Android 插件化使用插件化引擎对应用进行重打包的恶意软件特征 ( 检测困难 | 成本低 | 恶意插件可更换 | 容易传播 )

Posted 韩曙亮

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Android 插件化使用插件化引擎对应用进行重打包的恶意软件特征 ( 检测困难 | 成本低 | 恶意插件可更换 | 容易传播 )相关的知识,希望对你有一定的参考价值。





一、检测困难



恶意软件开发者 , 开发一个插件化 宿主软件 , 将 APK 安装包直接以插件形式运行 , 同时还会将恶意代码放在另外一个插件中 ;

上述使用插件化重打包的恶意软件 , 不用修改 APK 文件 , 只需要使用插件化引擎包裹该应用 APK 安装包 ; 一般情况下 , 宿主软件中不植入恶意代码 , 会加载 2 2 2 个插件 , 一个是应用的正常 APK 插件 , 另一个是恶意代码插件 ;

恶意插件 一般是加密后 放在 Assets 资源文件中 , 或者从网络中下载 ; 宿主应用中 , 一般不会带有恶意代码 , 因此单纯使用防病毒引擎静态扫描安装包是无法检查出恶意代码 ;





二、成本低



传统的重打包 需要 使用 ApkTool 修改包名 , 手动插入恶意代码 , 然后重新打包为新的 APK 文件 , 成功率与效率都不高 ; 成本很高 ;

使用 插件化引擎 对应用进行重打包 , 开发成本很低 , 只需要开发一个插件化引擎 , 即宿主软件 , 代码都不用修改 , 直接加载 APK 文件启动运行即可 , 无需修改 APK 文件 ;





三、恶意插件可更换



使用 插件化引擎 对应用进行重打包的恶意软件 , 可以灵活的更换恶意插件模块 , 如 : 今天加载拦截电话的恶意插件 , 明天加载非法广告插件 , 后天加载信息盗取插件 ;

用户如果安装了该重打包的恶意软件 , 就会出现很严重的后果 ;





四、容易传播



用户对插件化应用有一定需求 , 如想要双开某些软件 , 就需要下载一些基于插件化引擎的躲开软件 , 如果该多开软件有加载并运行恶意插件 , 会给用户造成危害 ;

还有一种情况 , 黑客将正常的 APK 直接封装到插件化引擎中 , 运行程序时 , 与正常程序一模一样 , 但是恶意的重打包程序还会加载恶意插件 ;

尽量避免到不正规的分发渠道下载应用 ;

以上是关于Android 插件化使用插件化引擎对应用进行重打包的恶意软件特征 ( 检测困难 | 成本低 | 恶意插件可更换 | 容易传播 )的主要内容,如果未能解决你的问题,请参考以下文章

Android 插件化插件化技术弊端 ( 恶意插件化程序的解决方向 | 常用的插件化虚拟引擎 )

Android 插件化基于插件化引擎的“恶意应用“与“良性应用“区别 | 恶意插件化应用特征

Android 插件化使用 PluginKiller 帮助应用开发者规避发布的 APK 安装包被作为插件的风险 ( 验证应用是否运行在插件化引擎中 )

Android 插件化静态分析应用 APK 安装包是否使用了插件化引擎 ( 虚拟化引擎运行特点 | 恶意软件特点 )

Android 插件化多开原理 | 使用插件化技术的恶意应用 | 插件化的其它风险 | 应用开发推荐方案

Android 插件化VAHunt 检测插件化引擎的具体细节