介绍
这是一篇来自2022USENIX的一篇论文《A Large-scale Temporal Measurement of Android Malicious Apps: Persistence, Migration, and Lessons Learned》
前置知识
1.Goolge将一些扰人的广告软件定义为MUwS(Mobile unwanted software)
2.multiple-Instance PHA:攻击者在未删除的PHA上更新PHA,在未经用户同意的情况下安装额外的应用程序或通过全屏广告的方式吸引他们安装应用程序
主要内容
对安卓潜在有害的应用(PHAs)从设备的持久性、市场的持久性以及市场的迁移情况进行测量。
测量方法
1.测量PHA在设备的持久性:
如果检测到PHA时记录时,记为第一个时间戳,直到PHA被用户移除以后,记为第二个时间戳。
2.测量PHA对市场的持久性:
当设备检测到PHA时记录包名,用包名索引时间戳。
3.测量市场迁移
通过追踪签名,将各个应用市场存在的周期按大小排列,PHA从拥有周期较长的市场迁移到拥有周期较小的市场迁移
数据集来源
1.被动数据集:来自与NortonLifeLock,获取设备标识符、设备国家代码、检测时间戳、签名、应用程序包名称和安装包名称
2.由于不同的安全公司标记不同的PHA时策略会有不同,将数据集中对应的PHAs在VirusTotal中检测
3.使用AVclass提取恶意软件家族名
测量角度
1.测量PHAs在设备中会存在多久
1)不同PHA类型的设备持久性
2)PHA家族的设备持久性
测量top20的PHA家族
3)PHA的multiple-Instance持久性
2.PHAs在应用市场中能存在多久
1)PHA在市场中的流行率
2)市场面对PHA的行动
3)不同类型的PHA的市场持久性
角度1:各个市场PHA存在的持久性
角度2: 对各个市场PHA的总体生存率分析
角度3:各个市场不同类型的PHA情况
角度4:各个市场Top10的PHA家族
3.PHAs被应用市场删除后是否会迁移到别的市场
1)PHA跨市场迁移
角度1:各个市场的迁移数目
角度2: 不同种类的PHA迁移数目
2)通过备份/克隆进行迁移的PHA持久性
版权归原作者 Ohh24 所有, 如有侵权,请联系我们删除。