金山-陈章群 另类途径发现恶意应用.pdf

另类途径发现恶意应用 耗电纬度发现恶意应用 陈章群 金山网络 目录 •  智能手机常见问题 •  常见问题产生 •  手机恶意应用的行为特征 •  常规发现恶意应用方法 •  另类途径发现恶意应用 •  常见导致耗电分析 •  异常耗电发恶意应用案例 智能手机常见问题 待机耗电过快 无缘故流量超标 APP异常崩溃 手机发烫 广告骚扰 手机变慢 常见问题产生 •  硬件配置 •  电池老化 •  定制ROM •  ROOT不稳定 •  手机APP 的BUG •  恶意应用 手机恶意应用的行为特征 •  恶意扣费 后台订阅扣费SP服务、欺诈扣费 典型的病毒如:android.troj.payment.x( 锁屏扣费) 、 Android.Troj.Fakeinstall(俄罗斯重灾区） 恶意扣费一般通过发送短信或彩信订阅相应的SP服务 手机恶意应用的行为特征 •  远程控制 上传手机任意文件 远程拨打电话、发送短信 后台录音 典型病毒Android.Troj.sbyy.a 、宝贝监控、x卧底 这类病毒一般申请的敏感权限很多。 手机恶意应用的行为特征 •  窃取隐私 窃取通话记录、联系人列表 窃取位置信息 窃取短信记录 典型病毒：x卧底，后门类监控软件的标准配置。 手机恶意应用的行为特征 •  恶意下载、安装 后台静默下载并安装其它应用 典型病毒：Android.Troj.SilentGaoyang.a 现在国内的山寨手机或定制rom里常见这类恶意应用 常规发现恶意应用方法 •  分析应用是否有敏感权限的申请和调用 申请敏感的权限如: uses-permission android:name=android.permission.READ_CONTACTS / //读取联系人 uses-permission android:name=android.permission.RECEIVE_SMS / //接收短 信权限 uses-permission android:name=android.permission.RECEIVE_MMS / uses-permission android:name=android.permission.SEND_SMS / //发送短 信 uses-permission android:name=android.permission.INTERNET / uses-permission android:name=android.permission.READ_SMS / //读取短 信权限 uses-permission android:name=android.permission.WRITE_SMS / uses-permission android:name=android.permission.ACCESS_NETWORK_STATE / uses-permission android:name=android.