DroidMorph 的工具,提供 安卓应用程序 (APK) 的变形并允许创建 安卓 应用程序(恶意软件 / 良性)克隆
来自阿达纳科技大学(土耳其)和国立科技大学(巴基斯坦伊斯兰堡)的一组研究人员开发了一种名为 DroidMorph 的工具,该工具可提供 Android 应用程序 (APK) 的变形并允许创建 Android 应用程序(恶意软件/良性)克隆。专家证明,使用该工具可以绕过执行恶意软件排列的 Android 反恶意软件解决方案。学术界进行的这项研究旨在开发新技术来检测和分析越来越多的 Android 恶意软件变体(克隆)并阻止使用它们的攻击。
“恶意软件编写者使用隐形突变(变形/混淆)来不断开发恶意软件克隆,从而阻止基于签名的检测器的检测。这种克隆攻击严重威胁着所有的移动平台,尤其是安卓。”专家发表的论文中写道。
然后,研究人员使用开发的 Android APK 变形工具来评估当前商业反恶意软件解决方案对使用 Android 恶意软件克隆的攻击的弹性。
DroidMorph 首先将 Android APK 反编译为中间形式,然后对其进行不同抽象级别(类、方法和主体)的变形。然后将变形的中间形式编译为变形的 Android APK。然后对 APK 进行签名以生成最终经过变形和签名的 Android APK,该 APK 可以在 Android 设备上执行。
下图显示了 DroidMorph 的架构概览:
专家针对普通和非普通混淆的组合测试了反恶意软件产品,前者通过更改应用程序代码中的类和方法名称,而后者则基于应用程序执行流程的改变。
专家用于测试的数据集由从两个不同资源收集的 848 个 Android 恶意软件应用程序组成。
研究人员使用 VirusTotal 并选择了 17 个反恶意软件程序来检测
“ Android 恶意软件克隆的数量正在增加,为了阻止这种克隆攻击,我们需要研究这些克隆是如何生成的”报告总结道。“在 DroidMorph 中,我们只实现了一些基本的微不足道和非微不足道的混淆(变形)。其他混淆的实施正在进行中,这将进一步改善(减少反恶意软件程序的检测)结果。将来,我们将进一步改进不同级别的变形,特别是类级别的变形。我们还将添加嵌入在 APK 中的元信息(权限等)的变形,这将进一步减少反恶意软件程序的检测。“
