【Android安全研究笔记】A Survey of Mobile Malware in the Wild

作者：Adrienne PorterFelt, Matthew Finifter, Erika Chin, Steven Hanna, and David Wagner

University of California, Berkeley

出处：2011 ACM

下载地址：http://download.csdn.net/detail/zhangliangaws/6855717

主要思想：

1、总结了当前开发移动恶意软件的动机并提出解决方案，基于电脑平台恶意软件和移动平台的特点讨论以后可能出现的移动恶意软件。

当前恶意软件开发动机	解决方案
1追求荣誉感和娱乐	预测由于逐利型恶意软件的出现会让这种动机蒙羞，其恶意软件数量会下降。
2盗卖用户信息： IMEI、位置信息、联系人信息等等。	（1）IMEI可以由每台设备唯一的ID来替代。 （2）Android和Symbian可以通过进一步约束应用对其他应用的信息的获取来防止其他信息泄露。IOS没有这个问题。
3窃取用户信用信息：通过拦截短信获取银行账户信用信息。此外在手机平台进行进行网络钓鱼更具有欺骗信。	二元认证[E1] （用户提供两种身份信息）不足以应对复杂的钓鱼攻击。 Android和Symbian系统的机制给违法者通过文件搜索获得信用信息的可能，必须提升应用之间的隔离机制。钓鱼趋势会不断提升。
4恶意软件可以在用户完全不知情的情况下使用户手机拨打计费电话、发送短信订购业务。	强制短信发送之前必须通过用户同意。IOS系统所有的短信发送之前都需要通过用户同意。
5垃圾短信：发送商业广告和散步钓鱼链接并采用4的方式让用户付费。	强制短信发送之前必须通过用户同意，如果确实有一些应用需要直接发短信必须通过一个特殊平台设置授权，并给用户提示，类似于修改系统输入法时候的机制。
6最优化搜索引擎：提升一些网站在搜索引擎中的排名，间接获利。	对每个网络请求增添元数据字段，调用指定应用处理请求。
7赎金：通过窃取用户的浏览器记录，并威胁将之公布进行敲诈。	目前只在PC平台出现过。

未来开发恶意软件动机：

（1）广告点击欺诈，欺诈网站用各种软件控制用户点击广告。通过让广告商获利从而自己获利。解决办法和“最优化搜索引擎”类似，在HHTP(s)请求前面加上字段调用相应的程序处理。
（2）入侵型广告—当用户正在使用其他应用的时候蹦出来，干预用户对其他应用的正常使用。
动机可能有：
》广告违法的商品或服务，或者是某种被合法广告公司禁止广告的特性。
》为合法商品做广告，单纯为了获利。
（3）应用内账单欺诈
（4）政府
（5）恶意电子邮件
（6）分布式拒绝服务
（7）NFC和信用卡

2、检测现有的防御机制是否能够识别出当前的恶意软件—基于应用权限检测。
恶意软件的权限分布完全落在非恶意软件之中，难以通过权限的数量来判定软件的性质。
在样本恶意软件中，使用的公共权限只有SMSmessage（73%）和READ_PHONE_STATE。这获取可以作为评判的依据。
Enck等人基于权限集合的安全规则识别出了11款恶意软件中的4款，通过低召回率降低了错判率。
小结：关于权限集机制可以提出更复杂的规则和分类方法。
3、评估对于公布破解root权限的鼓励背后的动机，并总结这些破解方法的可用性。
恶意软件作者利用root破解方法获取额外的权限，从而可以在手机上执行任何操作。手机用户需要root破解方法来开发或者安全自制的操作系统，由于自带操作系统本身总有一些限制。这就导致了恶意软件开发者和手机用户的利益一致性。关于获取root权限的方法一般在手机固件升级后很短的时间内（甚至当天）就会被找到，并且详细的公布在论坛上。
当前的手机供应商对手机系统的“封闭”模型对于终端用户来说是有害的，因为它让用户和恶意软件开发者的利益一致。一种替代的模型是：采用开发的启动加载器，不需破解系统就能定制自己的手机，并且依赖于物理操作来避免远程攻击者的滥用。这样就不会刺激用户自制破解了root权限的系统。然而这种“不刺激”破解root权限的办法，也无法解决所有设备定制的问题。对于苹果的越狱用户来说，他们的设备依然很脆弱，因为不当配置而留下的后门被4款iOS恶意软件所利用。