一、发展背景及意义
Android系统是由Google公司于2007年发布的一种基于Linux内核的操作系统。作为全球最受欢迎的移动端操作系统,Android拥有来自190多个国家超过25亿的活跃用户,所占市场份额超过85%[1]。由于其高度的开源性及自由性,许多开发人员纷纷投身于应用软件开发工作。截至2020年,Google Play商店中存在290万个应用程序,下载次数高达1080亿次[1]。但与此同时,大量恶意软件利用第三方应用市场的审查漏洞趁虚而入,为智能手机用户带来了巨大的危害,包括隐私泄露、资费消耗等。近年来,恶意软件检测已经成为热门研究领域,各大安全厂商也开发出了各自的安全检测软件,如AVG Antivirus、Norton Mobile Security等。但随着Android版本的更新,恶意软件的攻击方法不断升级,现有的安全检测软件效果有待进一步的提升。
二、Android系统安全机制
Android 系统是基于Linux 内核实现的,同时在Linux 原有的安全机制基础上结合移动端的特性,设计了应用程序签名机制、权限机制、进程沙箱隔离机制等安全机制,保证了应用程序在发布、安装和运行过程中的安全[2]。
1. 应用程序签名机制
应用程序签名机制指的是在应用程序发布时,由开发者采用私钥进行签名,在安装程序时,Android系统使用公钥对应用程序进行验证溯源,从而与开发者间建立信任关系。通过数字签名,系统一方面可以实现对程序的版本控制,另一方面也可以对应用程序安装包的完整性进行验证,同时可以有效检测重打包攻击、应用篡改等恶意行为,从而过滤恶意应用。但攻击者有时也会伪造第三方应用签名,逃过系统检测。签名机制按照签名对象可以分为两类:对程序安装包解压后的非目录和非过滤文件进行签名验证,以及对压缩安装包整体进行签名验证。
2. 权限机制
权限机制指的是应用程序在安装时和运行过程中,向系统申请所需服务的权限,并根据获取的权限运行相应服务,其定义信息包括包名、标签、描述和保护级别等[3]。
3. 进程沙箱隔离机制
图1
进程沙箱隔离机制指的是应用程序始终运行于系统为其开辟的独立Dalvik虚拟机中,拥有独立的运行空间和系统资源空间,从而保证应用程序间的独立,限制不可信程序的权限。具体来说,每个应用程序在安装时都被系统赋予了唯一的UID,在程序运行期间,系统隔离非同一UID的应用程序及资源,使其互不干扰,进而使各个应用程序的资源都得到安全保护。
三、常见的恶意软件攻击方法
1. 重打包攻击
重打包攻击指的是攻击者对原始应用程序进行反编译,将恶意代码植入应用程序中,然后通过伪造应用签名通过系统检测,重新打包为第三方应用进行发布。
2. 提权攻击
提权攻击是指攻击者利用Android系统漏洞或第三方代理软件等,提升普通应用程序的系统服务权限,从而获得其所需权限。一旦恶意应用拥有较高的系统权限,就会对系统造成巨大的安全威胁。
3. 其他攻击
随着Android系统的更新与发展,市场上出现了许多其他的恶意软件攻击方法。比如利用剪切板功能简单且无需申请额外权限的特点,恶意篡改剪切板内容,危害系统安全;植入抓取代码,窃取用户隐私信息,进行电子诈骗;利用调试接口传播恶意软件等。
四、恶意软件检测的基本方法
恶意软件检测问题本质上是一个分类问题,对给定的应用程序,判断其为恶意软件还是正常软件。根据解决分类问题的一般性方法,恶意软件检测的大致流程如图2所示。
图2
首先获取谷歌应用市场和第三方应用市场中的正常软件程序包,以及恶意软件程序包,构成数据集;然后从中抽取特征信息,并进行特征预处理;最后根据特征值信息,基于规则或分类算法完成分类任务。
Android应用程序安装包是一个后缀为.apk的压缩文件,解压后可得如下文件:
表1
常见的恶意软件检测方法,主要是基于AndroidManifest.xml文件和classes.dex文件进行特征抽取。
AndroidManifest.xml文件是Android应用程序的全局配置文件,提供了在程序运行前系统所需的各种必要信息,包括应用的包名、版本号、权限信息、硬件信息等。
classes.dex文件是应用程序的二进制可执行文件,java代码首先会被编译为.class文件,得到的类文件被翻译成Dalvik字节码,最终合并为一个或多个可执行dex文件[4]。在恶意软件检测方法中,有的研究者会首先对其进行反编译,然后再抽取特征,有的研究者则会直接利用原始字节码序列或对其进行截取、处理。
五、Android恶意软件检测方法
1. 按照不同的特征抽取方法,可以分为静态检测、动态检测和混合检测[5]。
(1)静态检测方法
静态检测方法是指在应用程序不运行的情况下,基于应用程序特征进行系统检测分析[6-7]。其常用的特征包括应用权限、Java代码、网络地址、硬件组件等。静态检测方法优点是检测速度快,缺点是无法有效识别利用了静态检测对抗技术(如代码混淆)的恶意应用程序。常见的静态检测方法包括基于应用程序安装包文件特征的检测、基于应用程序代码分析的检测、基于应用布局特征的检测等。
基于应用程序安装包文件特征的检测方法,关注表1所示的签名文件、清单文件、资源文件及代码文件等,从中抽取特征表示,通过相似性比较或模型训练的方法完成恶意应用检测。比如Zhou等[8]提出DroidMoss模型抽取应用的代码特征,采用模糊哈希的方法生成应用程序特定的指纹信息,然后进行相似度比较,从而判断是否为恶意应用程序,但该方法无法有效应对代码混淆等对抗攻击。Nicheporuk等[9]基于API方法调用和权限信息,采用卷积神经网络训练模型完成分类。
基于应用程序代码分析的检测方法,更加关注代码文件,将应用程序代码抽象为控制流图、API函数图或程序依赖图,然后再进行相似性比较。比如Crussell等[10]提出DNADroid模型基于应用程序依赖图完成相似性计算,有效应对重打包攻击。为了提升对重打包应用的检测效率,同时有效对抗代码混淆攻击,汪润等[11]提出可以进行粗细两个粒度的检测并抽取代码的深层语义信息。该模型首先进行粗粒度检测,将应用程序依赖图抽象为程序语义特征,计算程序语义特征间相似性,实现快速检测;对于细粒度检测,则是将程序依赖图作为特征,实现更为准确的恶意应用检测。
基于应用布局特征的检测方法,关注应用程序的UI界面,从中抽取特征信息作为分类依据。比如Zhang等[12] 提出可以根据应用界面生成界面图,然后计算图间的相似性。该方法检测速度快,但检测精度有限,因此可以将其与代码特征相结合,兼顾检测速度与精度。
(2)动态检测方法
动态检测方法是在沙盒环境中运行程序,并跟踪程序的API调用序列、系统调用、网络流量和CPU数据,以监视程序运行期间的数据流[5],获取程序运行过程中的动态特征。动态检测方法的关键点在于如何对程序的全部功能进行检测,如何保证测试用例的真实性及全面性。该方法在实际应用中通常需要占用一定的系统资源且检测速度较慢,但对于未知恶意软件的检测通常具有较好的表现。常见的动态检测方法分为两类:基于应用行为分析的检测和基于污点跟踪的检测。
对应用行为的分析目标,可以选择应用程序对系统服务的调用信息,也可以选择非系统调用信息,如实时交互信息或应用运行信息等。Tam等[13]设计了CopperDroid模型,结合系统调用和Binder通信行为数据,重构了恶意应用程序的高级语义信息,最终输出恶意行为,包括系统相关行为和Android相关行为两种。该方法可以有效抵抗代码混淆攻击,且无需修改系统源码,部署方便。Gianazza等[14] 提出PuppetDroid模型,基于用户与应用程序的实时交互行为获取特征信息,进行恶意应用检测,与普通的自动UI方法相比达到了更高的代码覆盖率。
基于应用行为数据获取的特征表示,忽视了数据间的关联性信息,且无法刻画程序的全流程行为。为解决该问题,Enck等[15]提出基于污点跟踪的恶意软件检测方法——TaintDroid。该方法从污染源标记敏感信息,动态追踪数据流和系统调用,实现了变量级、信息级、方法级和文件级的污点跟踪。
(3)混合检测方法
无论是静态检测方法还是动态检测方法,都具有一定的局限性。静态检测无法捕获应用程序在运行时的行为信息,而动态检测无法实现完整的代码覆盖范围。因此,有研究者提出混合检测方法,即静态和动态分析组合的方法,可以使Android恶意软件检测更加准确和高效。Onwuzurike等[16]在静态检测和动态检测中使用了相同的建模方法,都基于API调用序列构建马尔科夫链,最终比较两种方法的检测性能。结果表明,混合检测的方法具有更好的性能表现。
参考文献
[1] Android Statistics (2022) https://www.businessofapps.com/data/android-statistics/
[2] Google Inc. Android security[EB/OL]. (2013-06-26)[2019-10-07]. https://source.android.com/tech/security/.
[3] 王思远, 张仰森, 曾健荣, 等. Android 恶意软件检测方法综述[J]. 计算机应用与软件, 2021, 38: 9.
[4] 李佳琳, 王雅哲, 罗吕根, 等. 面向安卓恶意软件检测的对抗攻击技术综述[J]. 信息安全学报, 2021, 6(4): 28-43.
[5] Meijin L, Zhiyang F, Junfeng W, et al. A Systematic Overview of Android Malware Detection[J]. Applied Artificial Intelligence, 2022, 36(1): 2007327.
[6] 孙伟,孙雅杰,夏孟友. 一种静态Android 重打包恶意应用检测方法[J]. 信息安全研究, 2017,3( 8) : 692 - 700.
[7] 蒋煦,张长胜,戴大蒙,等. Android 平台恶意应用程序静态检测方法[J]. 计算机系统应用, 2016, 25( 4) : 1 - 7.
[8] Zhou W, Zhou Y, Jiang X, et al. Detecting repackaged smartphone applications in third-party android marketplaces[C]//Proceedings of the second ACM conference on Data and Application Security and Privacy. 2012: 317-326.
[9] Nicheporuk A, Savenko O, Nicheporuk A, et al. An Android Malware Detection Method Based on CNN Mixed-Data Model[C]//ICTERI Workshops. 2020: 198-213.
[10] Crussell J, Gibler C, Chen H. Attack of the clones: Detecting cloned applications on android markets[C]//European Symposium on Research in Computer Security. Springer, Berlin, Heidelberg, 2012: 37-54.
[11] 汪润, 唐奔宵, 王丽娜. DroidFAR: 一种基于程序语义的 Android 重打包应用抗混淆检测方法[J]. 武汉大学学报: 理学版, 2018, 64(5): 407-414.
[12] Zhang F, Huang H, Zhu S, et al. ViewDroid: Towards obfuscation-resilient mobile application repackaging detection[C]//Proceedings of the 2014 ACM conference on Security and privacy in wireless & mobile networks. 2014: 25-36.
[13] Tam K, Fattori A, Khan S, et al. Copperdroid: Automatic reconstruction of android malware behaviors[C]//NDSS Symposium 2015. 2015: 1-15.
[14] Gianazza A, Maggi F, Fattori A, et al. Puppetdroid: A user-centric ui exerciser for automatic dynamic analysis of similar android applications[J]. arXiv preprint arXiv:1402.4826, 2014.
[15] Enck W, Gilbert P, Han S, et al. Taintdroid: an information-flow tracking system for realtime privacy monitoring on smartphones[J]. ACM Transactions on Computer Systems (TOCS), 2014, 32(2): 1-29.
[16] Onwuzurike L, Almeida M, Mariconti E, et al. A family of droids-Android malware detection via behavioral modeling: Static vs dynamic analysis[C]//2018 16th Annual Conference on Privacy, Security and Trust (PST). IEEE, 2018: 1-10.
