实验室、猎豹移动安全实验室、360移动安全实验室的数据报告，Android恶意软件每年增长速度超过100%，甚至更高。其严重性可见明显。智能手机恶意软件已经成为人们不得不关注的一个问题，手机恶意软件对人们的生活造成极大的影响，甚至能引起社会另一些问题。 　　鉴于Android巨大的市场发展潜力及其面临的严重安全问题。本文随机抽取了近4年的35个Android恶意家族、350个恶意样例。对其进行定性定量分析。分析出恶意软件特性，并对恶意软件进化进行了理性的预测。为Android安全研究人员提供一定的参考价值。 　　本文其他部分的组织如下，第一部分数据采集---恶意软件时间表。第二部分，Android平台下的恶意软件行为。第三部分，恶意软件特性分析。第四部分，恶意软件进化预测。第五部分对本文进行了总结。 　　2恶意软件时间表 　　在表1中，我们展示了35个Android恶意软件家族，并附带其发现时间。这些书籍来自中国大陆地区手机病毒防御公司。它们分别以安全公告、威胁报告或以blog形式公示出来。我们精心的收集在一起，数据采集中既有随机性也也有针对性，体现了数据的可信性。数据采集时间跨度达4年之久。从2011年6月开始，截止到2015年3月。每个恶意家族并相应收集了10个恶意软件样例。这些样例既有来自官方也有来自Android 应用市场。（样例为随机抽取） 　　为更好的展示恶意软件增长速度，我们用下面几张图表展示近几年Android恶意软件增长的速度及规模。 　　3 Android平台下的恶意软件的行为表现 　　Android恶意软件与pc恶意软件既有相同之处也有不同之处。在该部分我们讨论下Android平台下的恶意软件的行为表现。 　　3.1恶意软件的侵入前的行为表现方式 　　目前，Android恶意软件主要有两种侵入手平台的方式，这两种方式分别如下： 　　（1） 特洛伊 app：网络黑客，首先将手机APP从APP市场上下载下来，然后重新对APP进行第二次修改。在修改时，将恶意代码嵌入到APP中，对其封装完毕后上传到APP下载网点。 　　（2）恶意APP：网络黑客将恶意软件伪装成比较流行的手机APP，然后将其上传到手机APP市场。 　　3.2 恶意软件侵入手机后的表现形式 　　（1）病毒：手机病毒是一种缺乏自我复制能力但具有破坏力的恶意程序。 　　（2）蠕虫：能控制系统漏洞的恶意代码或者利用网络自动复制到另外一系统的恶意程序。 　　（3）特洛伊木马：未经授权访问或者未经必须的操作远程访问系统内部资源。 　　（4）间谍或广告软件：在未经用户