Skip to main content
QUICK REVIEW

[论文解读] Beyond the Virus: A First Look at Coronavirus-themed Mobile Malware

Liu Wang, He Ren|arXiv (Cornell University)|May 29, 2020
Advanced Malware Detection Techniques参考文献 48被引用 26
一句话总结

本文首次系统分析了与冠状病毒相关的安卓恶意软件,从应用市场、代码仓库和威胁情报源中收集并标注了4,322个独特的新冠主题APK(包括611个恶意软件样本)。研究发现,超过49%的恶意软件伪装成使用相同名称和图标的合法应用,大多数攻击者为恶意软件开发新手,主要针对英语、中文和阿拉伯语国家。

ABSTRACT

As the COVID-19 pandemic emerged in early 2020, a number of malicious actors have started capitalizing the topic. Although a few media reports mentioned the existence of coronavirus-themed mobile malware, the research community lacks the understanding of the landscape of the coronavirus-themed mobile malware. In this paper, we present the first systematic study of coronavirus-themed Android malware. We first make efforts to create a daily growing COVID-19 themed mobile app dataset, which contains 4,322 COVID-19 themed apk samples (2,500 unique apps) and 611 potential malware samples (370 unique malicious apps) by the time of mid-November, 2020. We then present an analysis of them from multiple perspectives including trends and statistics, installation methods, malicious behaviors and malicious actors behind them. We observe that the COVID-19 themed apps as well as malicious ones began to flourish almost as soon as the pandemic broke out worldwide. Most malicious apps are camouflaged as benign apps using the same app identifiers (e.g., app name, package name and app icon). Their main purposes are either stealing users' private information or making profit by using tricks like phishing and extortion. Furthermore, only a quarter of the COVID-19 malware creators are habitual developers who have been active for a long time, while 75% of them are newcomers in this pandemic. The malicious developers are mainly located in US, mostly targeting countries including English-speaking countries, China, Arabic countries and Europe. To facilitate future research, we have publicly released all the well-labelled COVID-19 themed apps (and malware) to the research community. Till now, over 30 research institutes around the world have requested our dataset for COVID-19 themed research.

研究动机与目标

  • 为解决研究界对冠状病毒主题移动恶意软件缺乏全面理解的问题。
  • 收集并整理一个每日更新、公开可用的新冠主题安卓应用及恶意软件数据集。
  • 分析这些应用的趋势、安装方式、恶意行为以及背后攻击者的行为特征。
  • 通过向超过30所研究机构发布标注良好的数据集,支持未来对社会事件驱动型网络威胁的研究。

提出的方法

  • 从谷歌应用市场、替代应用市场、Koodous、威胁情报报告以及与疫情相关的域名中收集了4,322个新冠主题APK样本。
  • 通过静态和动态分析(包括签名匹配和行为分析)识别出611个恶意软件样本(370个独立应用)。
  • 根据行为将恶意软件分类,如信息窃取、钓鱼攻击、勒索软件和付费短信滥用等。
  • 利用应用元数据(包名、应用名称、图标)检测虚假应用和重新打包的恶意软件。
  • 通过IP地址和行为分析,绘制恶意开发者的地理分布图。
  • 于2020年5月29日向研究社区发布完整标注的数据集,并持续每周更新。

实验结果

研究问题

  • RQ1自疫情爆发以来,冠状病毒主题安卓恶意软件的普遍性和演变情况如何?
  • RQ2恶意攻击者如何伪装恶意软件使其看起来像合法应用?他们使用了哪些欺骗用户的技术?
  • RQ3这些恶意软件样本表现出的主导恶意行为是什么?
  • RQ4这些威胁背后的攻击者是谁?他们在经验水平和地理来源方面有何差异?
  • RQ5现有工具和数据集在分析此类社会动机驱动的恶意软件方面是否足够?

主要发现

  • 截至2020年11月中旬,共收集到超过4,300个独特的新冠主题安卓APK样本,其中611个(370个独立应用)被识别为恶意。
  • 超过49.6%的恶意软件样本为虚假应用,通过复制合法应用的名称、包名和图标来欺骗用户。
  • 仅有5.4%的恶意软件样本为良性应用的重新打包版本,表明原始开发已成为主流方法。
  • 大多数恶意行为集中于信息窃取、钓鱼攻击、勒索软件和付费短信/电话滥用,其中间谍软件和木马程序是最常见的类型。
  • 75%的恶意软件开发者为网络犯罪新手,表明疫情期间出现了大量机会主义攻击。
  • 最活跃的恶意攻击者主要位于美国,主要针对英语国家、中国、阿拉伯语国家及欧洲国家。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。