最流行的10种Android恶意软件类别解释

常见三种Android恶意软件

本节讲的是恶意软件大类别。

(1) Repacking

恶意软件作者通过反编译流行的应用，植入恶意程序，并投放到市场。用户安装这些被感染的应用，就中毒了。注意流行的应用更容易被重打包。

(2) Attack Upgrade

这类恶意软件很难被检测出来，因为它们在运行时，才会下载真正的恶意软件。所以静态分析几乎检测不到这类恶意软件。

(3) Drive by Downloads

他本身并不是恶意软件，但它会误导用户去下载真正的恶意软件。怎么误导呢？假连接，假按钮，假提示。

TOP-10种安卓恶意软件类别

上面讲的3种，是最常见的恶意类别。但在安全领域，还有更细的分类。

根据“Effectiveness of Opcode ngrams for Detection of Multi Family Android Malware”中的数据，2014年，就发现了294种新的Android恶意软件。可见恶意软件细分类别是很多的。根据文中的统计与分析，TOP-10种安卓恶意软件类别如下：

(1) FakeInstaller

FakeInstaller会在安装过程中向付费号码发送短信。FakeInstaller存在大量变种，有的自身就是恶意软件，有的会在运行时向服务器下载真正的恶意软件，有的还存在后门会执行远程发送的命令。它大量存在于流行应用的重打包版本中。

(2) DroidKungFu

后门软件，黑客可以远程访问被感染者的手机。它还会利用漏洞Root系统，伪装自己。

DroidKungFu的常见功能：

执行文件删除命令

执行网页打开命令

下载和安装APK

打开URL

启动其它程序

(3) Plankton

Plankton会将手机信息如IMEI以及用户浏览器浏览历史数据传到远程服务器，它还会将浏览器主页修改，添加书签。它大量存在于Adware中。

(4) Opfake

OpFake会伪造界面，逃脱杀毒软件检测。

(5) GinMaster

GinMaster会root设备，获取权限。偷盗敏感信息并发送到远程服务器。并在用户不知道的情况下安装软件。它会通过混淆技术来隐藏恶意代码。

(6) BaseBridge

BaseBridge将IMEI等信息发送到远程服务器，同时根据服务器返回的指令执行后台拨打电话、屏蔽10086短信等进一步危害用户手机安全的行为，将很大程度消耗用户资费。它还会杀掉运行在后台的杀毒软件进程。

(7) Kmin

Kmin与BaseBridge类似，但它不会杀掉运行在后台的杀毒软件进程。

(8) Geinimi

Geinimi接受远程服务器的控制。它还能读取、收集、删除短信。将联系人信息发送到远程服务器，将来电设置为静音，自动下载文件。

(9) Adrd

Adrd类似Geinimi，但接受更少的服务器控制指令。与Geinimi不同的是，它能改变设备的设置。

(10) DroidDream

DroidDream通过root设备，获取特别的信息。在用户不知情的情况下下载恶意程序。它通常在用户晚上睡觉的时候发作。

参考

[1] https://www.hkitblog.com/?p=6298

[2] http://virus.nq.com/android/BD.BaseBridge.GEN/