Android恶意软件检测方法分析

Android恶意软件检测方法分析

摘 要：文章首先就Android恶意软件的安装和触发特点进行分析，通过分析Android平台中的恶意行为，制定了Android恶意代码检测方案。结合Android平台的特点，分析了现有的恶意软件检测行为，并指出了现有Android恶意软件检测方法的不足和未来发展趋势。

关键词：Android；恶意软件；检测

当前恶意检测方法主要包含静态分析和动态检测技术，静态分析主要是利用程序自身的静态结构、代码来判断其是否具有恶意性，其中涉及反编译、静态系统调用、逆向分析和模式匹配等相关技术。而动态检测主要是通过手机监视程序来对恶意行为进行检测监视。但是这两种技术在判断恶意软件时，仍然存在一些缺陷，没有充分结合实际应用中恶意软件变种、升级等问题。基于Android恶意软件的特征情况，本文提出了静态的综合检测方法以及动态分析技术，更好地解决Android系统的安全问题。 1 Android恶意软件的基本特征

为深入了解Android恶意软件的特征，文章从软件的安装方式、触发方式以及恶意负载种类等几个方面进行描述，同时为后文中检测Android恶意软件提供技术基础。

1.1 安装方式

Android恶意软件通常在形式上比较吸引用户注意，伪装成一些实用软件，进而让手机用户下载安装，迅速蔓延传播。恶意软件在手机中的安装传播方式主要分为三种：重打包下载、更新包下载、偷渡软件下载以及其他方式进入手机。 1.1.1 重打包下载

在一些流行的软件中植入恶意代码，然后进行重新编译，提供给Android手机软件官方市场，这种恶意软件隐藏特征非常强，很难分辨出来，，它们挂上合法安全的命名，具有欺骗性，在软件安装时运用了代码混淆技术和运行时解密技术。

1.1.2 更新包下载

在下载手机中已有的软件更新包时，恶意软件会在apk文件中植入恶意代码，运行更新包时，通过运行动态获取并下载安装恶意代码，一般运用静态扫描无法检测出更新包中的恶意负载。

1.1.3 偷渡软件下载

利用未开发的软件吸引用户在不安全的小网站中下载安装偷渡软件，其实这些偷渡软件就是伪装后的恶意软件，对手机Android系统存在很大的威胁。 1.1.4 其他方式

利用间谍软件安装入Android手机系统中，伪装成手机

常用软件，但是没有伪装应用的实际功能，山寨软件，在软件中隐藏软件的恶意功能。 1.2 触发方式

当恶意软件进入Android手机系统中，一般通过这两种方式进行触发：诱导用户点击、媒体系统。 1.2.1 诱导用户点击

当恶意代码隐藏在重打包应用进入手机中，会伪装成某些重要功能诱导用户点击程序，进而触发恶意软件，导致恶意软件自动运行。 1.2.2 媒体系统

媒体系统主要包括手机中自带的广播系统、短信软件、音乐电影等软件。恶意代码可以隐藏在某段音频视频中，当用户播放广播、音乐或视频时，就会触发恶意软件；还有一种方式是通过短信发送给手机用户一段网址信息，用户点击网址时，就会自动跳转到恶意软件中，触发运行恶意负载。 1.3 恶意负载种类

Android恶意软件的恶意负载种类主要分为这样几类：提升特权、远程操控、恶意吸取话费、盗取隐私信息以及自我保护。

1.3.1 提升特权

提升特权主要表现在恶意软件可以自行突破手机的运行权限，恶意软件利用各种不同的Root攻击程序对Android