【论文总结】Android 恶意应用程序的大规模时间测量:持久性、迁移和经验教训

介绍

这是一篇来自2022USENIX的一篇论文《A Large-scale Temporal Measurement of Android Malicious Apps: Persistence, Migration, and Lessons Learned》

前置知识

1.Goolge将一些扰人的广告软件定义为MUwS(Mobile unwanted software)
2.multiple-Instance PHA:攻击者在未删除的PHA上更新PHA,在未经用户同意的情况下安装额外的应用程序或通过全屏广告的方式吸引他们安装应用程序

主要内容

对安卓潜在有害的应用(PHAs)从设备的持久性、市场的持久性以及市场的迁移情况进行测量。

测量方法

1.测量PHA在设备的持久性:

如果检测到PHA时记录时,记为第一个时间戳,直到PHA被用户移除以后,记为第二个时间戳。

2.测量PHA对市场的持久性:

当设备检测到PHA时记录包名,用包名索引时间戳。

3.测量市场迁移

通过追踪签名,将各个应用市场存在的周期按大小排列,PHA从拥有周期较长的市场迁移到拥有周期较小的市场迁移

数据集来源

1.被动数据集:来自与NortonLifeLock,获取设备标识符、设备国家代码、检测时间戳、签名、应用程序包名称和安装包名称

2.由于不同的安全公司标记不同的PHA时策略会有不同,将数据集中对应的PHAs在VirusTotal中检测

3.使用AVclass提取恶意软件家族名

测量角度

1.测量PHAs在设备中会存在多久

1)不同PHA类型的设备持久性
在这里插入图片描述
2)PHA家族的设备持久性

测量top20的PHA家族
在这里插入图片描述
3)PHA的multiple-Instance持久性
在这里插入图片描述
2.PHAs在应用市场中能存在多久

1)PHA在市场中的流行率
在这里插入图片描述
2)市场面对PHA的行动
在这里插入图片描述
3)不同类型的PHA的市场持久性

角度1:各个市场PHA存在的持久性
在这里插入图片描述
角度2: 对各个市场PHA的总体生存率分析
在这里插入图片描述
角度3:各个市场不同类型的PHA情况
在这里插入图片描述
角度4:各个市场Top10的PHA家族

3.PHAs被应用市场删除后是否会迁移到别的市场

1)PHA跨市场迁移

角度1:各个市场的迁移数目
在这里插入图片描述
角度2: 不同种类的PHA迁移数目
在这里插入图片描述
2)通过备份/克隆进行迁移的PHA持久性
在这里插入图片描述

本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
THE END
分享
二维码
< <上一篇
下一篇>>