论文部分内容阅读
[摘 要]随着科技的发展,智能手机的应用刺激了手机恶意软件的发展,鉴于其快速发展,有必要开发有效的解决方案。但是目前防护的能力的提高大大受限于对恶意软件的理解上和及时的获得相关的样本。本文针对安卓平台,对现有安卓恶意软件进行了系统的特性分析和演变的研究,并通过对有代表性的手机杀毒软件性能进行研究,结果表明需要尽快发展下一代反手机恶意软件的解决方案。
[关键词]恶意软件 激活 远程控制
中图分类号:TN929.53 文献标识码:A 文章编号:1009-914X(2013)10-0054-01
1、引言
根据CNN报道,智能手机在过去三年增长了3倍。不幸的是智能手机恶意软件也在明显的增长。安卓系统已经取代其它软件成为恶意软件的主要平台。自2010年夏天基于安卓的恶意软件增长了400%。对于恶意软件由于没有深入的理解,很难想象会有有效的解决方案可能会在实际中开发出来。目前的困难是由于缺少全面的手机恶意软件数据集是研究受到了限制。2011年夏天,安卓恶意软件开始快速增长, DroidKungFu和AnserverBot 是两种主要的恶意软件。在所研究的样本中37.5%与DroidKungFu及变种相关,14.8%与AnserverBot相关。本文着重对这两种恶意软件进行探究。
2、恶意软件的特性
对于恶意软件的特性我们从对现有的恶意软件从安装、激活到加载提出了系统的特性描述。
2.1 恶意安装
安装采用三种主要的基于社会工程技术,即:重新打包,更新攻击和驱使下载。其中重新打包是一种最为寻常的技术,将恶意加载捆绑到流行的应用程序上,恶意软件作者锁定并下载流行的应用程序,分解、封装恶意加载,重新汇编并上传到官方或其它安卓市场。研究中为了确认使用了重新打包技术,我们采取下载官方程序,人工比较差别,对于未提供原始应用程序,就通过分解恶意软件样本,人工比较是否恶意加载是主机应用程序主要功能的一部分。86%的样本是采用重新打包的。为了隐藏,通常使用类文件的名称,使恶意软件类似合法。更新攻击,由于重新打包技术将完整的恶意加载到主机应用程序中,这会极易暴露它们的存在。如果仅包含更新组件,在运行时下载恶意加载的方法,静态扫描不会捕捉到恶意加载。这种方法比重新打包更加隐蔽。驱使下载则主要是诱骗用户下载看似有趣的应用程序。android木马(名为GGTracker)就是通过应用程序内置广告开始将用户引入恶意的网址,网址内容宣称可以分析用户手机电池的使用情况,下载程序可以更有效的控制用电量,如果用户点击安装,恶意程序就会开始下载并且在后台偷偷运行。一旦木马GGTracker运行后,将订阅各种付费服务,并且他们通常会要求用户输入一个密码答复问题或打开一个网页。木马这样做的目的主要是用来拦截确认数据以向使用者收取费用却没有征得他们的同意。这样在用户不清楚的情况为恶意软件将提供一个保额服务。而另外两种恶意软件如SpyEye 和Zeus的情况是用户在破解的手机上执行网上银行时,用户将间接下载一个特别的应用程序,该程序宣称可以更好的保护网银,但是该程序是恶意的,它将采集并发送mTAN和短信到远程服务器。
2.2 激活
我们通过检查系统范围吸引恶意软件的安卓事件。在现存安卓恶意软件感兴趣的事件中,BOOT_COMPLETED是最为感兴趣的,对于恶意软件来说,这是激活的最佳的时机。83.3%的样本监听该事件。SMS_RECEIVED是第二个感兴趣的事件,21个系列对此感兴趣。分析发现,某些恶意软件还对于多个事件感兴趣。AnserverBot调用来自10个不同的事件,而BaseBridge对于9个事件。
2.3 恶意加载
通过分析,恶意加载可大致分为四类,即:权限提升、远程控制、财务支出、个人信息盗取。
权限提升,36.7%内嵌至少一个超级用户权限,早期的恶意软件复制公用超级用户权限而不加修改,DroidKungFu首先将超级用户权限加密存储为资源文件,运行时间打开超级用户权限执行。这些改变反映了恶意软件发展演变本性和增加恶意软件防御的难度。
远程控制,发现93%的样本将感染的手机改变为僵尸远程控制。一些恶意软件系列尝试秘密加密远程命令控制服务器的URL并与它通信。研究表明控制命令服务器将主机放在公共云中。例如Plankton间谍软件动态获取并运行加载来之的主机是亚马逊的云计算机。大多数最近的攻击者将公用博客服务器作为它们的命令控制服务器。
财务支出,一个盈利的方法就是保险费率服务通过发送短信。为避免用户注意,有的软件如RogueSPPush会幕后自动恢复Y。
个人信息收集,它主要包括收集短信,手机号及用户帐户。
研究表明恶意软件倾向于更多的权限提升。
3、恶意软件的演变
通过对一些有代表性的样本的分析,DroidKungFu 目前有六个变种。在六个变种中,四个具有加密的超级用户权限,一些加密文件位于资源目录中,看上去类似正常文件。使用加密对于避免检查很有帮助。全部变种使用加载与控制命令服务器进行通信并接收命令。这种软件一直改变存储命令控制服务器的地址,一种是以明文方式放在java类文件中,另一种是以明文放在本地程序中。DroidKungFu自带嵌入的应用程序,用户未知时秘密安装。
2011年9月发现的AnserverBot恶意软件,它是捆绑在合法应用程序上,在第三方安卓市场中主动发布。它使用了多项复杂技术以避免检查和分析。通过分析发现它应该是从BaseBridge恶意软件演变而来。运行时它将在加载前检查签名或完整性,该机制能防止逆向工程。另外它还模糊了内部类、方法和域。它的动态加载机制来源于Plankton。它可以有效地防止当前的杀毒软件的检查。它还包含三个手机杀毒软件加密的名字。com.qihoo360.mobilesafe,com.tencent.qqpimsecure 和com.lbe.security,如果三种软件被检查到,它将尝试停止,并通知用户,有应用程序意外停止。AnserverBot连接到公共博客网址获取(加密)控制命令服务器。
4、恶意软件检查
我们选择了四种有代表性的杀毒软件,AVG Antivirus Free v2.9 (AVG), Lookout Security &Antivirus v6.9 (Lookout), Norton Mobile Security Lite v2.5.0.379 (Norton), 和 TrendMicro Mobile Security Personal Edition v2.0.0.1294 (TrendMicro),将各软件更新到最新版本,默认设置,启用实时防护。创建了一个脚本,迭代每个数据集的应用程序并安装在手机中,每个程序等待30秒钟,若检查到则弹出警告。
5、结论
通过大量的调研分析,大部分恶意软件采用的重新打包技术,部分恶意软件采用权限提升和幕后发送保险费率短信等。因此我们应有效地在重新打包检查的方式上、相关API控制等方面进行研究,尽快研发下一代反手机恶意软的解决方案,打造一个真正、干净的手机使用环境。
[关键词]恶意软件 激活 远程控制
中图分类号:TN929.53 文献标识码:A 文章编号:1009-914X(2013)10-0054-01
1、引言
根据CNN报道,智能手机在过去三年增长了3倍。不幸的是智能手机恶意软件也在明显的增长。安卓系统已经取代其它软件成为恶意软件的主要平台。自2010年夏天基于安卓的恶意软件增长了400%。对于恶意软件由于没有深入的理解,很难想象会有有效的解决方案可能会在实际中开发出来。目前的困难是由于缺少全面的手机恶意软件数据集是研究受到了限制。2011年夏天,安卓恶意软件开始快速增长, DroidKungFu和AnserverBot 是两种主要的恶意软件。在所研究的样本中37.5%与DroidKungFu及变种相关,14.8%与AnserverBot相关。本文着重对这两种恶意软件进行探究。
2、恶意软件的特性
对于恶意软件的特性我们从对现有的恶意软件从安装、激活到加载提出了系统的特性描述。
2.1 恶意安装
安装采用三种主要的基于社会工程技术,即:重新打包,更新攻击和驱使下载。其中重新打包是一种最为寻常的技术,将恶意加载捆绑到流行的应用程序上,恶意软件作者锁定并下载流行的应用程序,分解、封装恶意加载,重新汇编并上传到官方或其它安卓市场。研究中为了确认使用了重新打包技术,我们采取下载官方程序,人工比较差别,对于未提供原始应用程序,就通过分解恶意软件样本,人工比较是否恶意加载是主机应用程序主要功能的一部分。86%的样本是采用重新打包的。为了隐藏,通常使用类文件的名称,使恶意软件类似合法。更新攻击,由于重新打包技术将完整的恶意加载到主机应用程序中,这会极易暴露它们的存在。如果仅包含更新组件,在运行时下载恶意加载的方法,静态扫描不会捕捉到恶意加载。这种方法比重新打包更加隐蔽。驱使下载则主要是诱骗用户下载看似有趣的应用程序。android木马(名为GGTracker)就是通过应用程序内置广告开始将用户引入恶意的网址,网址内容宣称可以分析用户手机电池的使用情况,下载程序可以更有效的控制用电量,如果用户点击安装,恶意程序就会开始下载并且在后台偷偷运行。一旦木马GGTracker运行后,将订阅各种付费服务,并且他们通常会要求用户输入一个密码答复问题或打开一个网页。木马这样做的目的主要是用来拦截确认数据以向使用者收取费用却没有征得他们的同意。这样在用户不清楚的情况为恶意软件将提供一个保额服务。而另外两种恶意软件如SpyEye 和Zeus的情况是用户在破解的手机上执行网上银行时,用户将间接下载一个特别的应用程序,该程序宣称可以更好的保护网银,但是该程序是恶意的,它将采集并发送mTAN和短信到远程服务器。
2.2 激活
我们通过检查系统范围吸引恶意软件的安卓事件。在现存安卓恶意软件感兴趣的事件中,BOOT_COMPLETED是最为感兴趣的,对于恶意软件来说,这是激活的最佳的时机。83.3%的样本监听该事件。SMS_RECEIVED是第二个感兴趣的事件,21个系列对此感兴趣。分析发现,某些恶意软件还对于多个事件感兴趣。AnserverBot调用来自10个不同的事件,而BaseBridge对于9个事件。
2.3 恶意加载
通过分析,恶意加载可大致分为四类,即:权限提升、远程控制、财务支出、个人信息盗取。
权限提升,36.7%内嵌至少一个超级用户权限,早期的恶意软件复制公用超级用户权限而不加修改,DroidKungFu首先将超级用户权限加密存储为资源文件,运行时间打开超级用户权限执行。这些改变反映了恶意软件发展演变本性和增加恶意软件防御的难度。
远程控制,发现93%的样本将感染的手机改变为僵尸远程控制。一些恶意软件系列尝试秘密加密远程命令控制服务器的URL并与它通信。研究表明控制命令服务器将主机放在公共云中。例如Plankton间谍软件动态获取并运行加载来之的主机是亚马逊的云计算机。大多数最近的攻击者将公用博客服务器作为它们的命令控制服务器。
财务支出,一个盈利的方法就是保险费率服务通过发送短信。为避免用户注意,有的软件如RogueSPPush会幕后自动恢复Y。
个人信息收集,它主要包括收集短信,手机号及用户帐户。
研究表明恶意软件倾向于更多的权限提升。
3、恶意软件的演变
通过对一些有代表性的样本的分析,DroidKungFu 目前有六个变种。在六个变种中,四个具有加密的超级用户权限,一些加密文件位于资源目录中,看上去类似正常文件。使用加密对于避免检查很有帮助。全部变种使用加载与控制命令服务器进行通信并接收命令。这种软件一直改变存储命令控制服务器的地址,一种是以明文方式放在java类文件中,另一种是以明文放在本地程序中。DroidKungFu自带嵌入的应用程序,用户未知时秘密安装。
2011年9月发现的AnserverBot恶意软件,它是捆绑在合法应用程序上,在第三方安卓市场中主动发布。它使用了多项复杂技术以避免检查和分析。通过分析发现它应该是从BaseBridge恶意软件演变而来。运行时它将在加载前检查签名或完整性,该机制能防止逆向工程。另外它还模糊了内部类、方法和域。它的动态加载机制来源于Plankton。它可以有效地防止当前的杀毒软件的检查。它还包含三个手机杀毒软件加密的名字。com.qihoo360.mobilesafe,com.tencent.qqpimsecure 和com.lbe.security,如果三种软件被检查到,它将尝试停止,并通知用户,有应用程序意外停止。AnserverBot连接到公共博客网址获取(加密)控制命令服务器。
4、恶意软件检查
我们选择了四种有代表性的杀毒软件,AVG Antivirus Free v2.9 (AVG), Lookout Security &Antivirus v6.9 (Lookout), Norton Mobile Security Lite v2.5.0.379 (Norton), 和 TrendMicro Mobile Security Personal Edition v2.0.0.1294 (TrendMicro),将各软件更新到最新版本,默认设置,启用实时防护。创建了一个脚本,迭代每个数据集的应用程序并安装在手机中,每个程序等待30秒钟,若检查到则弹出警告。
5、结论
通过大量的调研分析,大部分恶意软件采用的重新打包技术,部分恶意软件采用权限提升和幕后发送保险费率短信等。因此我们应有效地在重新打包检查的方式上、相关API控制等方面进行研究,尽快研发下一代反手机恶意软的解决方案,打造一个真正、干净的手机使用环境。