- JoeSandbox
- VirusTotal (VirusTotal R2DBox + Zenbox Android 🔗)
- Kaspersky Threat Intelligence Portal
- OPSWAT MetaDefender
- Hybrid Analysis (Falcon Sandbox)
- Android Studio
- Genymotion
- Nox
- Eclipse
- DroidBox
- APPetize (онлайн-эмулятор)
🐛 Виды вредоносного ПО:
[ Троян ],[ Бэкдор ],[ Шпионское ПО ],[ Фишинговое ПО ],[ Загрузчик ],[ ПО для повышения привилегий ],[ Рутирующее ],[ Вымогатель ],[ Мошенничество с помощью звонков ],[ ПО для спама ],[ Мошенничество с помощью рекламы ],[ ПО для отказа в обслуживании ]
Сценарии инфицирования:
- Drive by download attack: – Вредоносное приложение устанавливается на устройство без согласия пользователя (скачивается через вредоносный сайт, ...);
- Update attack: – Легитимное ПО получает вредоносное обновление, на установку которого соглашается пользователь;
- Repacking attack: – Вредоносная функциональность содержится внутри устанавливаемого пользователем легитимного ПО;
Тип, RU |
Тип, EN |
Описание |
|---|---|---|
| Троян | Trojan | Выглядит как легитимное ПО, но содержит скрытую функциональность |
| Бэкдор | Backdoor | Открывает канал коммуникации с Command & Control сервером, предоставляет атакующим доступ к выполнению команд |
| Шпионское ПО | Spyware | Собирает информацию + отправляет её атакующему без пользовательского ведома (кейлоггинг, запись звонков, кража SMS, ...) |
| Фишинговое ПО | Phishing | Крадёт информацию, вводимую пользователем в приложение (платёжная информация, данные учётных записей, ...) |
| Загрузчик | Downloader | Скачивает другие приложения для накрутки их числа скачиваний |
| ПО для повышения привилегий | Privilege Escalation | Пытается повысить привилегии через эксплуатацию системных уязвимостей |
| Рутирующее | Rooting | Получает root привилегии на устройстве для выполнения команд от лица администратора |
| Вымогатель | Ransomware | Захватывает контроль над устройством взамен на выполнение пользователем действий |
| SMS мошенничество | SMS Fraud | Посылает SMS на премиальные номера для траты денег |
| Мошенничество с помощью звонков |
Call Fraud | Совершает звонки на премиальные номера для траты денег |
| ПО для спама | Spam | Рассылает спам через инфицированную машину |
| Мошенничество с помощью рекламы |
Ad Fraud | Делает запросы к рекламным объявлениям для накрутки просмотров |
| ПО для отказа в обслуживании | Denial of Service, DoS | Использует инфицированные устройства для атак отказа в обслуживании / Использует проблемы системы для вызова отказа в обслуживании |
// Частые признаки вредоносного ПО, выделенные исследователями при анализе разницы между (вредоносным | легитимным) и (одним типом вредоносного ПО | другими типами) с помощью машинного обучения;
Что можно почитать по теме:
– [ 📄 ] Научная работа: [🔗 arXiv:2107.03799]
‟Contrastive Learning for Robust Android Malware Familial Classification”
– [ 📄 ] Научная работа: [🔗 arXiv:1903.01618]
‟Detecting and Classifying Android Malware using Static Analysis along with Creator Information”
– [ 📄 ] Научная работа: [🔗 DOI:10.3390/app112110244]
‟Machine-Learning-Based Android Malware Family Classification Using Built-In and Custom Permissions”
– . . .
-
[ От легитимного ]:
INSTALL_PACKAGES: ~0% легитимного ПО против ~20% рутирующего;GET_PACKAGE_SIZE: ~2% легитимного ПО против ~30% рутирующего;KILL_BACKGROUND_PROCESSES: ~2& легитимного ПО против ~30% рутирующего;MOUNT_UNMOUNT_FILESYSTEMS: ~5% легитимного ПО против ~40% рутирующего;SYSTEM_ALERT_WINDOW: ~10% легитимного ПО против ~50% рутирующего;GET_TASKS: ~15% легитимного ПО против ~70% рутирующего;RECEIVE_BOOT_COMPLETED: ~25% легитимного ПО против ~65% рутирующего;READ_PHONE_STATE: ~35% легитимного ПО против ~85% рутирующего;ACCESS_WIFI_STATE: ~40% легитимного ПО против ~80% рутирующего;- Число вызова метода
sendnet> 0: ~0% легитимного ПО против ~10% рутирующего; - Большое число вызовов
org.apache.http.conn.scheme: ~2% легитимного ПО против ~30% рутирующего;
-
[ От других типов ]:
GET_PACKAGE_SIZE: ~10% других типов против ~30% рутирующего;- Чаще запрашивают, чем другие типы:
MOUNT_UNMOUNT_FILESYSTEMS,GET_TASKS,ACCESS_WIFI_STATE,INSTALL_PACKAGES,READ_LOGS,RESTART_PACKAGES - Реже запрашивают, чем другие типы:
READ_PHONE_STATE,RECEIVE_BOOT_COMPLETED; - Гораздо чаще вызывают библиотеки Apache, чем другие типы;
-
[ От легитимного ]:
- Гораздо меньше по размеру, чем легитимное ПО;
- Гораздо чаще запрашивают, чем легитимное ПО:
SEND_SMS,RECEIVE_SMS,WRITE_SMS,READ_SMS; GET_TASKS: в 3 раза чаще, чем легитимное;READ_PHONE_STATE: в 2 раза чаще, чем легитимное;SYSTEM_ALERT_WINDOW: в 2 раза чаще, чем легитимное;MOUNT_UNMOUNT_FILESYSTEMS: в 2 раза чаще, чем легитимное;
-
[ От других типов ]:
CALL_PHONE: в 3 раза чаще, чем другие типы;- Значительно чаще запрашивают, чем другие типы:
ACCESS_FINE_LOCATION,RECORD_AUDIO;
-
[ От легитимного ]:
SEND_SMS,RECEIVE_SMS,WRITE_SMS,READ_SMS: ~5% легитимного ПО против ~80% банковских троянов;CHANGE_NETWORK_STATE: ~5% легитимного ПО против ~40% банковских троянов;SYSTEM_ALERT_WINDOW: ~10% легитимного ПО против ~60% банковских троянов;GET_TASKS: ~15% легитимного ПО против ~80% банковских троянов;READ_PHONE_STATE: ~35% легитимного ПО против ~95% банковских троянов;
-
[ От других типов ]:
RECEIVE_SMS,WRITE_SMS,READ_SMS: в 2 раза чаще, чем другие типы;- Чаще запрашивают:
VIBRATE,WAKE_LOCK,CALL_PHONE,WRITE_CONTACTS,READ_CALL_LOG;
-
[ От легитимного ]:
INSTALL_PACKAGES: ~0% легитимного ПО против ~20% вымогателей;KILL_BACKGROUND_PROCESSES: ~2% легитимного ПО против ~25% вымогателей;MOUNT_UNMOUNT_FILESYSTEMS: ~5% легитимного ПО против ~40% вымогателей;ACCESS_WIFI_STATE: ~40% легитимного ПО против ~80% вымогателей;RESTART_PACKAGES: ~5% легитимного ПО против ~25% вымогателей;READ_PHONE_STATE: в 2 раза чаще, чем легитимное ПО;RECEIVE_BOOT_COMPLERED: в 3 раза чаще, чем легитимное ПО;GET_TASKS: в 4 раза чаще, чем легитимное ПО;READ_LOGS: в 4 раза чаще, чем легитимное ПО;SYSTEM_ALERT_WINDOW: в 4 раза чаще, чем легитимное ПО;- Большее число вызовов
org.apache.http.conn/org.apache.http.conn.scheme, чем у легитимного ПО; - Меньшее число вызовов Android API, чем у легитимного ПО;
- Меньше по размеру, чем легитимное ПО;
-
[ От других типов ]:
- Чаще запрашивают:
RESTART_PACKAGES,READ_LOGS,DIAGNOSTIC; - Чуть большее число вызовов
android.security/android.content.pm/android.database, чем у других типов; - Чуть большее число вызовов
org.apache.http.conn/org.apache.http.conn.scheme/org.apache.http.params, чем у других типов;
- Чаще запрашивают:
-
[ От легитимного ]:
GET_TASKS: ~15% легитимного ПО против ~70% SMS фрода;READ_PHONE_STATE: ~35% легитимного ПО против ~80% SMS фрода;ACCESS_WIFI_STATE: в 2 раза чаще, чем легитимное ПО;SYSTEM_ALERT_WINDOW: в 4 раза чаще, чем легитимное ПО;- Чаще запрашивают, чем легитимное ПО:
SEND_SMS,RECEIVE_SMS,WRITE_SMS,READ_SMS,MOUNT_UNMOUNT_FILESYSTEMS,INSTALL_PACKAGES,READ_LOGS,RESTART_PACKAGES,KILL_BACKGROUND_PROCESSES,RECEIVE_BOOT_COMPLETED; - Большее число вызовов
org.apache.http.conn/org.apache.http.conn.scheme, чем у легитимного ПО;
-
[ От других типов ]:
SEND_SMS,RECEIVE_SMS,READ_SMS: <20% других типов против ~70% SMS фрода;WRITE_SMS: ~20% других типов против ~50% SMS фрода;CALL_PHONE: в 2 раза чаще, чем другие типы;- Реже запрашивают, чем другие типы:
READ_LOGS,ACCESS_WIFI_STATE,RESTART_PACKAGES; - Чуть большее число вызовов
org.apache.http.conn/org.apache.http.conn.scheme/org.apache.http.params, чем у других типов; - Чуть большее число вызовов
android.app/android.net/android.content/android.content.pm, чем у других типов;
- [
] Репозиторий: ‟Android Security Awesome” от ashishb
🔗 - [ ] Репозиторий: ‟Awesome Android Security” от saeidshirazi
🔗
- [ ] Репозиторий: ‟Android Security Awesome” от Swordfish Security
🔗
- [ 📄 ] Научная работа: ‟Contrastive Learning for Robust Android Malware Familial Classification” [🔗]
- [ 📄 ] Научная работа: ‟Detecting and Classifying Android Malware using Static Analysis along with Creator Information” [🔗]
- [ 📄 ] Научная работа: ‟Machine-Learning-Based Android Malware Family Classification Using Built-In and Custom Permissions” [🔗]