Android智能手机恶意代码犯罪的分析研究

◆陆梦舟 金 钦



Android智能手机恶意代码犯罪的分析研究

◆陆梦舟 金 钦

(江苏警官学院 江苏 210031)

本文以基于Android平台实施诈骗的远程控制木马为研究对象，通过分析研究并提取各类数据，针对Android智能手机的恶意代码犯罪进行侦查取证，从源码静态分析掌握木马取证的恶意操作。在后台监控和犯罪追踪等方面做出修改和完善，通过反侦查手段利用木马为网络犯罪侦查提供信息。

Android平台；恶意代码；木马

0 引言

通过移动互联网技术，移动设备可以方便地联网。与此同时，移动设备提供的强大编程能力以及便携的特点，极大丰富了移动互联计算机能够带来的服务。[1]

受到智能手机和移动互联网网民规模快速增长的推动，移动互联网仍然继续保持着较快的发展速度。但是作为业务基石的智能手机却面临着很多安全威胁，智能手机的隐私以及安全问题也越来越明显。移动设备比如手机等作为移动互联网时代的最主要的通讯工具，面临着很大的安全问题的挑战，移动设备的恶意代码将成为恶意软件发展的下一个目标。[2]

近年来，Android系统被发现了多个影响范围非常广泛的安全漏洞（如Stage-fright漏洞和Certifi-gate漏洞），涉及90%以上的Android智能设备，木马被植入用户的手机后，接受服务器指令进行隐私窃取或电子帐户盗窃。公安机关接连接到若干Android平台的远程控制木马实施诈骗的案件，对木马的分析研究并提取的各类数据在相关案件中具有重要证据价值，也成为该类案件侦查取证的重要手段。

1 相关理论与工作

1.1Android系统的安全机制

在Android系统模型中，为了更进一步限制不同应用程序间访问敏感数据，比如用户的私人账号、密码，曾经浏览过的网址等，应用被设备的使用者授予了不同的权限。Android使用安装时即指定的权限模型，在配置文件中指定应用所应有的操作权限。在应用被安装前，用户必须浏览应用所需要的各种权限。这种方式告知了用户应用可能有各种操作行为，比如打电话、发短信、定位、使用浏览器上网等。比如用户下载安装了游戏软件，它可能要求SMS短信发送，打电话等权限，用户对这种行为作出判断，更有利于帮助用户躲避恶意代码的攻击。[3]

1.2恶意代码的反调试技术

恶意代码逃脱安全软件检测的方式有很多，对抗检测技术是其实现自身保护的重要机制，能降低代码被发现的可能性。为了加大检测难度，恶意代码常采用反调试技术，提高其伪装能力和可生存性。反调试技术可以分为动态反调试和静态反调试两种类型。

针对恶意代码的反调试技术对其进行的预防包括增强安全防范策略与意识、减少漏洞和减轻威胁三个方面的措施。增强安全防范策略与意识是解决恶意软件预防并实施预防性控制的基础。实施综合的威胁减轻技术和工具，例如防病毒软件，可以防止威胁攻击系统和网络。通过运用特征码扫描、沙箱技术、行为检测等常用技术收集并分析网络和计算机系统中若干关键点的信息。

2 提取木马发送对象的网络地址

为实时检测并分析木马程序的恶意行为，在Linux下搭建Android开发测试环境进行实验。使用Wire shark抓获其网络通信数据进行分析，提取出木马将窃取的信息所发送的对象的网络地址。

要进行木马追溯，首先要检测到其静默发送邮件和短信。关于静默运行，最典型的是脚本运行和输出，这可以归结到作业控制。

如果受害者接收了此类邮件或短信，脚本中植入的木马会入侵安卓系统漏洞，进行一些对root用户或oracle用户的按键操作的监视。例如使用script命令捕获按键操作：

TS=$(date+%m%d%y%H%M%S) # File time stamp

THISHOST=$(hostname | cut - f1 - 2 - d．) # Host name of this machine

LOGDIR=/usr/local/logs/script # Directory to hold the logs

LOGFILE=$(THISHOST)．${LOGNAME)．$TS # Creates the name of the log file

Touch $LOGDIR/$LOGFILE # Creates the actual file

这属于恶意骗取Root权限的行为。尽管在追溯木马与控制端联系的邮件地址或电话号码时存在难度，但是依然可以通过反向连接域名进行反击。

这里以反向木马为例。木马在Android平台上的种植主要是通过apk的漏洞。 用户一旦中招，木马将会通过进程绑定、修改系统文件等方式隐藏后干扰系统输出，木马植入者使用反向链接的方式就可以控制拥有大量有着动态IP的个人用户，进而发展出大批肉鸡。如果换位思考，不难想到，既然域名服务器会接收到查询要求并且返回域名对应的IP，那么进行域名劫持追溯到木马源头的域名查询请求就是可行的。

于是使用以下器件构建网络拓扑：

Hub一台，ADSLModem一台，Android机一部（已被手动植入木马），notebook一台。

过程：使用入侵检测工具打开检查进程和服务（包括隐藏），进入安全模式后再系统文件夹下搜索木马dll从而发现其关联服务名，禁止相关第三方自启程序后修改服务方式，重启后使用book监听。（Hub是方便的端口转发工具，可以清晰显现木马的隐藏数据。）

从监听数据发现，Android机中的木马使用被种植机的DNS服务器查询了另一个DNS服务器的IP，可见试验机是在被入侵后作为了肉鸡使用。此时监听二次查询的IP和book的IP之间的数据收到了域名服务器的查询相应：

=800)window.open('../image s/

10_935_0d7c38b936f83f5.png');"onload="if(this.width>'800')this.width='800';if(this.height>'800')this.height='800';">

期间book发动了短信交换记录的请求，将被入侵及其相关的记录发送去了一个反向域名，经过ping验证，得出这就是木马背后关联的入侵者域名。

得知域名后，通过大数据平台分析可以追溯到控制端的邮件地址，从而定位到点，至此，木马发送对象的网络地址已完全暴露，本次恶意代码反向链接实验是成功的。

3 结语

随着移动互联网的高速发展，Android系统凭借其优秀的性能与方便易用等特点，在移动设备中的占有率最大。而正是由于Android系统的流行，传统的病毒和木马制作者开始将矛头从PC段逐渐转移指向了智能移动终端，使得近年来具有恶意代码的Android应用程序被大量发现，这些应用对用户信息安全与财产安全造成了极大的危害。

Android系统恶意代码数量之大、变种之多，根本原因在于Android系统开源的特点。但是通过在Android平台上进行操作，对木马部分源码进行静态分析，是可以掌握木马取证的恶意操作的，对于获得的Android手机恶意代码，在不运行程序的基础上进行反编译进而得到其代码并对其进行阅读分析；或者在模拟环境的沙箱中进行运行并分析其功能，掌握木马的读取短信、监控短信收发、读取联系人、后台发送邮件等操作。这样较以往的在网络犯罪侦查中对于木马病毒的盲目被动型追查方式，进行了改善，更可以对此进行针对性的防范，为公安实战部门受理的安卓恶意代码的网络犯罪案件提取线索和侦查取证的技术支持。[4]

在后台监控和犯罪追踪等方面做出修改和完善，通过反侦查手段利用木马为网络犯罪侦查提供信息，计算机模型的变革还在继续，信息化发展的道路警务侦查的保障。如何利用警务手段维护网络平台的安全，仍是需要不断钻研的课题。

[1]张源.安卓平台安全性增强关键技术的研究，2015.

[2]郑吉飞.Android恶意代码的静态检测研究，2016.

[3]莫宇祥,俞建銮,王磊.基于角色的Android手机平台木马检测系统[J].现代计算机，2016.

[4]李根.Android系统恶意代码检测技术研究，2016.