随着Android智能手机的快速普及,Android系统的设备数量及软件数量均呈现爆发式增长,其恶意软件带来的安全问题也日益严峻,造成的损害越来越大,并且随着Android应用开发语言的多样化,恶意软件技术及攻击手段也出现了新的发展趋势,Htm15混合移动应用的恶意攻击事件层出不穷。移动恶意代码的持续恶化主要是由Android应用安全防护机制的不足以及Html5移动开发技术的安全漏洞造成的,导致恶意代码能够轻易地注入并攻击移动终端。针对新形势下Android平台的恶意代码注入攻击进行研究,对完善Android应用的安全保障机制,改进新开发技术存在的安全漏洞,进一步保护用户的利益具有重大意义。本文主要完成工作如下:首先,对Android应用的相关安全机制以及隐私数据访问功能进行研究,分析了 Native应用的短信、通讯录以及位置信息数据访问存在的安全漏洞,并利用第三方推送机制,设计了一套通过恶意指令远程控制恶意代码攻击的系统架构,实现了针对各个隐私相关漏洞的模拟攻击。本文从恶意指令推送及广播接收模块、短信监听转发模块、通讯录窃取模块、位置信息窃取模块纵向阐述了攻击的具体流程。其次,对Htm15混合移动应用相关的WebView组件及第三方开发框架的工作机制进行研究,分析了 Html5应用存在的跨站脚本攻击漏洞。结合Html5移动应用的通讯场景,提出了 Htm15混合移动应用跨站脚本攻击的原理,并针对不同的外部通道设计并实现了相关隐私数据窃取的攻击方案。本文详细描述了 Wi-Fi通道短信监听转发,二维码通道通讯录窃取,BlueTooth通道位置信息窃取的恶意代码设计及攻击过程。最后,利用Android应用的逆向分析法以及Apktool、Keytool工具,将Native应用恶意代码注入到目标应用中进行攻击效果测试。利用PhoneGap官方插件、二维码生成工具,测试了 Htm15混合移动应用的恶意代码攻击方案。实验结果表明了 Android系统隐私相关功能存在安全漏洞,Htm15移动开发技术及其相关组件和框架存在跨站脚本攻击漏洞,同时验证了本文设计的恶意代码攻击方案的有效性及可行性。