[发明专利]一种android系统的恶意代码检测方法和装置

说明书

技术领域

本发明涉及移动系统恶意代码检测技术，尤其涉及一种android系统的已知、未知恶意代码检测的方法和装置的实现。

背景技术

目前，android智能手机已步入平民时代，伴随着智能手机终端普及率的升高，智能手机应用程序也得以飞速发展，国内第3方市场的移动应用也可谓是一夜之间，百花齐放，齐聚市场，在众多五花八门的应用的背后，问题却危机四伏：广告铺天盖地、盗版软件猖獗、回传隐私普遍、病毒无孔不入给android系统带来了严重的安全考验，由于android开放性、开发门槛低、收益大等多种特点，很多计算机上的黑客也转型步入移动开发， android平台病毒成爆炸式猛速上升，android平台信息安全俨然成为诸多移动平台的重灾区。

Android系统的恶意代码类型大致分为：恶意扣费、后门程序、窃听隐私、广告件、资费消耗、系统破坏等。根据今年年初的有关数据统计：扣费类恶意代码占整个比例的21.5%、窃听隐私恶意代码占24.3%、远程控制恶意代码占22.6%，这3个主要的威胁在整个威胁中可谓是3足鼎立，无论是恶意扣费、远程控制还是窃听隐私都给用户带来了严重的损失。这些重要的威胁均可来源于对短信的指令接收、短信的隐私回传的检测能力不够而导致的。

后门程序一般通过接收短信指令来执行相应功能，通常接收到的指令功能较多的是回传用户隐私。而在android系统中在短信指令接收、拦截短信消息上的开发难易程度上较为简单，由于android系统实现消息广播机制来响应android系统中的各种事件，例如电话的接收、电池的使用状态、短信的接收都会产生一个广播，应用程序开发者也可以监听这些广播并可以相应的更改消息流，也可以阻断消息的传递，这种方式被诸多后门、回传隐私恶意代码所利用，通过此方式恶意代码可以接收短信指令并拦截此消息禁止向下传递，进一步进行根据指令命令进行网络或者短信等方式进行回传用户隐私等危险动作。

扣费程序通常都是在系统后台发送一个短消息，并通过上述短信拦截消息方法拦截用户确认消息，来达到恶意扣费的目的。同样在android系统中发送一个后台的短信要比发送一个前台短信（插入短信数据库的短信，可以在短信箱查看的短信）更加容易，仅仅只需要一个API就能完成，在类SmsManager的sendTextMessage方法，发送的短消息就是默认后台发送的不插入数据库的。而且这种方式不发送广播，第3方程序无法获得系统有后台发送短信行为，从而导致隐私回传、指令控制、恶意扣费软件的肆虐生长。

发明内容

针对以上情况，本发明通过拦截短信内容，与解包APK（android中的安装包程序，扩展名为APK）来进行字符串匹配的方式进一步的定位到恶意APK，可以大大减少此类恶意代码的后续回传操作，同时如果本发明系统可以部署在众多终端上，可以大批量的拦截未知恶意代码的行为。本发明尤其对移动系统发挥极大的优势，因为移动系统里的应用程序有限，不像个人电脑中的文件数量众多不好排查，也由于移动系统具有独特的短信通道可以发送、回传指令。而在PC中一般都是通过网络回传的，所以本系统尤其针对android移动平台。

本发明通过判断系统中是否有短信拦截现象，如果有则获取短信内容并与系统中黑名单库进行对比，查看是否是已知恶意代码指令。如果不是则与系统中的风险APK进行明文字符串匹配，如果匹配命中率高则视为可疑恶意代码。本发明的具体方法如下：

步骤a、扫描系统所有APK文件，将具有短信接收、读取短信权限的APK文件记录为风险 APK文件；

步骤b、如果风险APK文件相应的程序有拦截短信行为，则获取被拦截短信内容和发信人信息；

步骤c、解析所述风险APK文件，用所述风险APK文件包中的文件分别与所拦截短信的内容、发信人信息进行字符串匹配；

步骤d、根据匹配策略判定匹配成功的风险APK文件为未知恶意代码。

本发明还提供了一种android系统的恶意代码检测装置，包括：

风险池模块，用于扫描系统所有APK文件，将具有短信接收、读取短信权限的APK文件记录为风险 APK文件；

拦截模块，用于发现风险APK文件相应的程序的拦截短信行为，获取被拦截短信内容和发信人信息；

本地解析模块，用于在系统中解析风险APK文件，解包后用风险APK文件包中的文件分别与所拦截短信的内容、发信人信息进行字符串匹配；

判定模块，用于根据匹配策略判定匹配成功的风险APK文件为恶意代码。