[论文解读] Eight Years of Rider Measurement in the Android Malware Ecosystem: Evolution and Lessons Learned
本文对2010年至2017年期间Android恶意软件行为进行了大规模、纵向分析,重点关注再打包恶意软件(rider家族)。通过差异分析与多杀毒软件标记,该研究将恶意载荷与良性载体分离,揭示了恶意软件行为与混淆技术的显著演变,凸显了现有检测系统在使用过时或非代表性数据集进行训练时存在的关键缺陷。
Despite the growing threat posed by Android malware, the research community is still lacking a comprehensive view of common behaviors and trends exposed by malware families active on the platform. Without such view, the researchers incur the risk of developing systems that only detect outdated threats, missing the most recent ones. In this paper, we conduct the largest measurement of Android malware behavior to date, analyzing over 1.2 million malware samples that belong to 1.2K families over a period of eight years (from 2010 to 2017). We aim at understanding how the behavior of Android malware has evolved over time, focusing on repackaging malware. In this type of threats different innocuous apps are piggybacked with a malicious payload (rider), allowing inexpensive malware manufacturing. One of the main challenges posed when studying repackaged malware is slicing the app to split benign components apart from the malicious ones. To address this problem, we use differential analysis to isolate software components that are irrelevant to the campaign and study the behavior of malicious riders alone. Our analysis framework relies on collective repositories and recent advances on the systematization of intelligence extracted from multiple anti-virus vendors. We find that since its infancy in 2010, the Android malware ecosystem has changed significantly, both in the type of malicious activity performed by the malicious samples and in the level of obfuscation used by malware to avoid detection. We then show that our framework can aid analysts who attempt to study unknown malware families. Finally, we discuss what our findings mean for Android malware detection research, highlighting areas that need further attention by the research community.
研究动机与目标
- 提供对Android恶意软件行为的全面、长期视角,特别是再打包恶意软件,以克服现有研究中因使用过时或非代表性数据集而带来的局限性。
- 解决在大规模再打包恶意软件中,从良性应用组件(载体)中隔离恶意载荷(rider)的挑战。
- 分析八年间恶意软件家族的演变,重点关注恶意行为与混淆技术的变化。
- 识别当前恶意软件检测研究中的关键缺陷,特别是因使用过时或非代表性训练数据而引发的实验偏差风险。
- 通过突出恶意软件检测中尚未充分研究的领域,尤其是rider家族随时间的动态演变,为未来研究提供指导。
提出的方法
- 利用多个杀毒软件厂商的集体智能,为2010至2017年间收集的超过120万份恶意软件样本分配家族标签。
- 应用差异分析,比较同一家族样本之间的代码结构,分离出共用组件,以识别并提取恶意rider载荷。
- 通过方法的控制流图(CFG)分析检测相似性,即使在代码混淆下也能稳健识别恶意组件。
- 采用静态分析方法,避免动态执行带来的计算开销,同时保持在区分rider与良性载体方面的准确性。
- 聚焦于内部代码结构(如方法级CFG),而非易被篡改的表面属性(如包名)。
- 系统性地测量rider中API调用使用情况与行为模式,以追踪恶意功能随时间的变化。
实验结果
研究问题
- RQ1从2010年到2017年,Android恶意软件rider在恶意功能与混淆技术方面如何演变?
- RQ2恶意软件家族在时间维度上表现出多大程度的行为变化?这对自动化恶意软件检测系统的可靠性有何影响?
- RQ3在过去八年中,Android生态系统中再打包恶意软件与独立恶意软件的普遍程度如何?
- RQ4依赖过时或非代表性数据集的当前检测系统,在识别现代恶意软件变体方面效果如何?
- RQ5现有恶意软件检测研究中的关键局限性是什么?这些局限性是否源于使用非纵向或非代表性训练数据?
主要发现
- 2010至2017年间,Android恶意软件生态系统经历了显著演变,行为从简单的高端短信欺诈演变为更复杂、更隐蔽的混淆行为。
- 同一恶意软件家族中的rider载荷随时间推移而演变,这为基于家族的恶意软件检测系统带来了关键的实验偏差来源。
- 在分析的恶意软件样本中,超过90%为再打包样本,独立恶意软件占比仅1.36%至13%(取决于估算方法)。
- 本研究揭示,文献中广泛使用的数据集(如Drebin和Android MalGenome)已过时,且不能代表当前恶意软件趋势。
- 在早期(如2010–2012年)占主导地位的恶意软件家族,其行为与混淆技术已发生演变,导致基于早期数据训练的检测模型对现代变体失效。
- 基于方法级CFG的差异分析,即使在代码混淆下也能稳健隔离恶意组件,其性能优于依赖包名或GUI相似性的方法。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。