Android 插件化使用插件化引擎对应用进行重打包的恶意软件特征 ( 检测困难 | 成本低 | 恶意插件可更换 | 容易传播 )
Posted 韩曙亮
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Android 插件化使用插件化引擎对应用进行重打包的恶意软件特征 ( 检测困难 | 成本低 | 恶意插件可更换 | 容易传播 )相关的知识,希望对你有一定的参考价值。
一、检测困难
恶意软件开发者 , 开发一个插件化 宿主软件 , 将 APK 安装包直接以插件形式运行 , 同时还会将恶意代码放在另外一个插件中 ;
上述使用插件化重打包的恶意软件 , 不用修改 APK 文件 , 只需要使用插件化引擎包裹该应用 APK 安装包 ; 一般情况下 , 宿主软件中不植入恶意代码 , 会加载 2 2 2 个插件 , 一个是应用的正常 APK 插件 , 另一个是恶意代码插件 ;
恶意插件 一般是加密后 放在 Assets 资源文件中 , 或者从网络中下载 ; 宿主应用中 , 一般不会带有恶意代码 , 因此单纯使用防病毒引擎静态扫描安装包是无法检查出恶意代码 ;
二、成本低
传统的重打包 需要 使用 ApkTool 修改包名 , 手动插入恶意代码 , 然后重新打包为新的 APK 文件 , 成功率与效率都不高 ; 成本很高 ;
使用 插件化引擎 对应用进行重打包 , 开发成本很低 , 只需要开发一个插件化引擎 , 即宿主软件 , 代码都不用修改 , 直接加载 APK 文件启动运行即可 , 无需修改 APK 文件 ;
三、恶意插件可更换
使用 插件化引擎 对应用进行重打包的恶意软件 , 可以灵活的更换恶意插件模块 , 如 : 今天加载拦截电话的恶意插件 , 明天加载非法广告插件 , 后天加载信息盗取插件 ;
用户如果安装了该重打包的恶意软件 , 就会出现很严重的后果 ;
四、容易传播
用户对插件化应用有一定需求 , 如想要双开某些软件 , 就需要下载一些基于插件化引擎的躲开软件 , 如果该多开软件有加载并运行恶意插件 , 会给用户造成危害 ;
还有一种情况 , 黑客将正常的 APK 直接封装到插件化引擎中 , 运行程序时 , 与正常程序一模一样 , 但是恶意的重打包程序还会加载恶意插件 ;
尽量避免到不正规的分发渠道下载应用 ;
以上是关于Android 插件化使用插件化引擎对应用进行重打包的恶意软件特征 ( 检测困难 | 成本低 | 恶意插件可更换 | 容易传播 )的主要内容,如果未能解决你的问题,请参考以下文章
Android 插件化插件化技术弊端 ( 恶意插件化程序的解决方向 | 常用的插件化虚拟引擎 )
Android 插件化基于插件化引擎的“恶意应用“与“良性应用“区别 | 恶意插件化应用特征
Android 插件化使用 PluginKiller 帮助应用开发者规避发布的 APK 安装包被作为插件的风险 ( 验证应用是否运行在插件化引擎中 )
Android 插件化静态分析应用 APK 安装包是否使用了插件化引擎 ( 虚拟化引擎运行特点 | 恶意软件特点 )