自2013年以來，Android操作系統(tǒng)一直占據(jù)著移動操作系統(tǒng)市場的統(tǒng)治地位，這個平臺的開源性與開放性使得Android平臺成為惡意應用攻擊的熱門目標。越來越多的惡意應用沒有經(jīng)過正?？煽康陌踩珜徍司拖蛴脩舭l(fā)布，嚴重威脅到用戶的個人安全甚至國家安全。因此，本文首先分析了Android惡意應用增長情況及其危害，然后對基于Android平臺的典型攻擊事件進行了回顧，最后總結了檢測技術的發(fā)展趨勢并匯總了當前主流的檢測方法。

[[265470]]

一、惡意應用危害攻擊事件回顧

1.1惡意應用危害

根據(jù)G DATA(歌德塔)團隊公布的2018年全年報告，新增的Android惡意樣本數(shù)量約達到了400萬個，與2017年同期相比增長了40%。根據(jù)360互聯(lián)網(wǎng)安全中心披露的2018全年移動端新增惡意軟件類型，主要為隱私竊取、遠程控制、資費消耗、惡意扣費和流氓行為。其中隱私竊取是危害性最大的攻擊方式。Android惡意應用程序利用移動智能終端上普遍存在的網(wǎng)絡連接和個人信息作為途徑，如：信息、通訊錄、銀行證書和網(wǎng)頁瀏覽歷史等，來竊取敏感信息，獲取非法利益，創(chuàng)建僵尸網(wǎng)絡等，給用戶帶來巨大的經(jīng)濟損失，甚至導致隱私泄露的問題。在國家安全層面，通過隱蔽植入惡意應用到移動智能終端，可以獲取國家經(jīng)濟甚至政治方面的涉密信息，導致國家對敏感信息的監(jiān)管面臨著嚴峻的挑戰(zhàn)。

1.2典型攻擊事件

近幾年利用Android惡意應用竊取用戶隱私信息、獲取灰色利益、遠程控制達到非法個人目的的攻擊事件屢見不鮮，Android惡意應用攻擊技術已經(jīng)日趨成熟，筆者列舉了比較典型的案例供大家參考。

事件一：Fake System木馬驚現(xiàn)新變種，百萬Android設備淪為肉雞

2018年9月，騰訊反詐騙實驗室自研的TRP-AI反病毒引擎捕獲到一批大肆傳播的Android后門木馬病毒樣本，此木馬在用戶設備上存在私自獲取設備信息、后臺頻繁安裝應用、后臺發(fā)送短信等可疑行為。經(jīng)過安全專家的分析，這批病毒樣本屬于“Fake System”木馬家族的新變種，此木馬病毒潛伏周期很長，使用了多種先進的“逃逸”技術來對抗殺軟，并集成了三大主要的黑產(chǎn)變現(xiàn)手段以牟取灰色收益。下圖是騰訊反詐騙實驗室大數(shù)據(jù)引擎的數(shù)據(jù)，2018年7月下旬到8月下旬，“Fake System”木馬新變種的感染用戶增長迅猛，在這一個月的時間里，幾個新變種的感染用戶都迅速增長到20萬左右，與此同時總體“Fake System”木馬的感染用戶也大幅增長，影響近百萬用戶。

事件二：FaceBook通過Android應用追蹤用戶數(shù)據(jù)

2019年1月，國際隱私組織披露，一些非常流行的Android智能手機應用程序，包括Skyscanner、TripAdvisor和MyFitnessPal，在未經(jīng)用戶同意的情況下，將他們的數(shù)據(jù)發(fā)送給了社交網(wǎng)絡Facebook。這種做法可能違反了歐盟的規(guī)定。在對34款非常流行的Android應用程序研究后發(fā)現(xiàn)，至少有20個應用程序在手機上被打開之后，在未獲得用戶允許的情況下，就直接將他們的某些數(shù)據(jù)發(fā)送給了Facebook。發(fā)送的信息包括應用程序的名稱、用戶的谷歌ID，以及應用程序自下載安裝以來被打開和關閉的次數(shù)。有些網(wǎng)站，如旅游網(wǎng)站Kayak，還將人們搜索航班的詳細信息也發(fā)送給了Facebook，包括旅行日期、用戶是否有孩子以及他們搜索的航班和目的地。

二、檢測技術發(fā)展史

目前國內(nèi)外許多研究學者和安全公司都對Android平臺惡意應用的檢測做了大量研究，匯總2010-2019年的上百篇文獻總結惡意應用檢測的思想路線如下圖所示。其中，對特征提取和分類環(huán)節(jié)所做的研究最多，接下來將分別進行梳理。

2.1特征提取環(huán)節(jié)

根據(jù)“特征提取”步驟中獲取應用信息的方式，以是否需要運行應用作為標準，可以將惡意應用檢測技術分為靜態(tài)檢測技術和動態(tài)檢測技術。靜態(tài)檢測不需要運行Android應用程序，動態(tài)檢測需要在運行時執(zhí)行，還有一種是混合檢測，它結合了二者各自的優(yōu)點。

靜態(tài)檢測

優(yōu)點是能耗低、風險小、速度快，對實時性要求低;缺點是準確率較低?，F(xiàn)在有許多研究人員運用靜態(tài)檢測的方法。靜態(tài)檢測可以分為基于簽名、權限、組件、Dalvik字節(jié)碼的方法等等，下圖匯總了這幾種檢測方法的研究現(xiàn)狀，并對其存在的問題進行了分析。

動態(tài)檢測

動態(tài)檢測是指在應用程序運行過程中監(jiān)控其行為特征，對實時性和運行環(huán)境要求較高，耗時更長。動態(tài)檢測一般分為基于模式和基于行為的方法兩種，下圖匯總了這兩種檢測方法的研究現(xiàn)狀，并對其存在的問題進行了分析。

混合檢測

混合方法是靜態(tài)和動態(tài)檢測結合的研究方法，包含了以上二者的優(yōu)點。下圖舉例介紹幾種混合檢測方法，并對其存在的問題進行了分析。

2.2分類環(huán)節(jié)

根據(jù)“分類”步驟中處理應用信息的方式，可以將惡意應用檢測技術分為基于特征值、基于規(guī)則和基于機器學習算法的檢測技術。下圖描述了自2009年起Android惡意軟件檢測在“分類”環(huán)節(jié)中的發(fā)展趨勢，2011年之前，基于特征值和規(guī)則的檢測方法占絕對優(yōu)勢，2011年之后，基于特征和規(guī)則的檢測方法局限性日益突出，它們無法檢測出未知的惡意應用。

隨后機器學習算法得到廣泛應用，起初研究學者直接采用某種機器學習算法，后來選擇幾種機器學習算法協(xié)同進行，近幾年已經(jīng)開始對已有算法的不足提出改進，以此更好地適應特征，如下圖所示。

深度學習作為機器學習的一個分支，強調(diào)模型結構的深度，突出特征學習的重要性。自2015年深度學習對圖像識別準確度超過人眼，深度學習算法開始被應用于Android惡意軟件檢測領域，如下圖所示。

DroidDetector：對每個Android應用的靜態(tài)分析和動態(tài)分析中提取200多個特性，應用深度學習技術進行分類。結果表明，深度學習技術遠比其他機器學習技術更合適，包括：貝葉斯、SVM、C4、邏輯回歸和多層感知機。

DeepDroid：在使用相同測試集的情況下，DeepDroid算法的正確率比SVM算法高出3.96個百分點，比樸素貝葉Naive Bayes法高出12.16個百分點，比K最鄰近算法高出13.62個百分點。

在相同的實驗條件下，基于深度學習的Android惡意應用檢測方法往往具有相比于傳統(tǒng)機器學習算法更優(yōu)的性能。

三、建議

在此，筆者對Android手機用戶和Android惡意軟件的研究人員提出幾點建議：

(1)選擇官方網(wǎng)站下載Android應用，同時確認網(wǎng)址是否正確。確保應用上傳者是官方開發(fā)者，而非個人，這樣的應用安全隱患較高。

(2)下載前閱讀用戶評價，即便是官方網(wǎng)站上的應用也會包含廣告信息或其他惡意負載，因此通過其他用戶的評價可以幫助我們完成初步篩選。

(3)不要下載論壇或博客中的破解軟件，這樣的應用被植入惡意組件或者惡意指令的可能性較大。

(4)正確配置應用權限開啟狀態(tài)，這將有效避免絕大多數(shù)手機的安全問題。雖然涉及手機安全的因素還有很多，但對于大部分用戶來說控制好權限狀態(tài)就相當于將手機安全隱患降到最低了。這里教大家一個關閉無用權限的小方法：

使用系統(tǒng)自帶的權限管理工具進行管理，如華為的“手機管家”，小米的“安全中心”，魅族的“手機管家”等。打開應用，點擊權限管理，找到對應的應用進行權限設置。以華為手機管家為例：打開手機管家，點擊“權限管理”;選擇要設置的應用;設置權限開關;也可以點擊“設置單項權限”，進入設置權限開關。

(5)對于Android惡意軟件研究者可以使用以下幾種公開數(shù)據(jù)集進行相關研究：

可以聯(lián)系導師，然后發(fā)郵件聯(lián)系他們獲取，一些不再共享的也可以聯(lián)系一些已經(jīng)擁有數(shù)據(jù)集的大學和機構，基本上國內(nèi)知名的大學都會有這些數(shù)據(jù)集。

(6)當人工分析較為耗時或者困難時，可以借助一些專業(yè)工具輔助完成：

結束語

通過對Android惡意應用發(fā)展趨勢、危害和攻擊事件的介紹相信大家已經(jīng)意識到其帶來的問題不容小覷?；谝陨蠈ndroid惡意應用檢測研究的總結，對于“特征提取”環(huán)節(jié)，不難發(fā)現(xiàn)將靜態(tài)和動態(tài)結合的混合方法會更加準確全面，同時提倡提取細粒度特征使得其能夠精確的描述應用行為;對于“分類”環(huán)節(jié)，深度學習算法應用到安全領域是未來幾年的一個發(fā)展趨勢。在今后我們的研究中，也應采用混合方法，同時應用其他輔助手段，提高準確率，降低誤判率，從而高效檢測Android惡意軟件。

參考文獻

[1] Gartner. Gartner says Android has been growing market share in the smartphone opera ting system market, which in 2017 is at 85.9% [EB/OL]. [2018-02-14]. https://www.gartner. com/doc/3855724?ref=SiteSearch&sthkw=android%20market&fnl=search&srcId=1-3478922254.

[2] G DATA. Cyber attacks on Android devices on the rise. [EB/OL]. [2018-11-07]. https://www.gdatasoftware.com/blog/2018/11/31255-cyber-attacks-on-android-devices-on-the-rise.

[3] 360互聯(lián)網(wǎng)安全中心：2018年Android惡意軟件年度專題報告. [EB/OL]. [2019-02-18]. http://zt.#/1101061855.php?dtid=1101061451&did=610100815.

[4] FREEBUF. Hero RAT：一種基于Telegram的Android惡意軟件. [EB/OL]. [2018-08-14]. https://www.freebuf.com/articles/terminal/179842.html

[5] FREEBUF. Fake System木馬驚現(xiàn)新變種，百萬Android設備淪為肉雞. [EB/OL]. [2018-09-07]. https://www.freebuf.com/articles/terminal/183221.html

[6] Securityaffairs. Facebook tracks non-users via Android Apps [EB/OL]. [2018-12-30]. https://securityaffairs.co/wordpress/79313/digital-id/facebook-tracking-android-apps.html.

[7] Zhenlong Yuan, Yongqiang Lu, Yibo Xue.DroidDetector:Android Malware Characterization and Detection Using DeepLearning[J]. 清華大學學報自然科學版(英文版), 2016, 21(1):114-123.

[8] 蘇志達, 祝躍飛, 劉龍. 基于深度學習的安卓惡意應用檢測[J]. 計算機應用, 2017(6).

【本文為51CTO專欄作者“中國保密協(xié)會科學技術分會”原創(chuàng)稿件，轉載請聯(lián)系原作者】

戳這里，看該作者更多好文