【Android 插件化】恶意软件判定规则 | 恶意软件的范围定义

文章目录

• 一、恶意软件判定规则
• 二、恶意软件的范围定义

一、恶意软件判定规则

在 【Android 插件化】基于插件化的恶意软件的加载策略分析 ( 自定义路径加载插件 | 系统路径加载插件 | 用户同意后加载插件 | 隐藏恶意插件 ) 博客中介绍了

种插件加载运行策略 ;

在 VAHunt: Warding Off New Repackaged Android Malware in App-Virtualization’s Clothing 中给出了判定 插件化软件 是否是恶意软件的标准 ;

Google 官方明确反对 静默加载插件 和 隐藏应用操作 , 上述两个操作都会被认定为恶意操作 ;

应用中存在虚拟化引擎 , 不一定会加载插件 , 只有 " 自定义路径加载插件 " , " 系统路径加载插件 " 确定发生了 , 才能确定该虚拟化引擎加载了插件 ;

VAHunt 中定义了一个静默加载策略 , 用于判定应用是否是恶意应用 ;

如果一个插件化应用软件 , 有 " 自定义路径加载插件 " 或者 " 系统路径加载插件 " 中的其中之一操作 , 同时 如果出现 " 不经用户同意加载插件 " 的行为 , 那么就可以认定该 插件化应用 是 恶意应用 ;

如果同时具备

① " 自定义路径加载插件 " 或者 " 系统路径加载插件 " 中的其中之一操作 ,

② " 不经用户同意加载插件 " 的行为 ,

③ " 隐藏恶意插件 " 行为 ,

个条件 , 那么该插件化应用的恶意程度更加严重 ;

如果同时具备

① " 自定义路径加载插件 " 或者 " 系统路径加载插件 " 中的其中之一操作 ,

② " 隐藏恶意插件 " 行为 ,

个条件 , 那么该插件化应用会被标记为可疑应用 , 可能是恶意软件 , 也可能是用户选择不创建 Launcher 应用启动图标 ;

二、恶意软件的范围定义

这个判定规则个人感觉有点严格 , 感觉很多公司的插件化操作 , 是不经过用户同意的 ; ( 本专栏的前半部分开发的插件化应用示例 , 会被 VAHunt 判定为恶意软件 , 因为加载插件前没有经过用户同意 )

这个 恶意软件 的范围定义很大 , 只要是违反了 Google 的安全政策 , 都可以被判定为恶意软件 , 并不是只有作出恶意行为的 APK 会被判定为恶意软件 ;

假如插件中作出了恶意行为 , 如盗取用户数据 , 拦截电话 等操作 ; 插件安装前经过用户同意了 , 则不会被判定为恶意软件 ;

VAHunt 准确的说是检测使用了 插件化引擎 的软件中 , 那些不经过用户同意 , 就私自安装插件的软件 , 仅仅是检测这一类的软件 ;