Android智能手機惡意代碼犯罪的分析研究

◆陸夢舟 金 欽

?

Android智能手機惡意代碼犯罪的分析研究

◆陸夢舟 金 欽

(江蘇警官學院 江蘇 210031)

本文以基于Android平臺實施詐騙的遠程控制木馬為研究對象，通過分析研究并提取各類數據，針對Android智能手機的惡意代碼犯罪進行偵查取證，從源碼靜態分析掌握木馬取證的惡意操作。在后臺監控和犯罪追蹤等方面做出修改和完善，通過反偵查手段利用木馬為網絡犯罪偵查提供信息。

Android平臺；惡意代碼；木馬

0 引言

通過移動互聯網技術，移動設備可以方便地聯網。與此同時，移動設備提供的強大編程能力以及便攜的特點，極大豐富了移動互聯計算機能夠帶來的服務。[1]

受到智能手機和移動互聯網網民規模快速增長的推動，移動互聯網仍然繼續保持著較快的發展速度。但是作為業務基石的智能手機卻面臨著很多安全威脅，智能手機的隱私以及安全問題也越來越明顯。移動設備比如手機等作為移動互聯網時代的最主要的通訊工具，面臨著很大的安全問題的挑戰，移動設備的惡意代碼將成為惡意軟件發展的下一個目標。[2]

近年來，Android系統被發現了多個影響范圍非常廣泛的安全漏洞（如Stage-fright漏洞和Certifi-gate漏洞），涉及90%以上的Android智能設備，木馬被植入用戶的手機后，接受服務器指令進行隱私竊取或電子帳戶盜竊。公安機關接連接到若干Android平臺的遠程控制木馬實施詐騙的案件，對木馬的分析研究并提取的各類數據在相關案件中具有重要證據價值，也成為該類案件偵查取證的重要手段。

1 相關理論與工作

1.1Android系統的安全機制

在Android系統模型中，為了更進一步限制不同應用程序間訪問敏感數據，比如用戶的私人賬號、密碼，曾經瀏覽過的網址等，應用被設備的使用者授予了不同的權限。Android使用安裝時即指定的權限模型，在配置文件中指定應用所應有的操作權限。在應用被安裝前，用戶必須瀏覽應用所需要的各種權限。這種方式告知了用戶應用可能有各種操作行為，比如打電話、發短信、定位、使用瀏覽器上網等。比如用戶下載安裝了游戲軟件，它可能要求SMS短信發送，打電話等權限，用戶對這種行為作出判斷，更有利于幫助用戶躲避惡意代碼的攻擊。[3]

1.2惡意代碼的反調試技術

惡意代碼逃脫安全軟件檢測的方式有很多，對抗檢測技術是其實現自身保護的重要機制，能降低代碼被發現的可能性。為了加大檢測難度，惡意代碼常采用反調試技術，提高其偽裝能力和可生存性。反調試技術可以分為動態反調試和靜態反調試兩種類型。

針對惡意代碼的反調試技術對其進行的預防包括增強安全防范策略與意識、減少漏洞和減輕威脅三個方面的措施。增強安全防范策略與意識是解決惡意軟件預防并實施預防性控制的基礎。實施綜合的威脅減輕技術和工具，例如防病毒軟件，可以防止威脅攻擊系統和網絡。通過運用特征碼掃描、沙箱技術、行為檢測等常用技術收集并分析網絡和計算機系統中若干關鍵點的信息。

2 提取木馬發送對象的網絡地址

為實時檢測并分析木馬程序的惡意行為，在Linux下搭建Android開發測試環境進行實驗。使用Wire shark抓獲其網絡通信數據進行分析，提取出木馬將竊取的信息所發送的對象的網絡地址。

要進行木馬追溯，首先要檢測到其靜默發送郵件和短信。關于靜默運行，最典型的是腳本運行和輸出，這可以歸結到作業控制。

如果受害者接收了此類郵件或短信，腳本中植入的木馬會入侵安卓系統漏洞，進行一些對root用戶或oracle用戶的按鍵操作的監視。例如使用script命令捕獲按鍵操作：

TS=$(date+%m%d%y%H%M%S) # File time stamp

THISHOST=$(hostname | cut - f1 - 2 - d．) # Host name of this machine

LOGDIR=/usr/local/logs/script # Directory to hold the logs

LOGFILE=$(THISHOST)．${LOGNAME)．$TS # Creates the name of the log file

Touch $LOGDIR/$LOGFILE # Creates the actual file

這屬于惡意騙取Root權限的行為。盡管在追溯木馬與控制端聯系的郵件地址或電話號碼時存在難度，但是依然可以通過反向連接域名進行反擊。

這里以反向木馬為例。木馬在Android平臺上的種植主要是通過apk的漏洞。 用戶一旦中招，木馬將會通過進程綁定、修改系統文件等方式隱藏后干擾系統輸出，木馬植入者使用反向鏈接的方式就可以控制擁有大量有著動態IP的個人用戶，進而發展出大批肉雞。如果換位思考，不難想到，既然域名服務器會接收到查詢要求并且返回域名對應的IP，那么進行域名劫持追溯到木馬源頭的域名查詢請求就是可行的。

于是使用以下器件構建網絡拓撲：

Hub一臺，ADSLModem一臺，Android機一部（已被手動植入木馬），notebook一臺。

過程：使用入侵檢測工具打開檢查進程和服務（包括隱藏），進入安全模式后再系統文件夾下搜索木馬dll從而發現其關聯服務名，禁止相關第三方自啟程序后修改服務方式，重啟后使用book監聽。（Hub是方便的端口轉發工具，可以清晰顯現木馬的隱藏數據。）

從監聽數據發現，Android機中的木馬使用被種植機的DNS服務器查詢了另一個DNS服務器的IP，可見試驗機是在被入侵后作為了肉雞使用。此時監聽二次查詢的IP和book的IP之間的數據收到了域名服務器的查詢相應：

=800)window.open('../image s/

10_935_0d7c38b936f83f5.png');"onload="if(this.width>'800')this.width='800';if(this.height>'800')this.height='800';">

期間book發動了短信交換記錄的請求，將被入侵及其相關的記錄發送去了一個反向域名，經過ping驗證，得出這就是木馬背后關聯的入侵者域名。

得知域名后，通過大數據平臺分析可以追溯到控制端的郵件地址，從而定位到點，至此，木馬發送對象的網絡地址已完全暴露，本次惡意代碼反向鏈接實驗是成功的。

3 結語

隨著移動互聯網的高速發展，Android系統憑借其優秀的性能與方便易用等特點，在移動設備中的占有率最大。而正是由于Android系統的流行，傳統的病毒和木馬制作者開始將矛頭從PC段逐漸轉移指向了智能移動終端，使得近年來具有惡意代碼的Android應用程序被大量發現，這些應用對用戶信息安全與財產安全造成了極大的危害。

Android系統惡意代碼數量之大、變種之多，根本原因在于Android系統開源的特點。但是通過在Android平臺上進行操作，對木馬部分源碼進行靜態分析，是可以掌握木馬取證的惡意操作的，對于獲得的Android手機惡意代碼，在不運行程序的基礎上進行反編譯進而得到其代碼并對其進行閱讀分析；或者在模擬環境的沙箱中進行運行并分析其功能，掌握木馬的讀取短信、監控短信收發、讀取聯系人、后臺發送郵件等操作。這樣較以往的在網絡犯罪偵查中對于木馬病毒的盲目被動型追查方式，進行了改善，更可以對此進行針對性的防范，為公安實戰部門受理的安卓惡意代碼的網絡犯罪案件提取線索和偵查取證的技術支持。[4]

在后臺監控和犯罪追蹤等方面做出修改和完善，通過反偵查手段利用木馬為網絡犯罪偵查提供信息，計算機模型的變革還在繼續，信息化發展的道路警務偵查的保障。如何利用警務手段維護網絡平臺的安全，仍是需要不斷鉆研的課題。

[1]張源.安卓平臺安全性增強關鍵技術的研究，2015.

[2]鄭吉飛.Android惡意代碼的靜態檢測研究，2016.

[3]莫宇祥,俞建鑾,王磊.基于角色的Android手機平臺木馬檢測系統[J].現代計算機，2016.

[4]李根.Android系統惡意代碼檢測技術研究，2016.