Android 插件化恶意软件判定规则 | 恶意软件的范围定义

Posted 韩曙亮

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Android 插件化恶意软件判定规则 | 恶意软件的范围定义相关的知识,希望对你有一定的参考价值。





一、恶意软件判定规则



【Android 插件化】基于插件化的恶意软件的加载策略分析 ( 自定义路径加载插件 | 系统路径加载插件 | 用户同意后加载插件 | 隐藏恶意插件 ) 博客中介绍了 4 4 4 种插件加载运行策略 ;

在 VAHunt: Warding Off New Repackaged android Malware in App-Virtualization’s Clothing 中给出了判定 插件化软件 是否是恶意软件的标准 ;

Google 官方明确反对 静默加载插件 和 隐藏应用操作 , 上述两个操作都会被认定为恶意操作 ;

应用中存在虚拟化引擎 , 不一定会加载插件 , 只有 " 自定义路径加载插件 " , " 系统路径加载插件 " 确定发生了 , 才能确定该虚拟化引擎加载了插件 ;

VAHunt 中定义了一个静默加载策略 , 用于判定应用是否是恶意应用 ;

如果一个插件化应用软件 , 有 " 自定义路径加载插件 " 或者 " 系统路径加载插件 " 中的其中之一操作 , 同时 如果出现 " 不经用户同意加载插件 " 的行为 , 那么就可以认定该 插件化应用 是 恶意应用 ;

如果同时具备
① " 自定义路径加载插件 " 或者 " 系统路径加载插件 " 中的其中之一操作 ,
② " 不经用户同意加载插件 " 的行为 ,
③ " 隐藏恶意插件 " 行为 ,
3 3 3 个条件 , 那么该插件化应用的恶意程度更加严重 ;


如果同时具备
① " 自定义路径加载插件 " 或者 " 系统路径加载插件 " 中的其中之一操作 ,
② " 隐藏恶意插件 " 行为 ,
2 2 2 个条件 , 那么该插件化应用会被标记为可疑应用 , 可能是恶意软件 , 也可能是用户选择不创建 Launcher 应用启动图标 ;





二、恶意软件的范围定义



这个判定规则个人感觉有点严格 , 感觉很多公司的插件化操作 , 是不经过用户同意的 ; ( 本专栏的前半部分开发的插件化应用示例 , 会被 VAHunt 判定为恶意软件 , 因为加载插件前没有经过用户同意 )


这个 恶意软件 的范围定义很大 , 只要是违反了 Google 的安全政策 , 都可以被判定为恶意软件 , 并不是只有作出恶意行为的 APK 会被判定为恶意软件 ;

假如插件中作出了恶意行为 , 如盗取用户数据 , 拦截电话 等操作 ; 插件安装前经过用户同意了 , 则不会被判定为恶意软件 ;

VAHunt 准确的说是检测使用了 插件化引擎 的软件中 , 那些不经过用户同意 , 就私自安装插件的软件 , 仅仅是检测这一类的软件 ;

以上是关于Android 插件化恶意软件判定规则 | 恶意软件的范围定义的主要内容,如果未能解决你的问题,请参考以下文章

Android 插件化基于插件化的恶意软件的加载策略分析 ( 自定义路径加载插件 | 系统路径加载插件 | 用户同意后加载插件 | 隐藏恶意插件 )

Android 插件化静态分析应用 APK 安装包是否使用了插件化引擎 ( 虚拟化引擎运行特点 | 恶意软件特点 )

Android 插件化插件化技术弊端 ( 恶意插件化程序的解决方向 | 常用的插件化虚拟引擎 )

Android 插件化基于插件化引擎的“恶意应用“与“良性应用“区别 | 恶意插件化应用特征

Android 插件化VAHunt 引入 | VAHunt 原理 | VAHunt 识别插件化引擎

Android 插件化现有的针对插件化恶意应用的解决方案 | 插件化应用开发推荐方案