[发明专利]用于检测应用程序中的潜在恶意更改的系统和方法

说明书

本发明涉及用于检测应用程序中的潜在恶意更改的系统和方法。在一个方面，示例性方法包括：选择要分析的第一文件和与所述第一文件相似的至少一个第二文件；针对所述至少一个第二文件中的每一个第二文件，计算至少一个特征集合；通过针对所述至少一个第二文件中的每一个第二文件查找所述第一文件的特征集合与所计算的所述第二文件的所述至少一个特征集合之间的差异来识别所述第一文件的区别特征集合；以及检测在所识别的所述第一文件的所述区别特征集合中潜在恶意更改的存在。

技术领域

本发明涉及信息安全领域，例如，涉及检测应用程序中的潜在恶意更改。

背景技术

如今，移动操作系统(尤其是Android)越来越流行。这些移动操作系统使用的软件正在快速发展。软件更新定期发布，制造商在其中纠正错误并发布具有新功能的软件更新版本。软件通常以包含应用程序文件、文件的数字签名、和文件签名证书的存档文件的形式分发。

为了诱使受害者访问虚假网站，攻击者可以使用大量或单独寻址的电子邮件消息，这些电子邮件消息伪装成由同事、银行员工或政府机构代表发送的消息。但是，这些消息包含恶意链接。消息中包含的文本指示或要求受害者点击链接并立即执行某些动作，以避免威胁或某种严重后果。诈骗者采用的另一种方法是使用文件形式的附件，该附件也包含恶意链接或利用易受攻击的应用程序进一步危害用户的计算机。

此外，恶意软件(如计算机病毒、特洛伊木马和网络蠕虫)的类型和数量持续增加。恶意软件通常旨在对用户数据造成损坏，并损害受恶意软件感染的电子设备的实际用户。损坏可能包括破坏或删除用户文件、使用用户设备的计算资源“挖掘”加密货币、窃取机密用户数据(通信、图像、登录名、密码、银行卡数据)和其他活动。此外，由于恶意软件的作者采取了新的攻击方法，并采取了新的措施来避免安全应用程序的检测，因此恶意软件也在不断变化。恶意软件代码使用各种机制。在一个示例中，恶意代码的模糊处理可用于更改程序的源文本或可执行代码的外观，同时保留其功能，并使得在反编译期间更难分析、理解操作算法和修改恶意代码。在另一个示例中，可以使用抵消仿真的机制。例如，可以为恶意软件提供功能，以识别其正在仿真器中执行，从而使恶意代码能够避免表现出恶意活动。

为移动操作系统创建恶意应用程序的一种方法是：将恶意代码嵌入合法应用程序(合法应用程序用作基础)，并通过重新打包存档和添加恶意功能来修改合法应用程序。用启发式防病毒分析方法检测此类嵌入恶意代码的应用程序是有问题的，因为通常在一个具有大量安全功能的文件中存在极少量的危险功能。因此，尝试对恶意代码进行广义启发式搜索会导致大量误报。例如，此类应用程序的一个已知案例是“Cam Scanner”应用程序，其可通过Google Play进行安装。在一个版本中，当应用程序的安装量大于1亿次时，在其中一次更新期间向应用程序添加了恶意模块。就目前所知，与合作公司签订了合同，但在发布广告的同时，该合作公司还提供了一个包含恶意代码的模块。应用程序开发者不是分析师或安全专家，因此他们只是自己将该模块构建到应用程序中。事实证明，在该应用程序的一亿次安装中发现了恶意代码。

在另一个示例中，还已知广告服务公司处于“平衡”的边缘，在与开发者的合作协定中提供他们的广告模块，但有时他们“超越”了限制。他们的模块包含合法代码，但会对用户造成损害。例如，这样的模块可以发送SMS(这是合法的，因为这是移动设备的一项功能，但这样的动作会对用户产生财务影响)或读取先前接收的消息(这也是合法的，但应只允许用于所选择的应用程序，否则会以访问敏感用户数据的形式造成损害)。还存在通过添加恶意代码进行故意修改的情况。

此外，还存在落入“riskware(风险程序)”类别的应用程序。这类应用程序具有潜在的危险性，例如，远程管理应用程序可以用作后门，特别是如果它们允许隐藏启动和操作，而其操作没有任何用户通知。

因此，需要一种例如通过检测恶意应用程序来提高信息安全性的方法和系统。

发明内容