一種面向Android平臺的釣魚惡意應(yīng)用檢測方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種面向Android平臺的釣魚惡意應(yīng)用檢測方法,屬于移動安全領(lǐng)域。
【背景技術(shù)】
[0002]隨著互聯(lián)網(wǎng)的興起��,電子商務(wù)成為現(xiàn)代商業(yè)不可小覷的一個重要市場�����。而推動電子商務(wù)發(fā)展的一個重要因素�����,就是網(wǎng)絡(luò)支付技術(shù)的發(fā)展���。對于傳統(tǒng)的網(wǎng)絡(luò)支付��,用戶往往使用個人終端電腦通過網(wǎng)頁進行支付����。而近年來移動互聯(lián)網(wǎng)的火爆,使得移動支付也逐漸受到人們的重視��。在移動支付領(lǐng)域��,支付行為除了同PC上一樣����,可以通過通用的瀏覽器實現(xiàn)外,還可以通過銀行或第三方支付平臺的移動應(yīng)用來完成的��。
[0003]針對網(wǎng)絡(luò)支付的攻擊層出不窮����,其中尤以網(wǎng)絡(luò)釣魚的危害最為巨大����。網(wǎng)絡(luò)釣魚,又稱釣魚式攻擊�����,一般是利用社會工程的手段����,比如郵件��、短信等�,誘騙受害者訪問精心設(shè)計的與目標組織非常相似的網(wǎng)站��,來獲取受害者在目標組織中的賬號�、密碼等敏感信息。這里的目標組織包括銀行�����、第三方支付��、社交平臺等��。
[0004]針對移動終端的釣魚攻擊�,除了釣魚網(wǎng)站外,攻擊者還可能通過在消費者的移動終端安裝惡意軟件�����,模擬銀行或第三方支付應(yīng)用的界面���,從而誘騙消費者輸入用戶名���、密碼等個人敏感信息并發(fā)送至遠端的服務(wù)器����,完成信息竊取����。一種典型的Android平臺釣魚惡意軟件的實現(xiàn)方式是通過活動組件劫持來實施。Android平臺上,每當一個新的活動組件(即Android系統(tǒng)中的Activity)啟動時,前一個活動組件就會停止,這些活動組件都保留在系統(tǒng)中的一個活動組件歷史棧中�。攻擊者可以啟動一個后臺的服務(wù),這個服務(wù)不斷地掃描當前運行的進程���,當發(fā)現(xiàn)目標進程啟動時��,就啟動一個偽裝的活動組件���。如果這個活動組件是登錄界面,那么就可以從中獲取用戶的賬號密碼����。
[0005]目前網(wǎng)絡(luò)釣魚攻擊檢測研究主要集中在針釣魚網(wǎng)站的檢測�,而面向移動終端的安全研究則主要集中在一般性的惡意軟件檢測,專門針對移動終端上釣魚惡意應(yīng)用軟件檢測的研究很少����。釣魚惡意應(yīng)用軟件與其他惡意應(yīng)用相比��,一個顯著的特點是釣魚應(yīng)用會構(gòu)造和目標應(yīng)用非常相似的登錄����、支付等關(guān)鍵頁面界面����,來誘騙用戶輸入敏感信息。本發(fā)明基于這種相似性���,提出了一種面向Android平臺的釣魚惡意軟件檢測方法�。
【發(fā)明內(nèi)容】
[0006]本發(fā)明提出了一種新型的基于圖像相似性的Android平臺釣魚惡意應(yīng)用檢測方法����,用于檢測Android平臺上通過仿造界面竊取用戶敏感信息的釣魚惡意移動應(yīng)用軟件。
[0007]本發(fā)明所述方法的輸入為目標應(yīng)用APPt與待檢測應(yīng)用APPd����,目標為判定待檢測應(yīng)用APPd是否為釣魚類惡意應(yīng)用軟件。其中目標應(yīng)用APPt為銀行支付應(yīng)用等惡意軟件想要模仿的應(yīng)用軟件��,待檢測應(yīng)用APPd為疑似模仿APPt的應(yīng)用軟件����。具體的技術(shù)方案如下:
[0008]步驟I����,反編譯目標應(yīng)用APPt,獲取欲截圖的活動組件名稱集合Act1 ��;
[0009]步驟2�,利用自動化界面遍歷方法A,獲取目標應(yīng)用APPt的活動組件名稱集合ActT中元素對應(yīng)的界面截圖�����,形成目標界面集合It ��;
[0010]步驟3��,判斷待檢測應(yīng)用APPd是否與目標應(yīng)用APPt是同一程序的不同版本�����,如果是則停止檢測APPd �����;
[0011 ] 步驟4��,反編譯待檢測應(yīng)用APPd,獲取全部活動組件名稱集合ActD ��;
[0012]步驟5�����,利用自動化界面遍歷方法A���,獲取待檢測應(yīng)用APPd的活動組件名稱集合Actn中元素對應(yīng)的界面截圖集合Id ���;
[0013]步驟6,對集合It與集合Id的任一元素ITi與Iw,利用圖像感知哈希算法計算相似指數(shù)Sl j,生成相似矩陣���,并以其中的最大值作為APPt與APPd的相似指數(shù)����;
[0014]步驟7����,如果APPt與APPd的相似指數(shù)超過預(yù)定義的相似閾值,則判定APPd為惡意應(yīng)用��。
[0015]在步驟I中�����,欲截圖的活動組件根據(jù)目標應(yīng)用軟件的具體情況選擇,一般為目標應(yīng)用中需要用戶輸入敏感信息的活動組件�����。
[0016]在步驟2中���,自動化界面遍歷方法A的輸入為應(yīng)用App與活動組件集合Act,具體的步驟包括:
[0017]步驟a-Ι,從應(yīng)用App的主活動組件開始,記錄當前活動組件名稱,遍歷當前活動組件上的按鈕控件�,并記錄控件ID �;
[0018]步驟a_2,模擬用戶點擊操作�,依次觸發(fā)按鈕控件的單擊動作,并記錄已被觸發(fā)的控件ID ���;
[0019]步驟a-3���,監(jiān)控Android系統(tǒng)中的活動組件棧中最頂層的活動組件名稱,如果最頂層的活動組件名稱屬于集合Act且未被截圖����,則調(diào)用截屏操作接口,截取當前活動組件對應(yīng)的界面圖像���;
[0020]步驟a-4�����,如果活動組件集合Act中的所有活動組件對應(yīng)的界面圖像都已獲取,或所有記錄的控件ID都已被觸發(fā)��,則停止�,并輸出活動組件集合Act中的所對應(yīng)的界面圖像存儲位置組成的集合I�,對于沒有獲得界面圖像的活動組件,其在I集合中對應(yīng)的值為字符串 “NULL”��。
[0021 ] 本發(fā)明的有益效果:
[0022]現(xiàn)有的針對移動惡意軟件的動態(tài)檢測方法主要是監(jiān)測目標軟件有無調(diào)用系統(tǒng)敏感AP1�����、有無訪問系統(tǒng)敏感存儲區(qū)域數(shù)據(jù)或者通過污點追蹤的方法檢測軟件有無敏感信息泄露的行為���。但是對于釣魚類的惡意應(yīng)用軟件�,其往往是通過與用戶的交互完成敏感信息的竊取���,而非從敏感存儲區(qū)域中獲取��,同時這些信息通過普通的HTTP協(xié)議即可上傳�,也不需要獲取短信、攝像頭等功能權(quán)限�����。因此�,一般的移動惡意軟件方法不一定適用于釣魚類的惡意應(yīng)用。本發(fā)明針對釣魚移動應(yīng)用通過構(gòu)造和目標移動應(yīng)用非常相似的登錄或支付界面����,來誘騙用戶輸入敏感信息這一核心特征,提出了一種面向Android平臺的自動化的檢測方法��,利用圖像感知哈希算法有效識別待檢測應(yīng)用軟件是否存在模仿目標應(yīng)用的界面���,從而準確識別惡意軟件的釣魚行為��。
【附圖說明】
[0023]圖1是本發(fā)明一種面向Android平臺的釣魚惡意應(yīng)用檢測方法的一實施例中總體流程示意圖�����。
[0024]圖2是本發(fā)明一種面向Android平臺的釣魚惡意應(yīng)用檢測方法的一實施例中預(yù)處理階段I的流程示意圖�����。
[0025]圖3是本發(fā)明一種面向Android平臺的釣魚惡意應(yīng)用檢測方法的一實施例中預(yù)處理階段2的流程示意圖��。
[0026]圖4是本發(fā)明一種面向Android平臺的釣魚惡意應(yīng)用檢測方法的一實施例中檢測階段的流程示意圖���。
[0027]圖5是本發(fā)明一種面向Android平臺的釣魚惡意應(yīng)用檢測方法的一實施例中自動化界面遍歷方法A的流程示意圖���。
【具體實施方式】
[0028]下面參照附圖對本發(fā)明一種面向Android平臺的釣魚惡意應(yīng)用檢測方法的一實施例進行詳細描述,但本發(fā)明不局限于該實施方式����。
[0029]如圖1所示是本發(fā)明一種面向Android平臺的釣魚惡意應(yīng)用檢測方法的一實施例中總體流程示意圖,其包括三個階段:
[0030]預(yù)處理階段I主要獲取目標應(yīng)用APPt的指定界面截圖集合Ιτ�。
[0031]預(yù)處理階段2主要完成的工作包括兩點�,一是識別待檢測應(yīng)用APPd是否與目標應(yīng)用軟件APPt是同一軟件的不同版本��,如果是則結(jié)束�,二是獲取待檢測應(yīng)用APPd的所有界面截圖集合ID��。
[0032]檢測階段�����,對于集合^與