欺诈类手机恶意软件识别方法研究

（中国移动通信集团广东有限公司珠海分公司， 珠海 519015）

欺诈类手机恶意软件识别方法研究

赵旺飞

（中国移动通信集团广东有限公司珠海分公司， 珠海 519015）

提出了一种欺诈类手机恶意软件多维度检测模型，通过静态检测识别和动态运行验证的双重验证法确保恶意软件的精准识别。建立签名信息、权限、分组名等多个维度的应用软件特征识别库，根据特征库将应用软件打上正常软件和恶意软件的标签，最大限度完善现有欺诈类手机恶意软件安全防护手段，支撑第三方应用软件商店规范发展，有效提升用户对欺诈类手机恶意软件防范意识和保护手机使用安全起到积极作用。

手机欺诈；恶意软件；手机安全；动态检测

来自网秦“云安全”监测平台的数据，2014年第一季度查杀到手机恶意软件共计41 199款，同比增长63.9%；感染智能手机共计1 784万部，同比增长71.5%。在恶意软件的特征分类中，2014年第一季度诱骗欺诈类恶意软件超过了恶意扣费类恶意软件以总感染人数48%的比例列第一位。诱骗欺诈类恶意软件主要是通过诱骗性的信息，来骗取用户下载安装其它软件，达到广告推广的目的。诱骗欺诈类恶意软件主要是通过伪装成游戏类应用来进行传播的，在2014年第一季度的10大恶意软件排名中，有7个是游戏类应用。

手机恶意软件会进行恶意订购，一方面产生异常流量和短彩信费用，给手机用户带来巨量经济损失，还会造成通信录、短信内容、上网记录、位置信息等个人信息丢失泄露，另一方面也会造成网络资源被大量占用，用户网络质量感知差，异常网络投诉增多，增加客服部门的投诉处理压力，影响企业品牌形象，降低用户信任度。因此分析游戏类等APP应用软件特征行为、挖掘恶意软件内嵌广告的机制对于移动MM等众多第三方应用商店增强安全审核机制、强化手机用户的安全保护意识具有重要的意义。

1 恶意软件总体识别方法

1.1 构建欺诈类手机恶意软件多维度检测模型

欺诈类手机恶意软件识别可以从流量异常用户的数据分析和“恶意”软件工作原理分析两个维度开展，构建欺诈类恶意软件特征库识别模型。

通过对大量第三方手机应用软件和官方网站下载的标准应用软件进行对比分析，分析流程如图1所示。

（1）针对第三方应用（非官方网站）下载的待安装手机应用软件安装包与官方网站下载的标准应用软件安装包进行解压缩，提取各自的特征。Android智能终端的安装包格式为APK（AndroidPackage），组成主要包括assets文件夹、lib文件夹、META-INF 文件夹、res文件夹、AndroidManifest.xml、classes.dex、resources.arsc。APK安装包类似于PC电脑中的exe可执行文件，在Android平台上安装即可使用。与exe文件不同的是：APK满足zip格式的压缩文件，通过UnZIP解压缩应用软件就可将Android解压。

图1 欺诈类手机恶意软件分析流程

（2）对比第三方手机应用软件安装包与官方下载的手机应用软件安装包的内容特征。通常Android系统APK安装包中，META-INF文件可解析出签名信息、manifesttion.xml文件中含有权限信息、classes.dex文件可查阅分组名。

（3）静态检测识别和动态运行验证的双重验证法确保恶意软件的精准识别。一方面可通过对第三方手机应用软件安装包与官方下载的手机应用软件安装包的内容特征文件进行解压或者反编译，获取相关签名信息、分组名和权限信息，进行静态检测对比分析，另一方面可在测试环境中对各种手机应用软件安装包进行安装，通过测试运行分析手机流量、短信、访问的网络内容状态，实现对恶意软件的精准识别，以判别该手机应用软件中是否存在偷发短信、内置广告链接网络平台等欺诈行为。

（4）构建欺诈类手机恶意软件特征属性库。基于静态检测识别和动态运行验证的双重验证法获取到大量欺诈类手机恶意软件与官方软件的特征后，构建欺诈类手机恶意软件特征属性库，基于特征库匹配即可快速实现该类手机应用软件特征的自动识别。

构建欺诈类手机恶意软件多维度检测模型如图2所示。

图2 欺诈类手机恶意软件多维度检测模型

1.2 软件特征属性库建立与维护

对于第三方应用商店下载的各种版本的手机应用软件，若存在官方网站对应的应用，可按照欺诈类手机恶意软件多维度检测模型来解析其官方版以获得这类软件的标准特征属性库。

对于不存在官方版的手机应用软件，直接通过静态检测识别和动态运行验证的双重验证法分析其行为特征来获得这类软件的特征属性。

将获取到的手机应用软件的权限根据是否产生恶意流量、发送垃圾短信、自动连接后台传递用户隐私等行为特征打上正常应用和恶意应用的标签，以提示用户。

当通过欺诈类手机恶意软件匹配特征库匹配后，未发现该手机应用软件的特征时，通过闭环管理更新特征属性库，实现手机应用软件特征属性库的及时更新。软件特征属性库建立与维护流程如图3所示。

2 欺诈类恶意软件识别应用

2.1 基于垃圾短信行为的恶意软件识别

通过从不同的手机应用软件市场下载同一款QQ斗地主手机端软件，利用欺诈类手机恶意软件多维度检测模型对其进行反编译和解密得到的文件检测，分别提取文件中的签名信息、分组名和权限信息。

图3 软件特征属性库建立与维护流程

静态检测识别分析：通过比较、统计等方法发现除一款QQ斗地主手机应用软件外，其余应用软件在签名信息、权限、分组名3个的特征都相同。异常的这款软件特征属性如图4所示。

通过图4发现：该款软件签名信息不完整，获得权限多，分组名信息不规范。通过对sms分组深入分析，发现其包含一个接收信息的类。

动态检测识别分析：将这几款QQ斗地主手机应用软件分别安装在不同的测试手机上，对比静态检测分析的权限，发现安装了有接收信息类QQ应用软件的手机收到了恶意短信，而其它测试手机均正常。

2.2 基于手机广告的恶意软件

识别

手机客户端应用软件的广告运营模式一般为广告主在广告平台投放广告，客户端根据用户请求推送广告信息达到传播的效果。现在广告形式日趋多样化，不仅有短信消息广告、页面上轮播的广告条、主页下拉栏通知广告、也有带音视频的多媒体广告、直接弹出的封面广告和积分墙广告。

利用静态检测对恶意广告进行特征提取，获取广告的代码特征：manifest.xml文件中配置权限与广告ID；layout布局文件中设置广告显示参数；values/ attrs.xml中配置广告属性；Java代码中调用广告API从广告源更新；Java代码中留下一些Ad字样及广告平台的分组文件。

根据广告的代码特征，分析识别出恶意广告特征：（1）关键API在程序中的调用，如短信发送sendTextMessage()、getdeviceID()、airpush()以及 android.view分组中的View.OnCliekListene类的onClick(View)函数等；（2）在关键API恶意性参数源中包含IMEI标志字符串、相关SP业务发送码及确认码或URL下载链接；（3）关键API调用非用户请求而程序自动进行。如Content.Context.StartService()以及申明为自启动的StartActivity() ；（4）包含Java代码的程序元素，如一些常见恶意类广告的分组名、类名、接口名、枚举类、变量、方法等。

2.3 基于流量恶意流失的恶意软件识别

图4 提取一款QQ斗地主应用软件属性特征

通过从不同的第三方应用市场下载13款手电筒应用软件，对比发现了有一款请求权限多。对比两款应用软件解析的代码及对应权限，正常应用软件权限特征如下。

（1）android.permission.CAMERA。

（2）android.hardware.camera。

（3）android.hardware.autofocus。

（4）android.permission.FLASHLIGHT。

（5）android.permission.WAKE_LOCK。

其中权限1～3允许拍摄照片和视频；权限4允许控制闪光灯；权限5允许阻止手机进入休眠。

其中一款手电筒应用软件权限要求如下。

（1）android.permission.CAMERA。

（2）android.permission.FLASHLIGHT。

（3）permission.RECEIVE_BOOT_COMPLETED。

（4）android.permission.INTERNET。

（5）android.permission.WAKE_LOCK。

（6）android.permission.READ_PHONE_ STATE。

（7）permission.WRITE_EXTERNAL_ STORAGE。

（8）permission.READ_EXTERNAL_STORAGE。

（9）android.permission.VIBRATE。

（10）MOUNT_UNMOUNT_FILESYSTEMS。

（11）permission.ACCESS_NETWORK_STATE。

其中权限4请求接入互联网；权限11允许应用访问网络上的信息。当用户开启该款手电筒应用软件时，也会同时自动连接互联网，不仅会产生流量，导致用户产生话费，甚至访问的互联网内容会使手机感染病毒，造成用户信息泄露。

3 总结

本方案相比现有的恶意软件识别应用具有以下优点。

（1）提出了一种欺诈类手机恶意软件多维度检测模型，通过静态检测识别和动态运行验证的双重验证法，确保恶意软件的精准识别。

（2）建立签名信息、权限、分组名等多个维度的应用软件特征识别库和识别权限与恶意行为的对应关系。根据特征库将应用软件打上正常软件和恶意软件的标签，有利于用户的快速识别，避免恶意软件的影响。

（3）利用RSA识别正规软件，有利于加强正规手机应用软件的安全管理，完善现有的欺诈类手机恶意软件安全防护措施，在支撑第三方应用软件商店规范发展、提升用户对欺诈类手机恶意软件防范意识方面起到积极作用。

[1] 张文． 严寒冰． 一种Android恶意程序检测工具的实现[J]． 信息网络安全， 2013(1)．

[2] 常玲， 吴兴耀． 手机病毒防治模式分析[J]． 电信工程技术与标准化， 2012(5)

Research of the malware problems with mobile phones

ZHAO Wang-fei
(China Mobile Group Guangdong Co., Ltd. Zhuhai Branch, Zhuhai 519015, China)

The paper describes the multi dimension model of detecting mobile malware problems. Through the double verif cation method of static and dynamic operation of the mobile malware problems, eventually the mobile malware problems can be accurately identified. Establishing a software characteristic of library, which includes the dimension information of signature, permission and package name. According to the characteristics of library, the application software can be tagged of good or malicious software to help mobile phone users to prevent the malware software problems.

mobile phone fraud; malware software; mobile phone security; dynamic detection

TN918

A

1008-5599（2014）12-0066-04

2014-09-15