Android 插件化使用插件化引擎对应用进行重打包的恶意软件特征 ( 检测困难 | 成本低 | 恶意插件可更换 | 容易传播 )

Posted 2021-10-22 韩曙亮

文章目录

• 一、检测困难
• 二、成本低
• 三、恶意插件可更换
• 四、容易传播

一、检测困难

---

恶意软件开发者 , 开发一个插件化 宿主软件 , 将 APK 安装包直接以插件形式运行 , 同时还会将恶意代码放在另外一个插件中 ;

上述使用插件化重打包的恶意软件 , 不用修改 APK 文件 , 只需要使用插件化引擎包裹该应用 APK 安装包 ; 一般情况下 , 宿主软件中不植入恶意代码 , 会加载 $2$ 个插件 , 一个是应用的正常 APK 插件 , 另一个是恶意代码插件 ;

恶意插件 一般是加密后 放在 Assets 资源文件中 , 或者从网络中下载 ; 宿主应用中 , 一般不会带有恶意代码 , 因此单纯使用防病毒引擎静态扫描安装包是无法检查出恶意代码 ;

二、成本低

---

传统的重打包 需要 使用 ApkTool 修改包名 , 手动插入恶意代码 , 然后重新打包为新的 APK 文件 , 成功率与效率都不高 ; 成本很高 ;

使用 插件化引擎 对应用进行重打包 , 开发成本很低 , 只需要开发一个插件化引擎 , 即宿主软件 , 代码都不用修改 , 直接加载 APK 文件启动运行即可 , 无需修改 APK 文件 ;

三、恶意插件可更换

---

使用 插件化引擎 对应用进行重打包的恶意软件 , 可以灵活的更换恶意插件模块 , 如 : 今天加载拦截电话的恶意插件 , 明天加载非法广告插件 , 后天加载信息盗取插件 ;

用户如果安装了该重打包的恶意软件 , 就会出现很严重的后果 ;

四、容易传播

---

用户对插件化应用有一定需求 , 如想要双开某些软件 , 就需要下载一些基于插件化引擎的躲开软件 , 如果该多开软件有加载并运行恶意插件 , 会给用户造成危害 ;

还有一种情况 , 黑客将正常的 APK 直接封装到插件化引擎中 , 运行程序时 , 与正常程序一模一样 , 但是恶意的重打包程序还会加载恶意插件 ;

尽量避免到不正规的分发渠道下载应用 ;