Group of Software Security In Progress

GoSSIP @ LoCCS.Shanghai Jiao Tong University

An Investigation Into the Use of Common Libraries in Android Apps

Introduction

作者认为第三方库的存在降低了apk分析的精确度,在不考虑第三方库造成的影响的情况下,代码相似性结果存在很多由此引起的误报或漏报。于是作者建立了一个第三方库的集合,分析了这些库的存在是否对APK分析产生了影响。

本文的贡献:

  • 提出了一个收集第三方库的方法,结果开源。
  • 将普通的第三方库和广告库分开考察,提出了一个区分广告库的方法。
  • 正常APK和恶意APK在使用第三方库方面有很大的区别
  • 证实收集第三方库有助于减小重打包应用检测的误报率

Fig

Identification of common libraries

  • 选择至少在10个APP中出现的
  • 报名不是只有一个字段
  • 没有混淆
  • 排除包名是其他包名前缀的包
  • 相似性分析(签名,函数调用信息)排除相似的包
  • 广告库分析(关键词,特征比如申请联网权限,组件声明情况,视图更新操作)

Fig

Fig

Fig

Fig

Empirical investigations

  • 选取20000个APP,正常应用和恶意应用各一半

  • 首先用机器学习的方法,判断正常应用和恶意应用在使用第三方库方面有没有区别,并分析出恶意应用程序比普通应用程序引用了更多的广告库

  • 然后在不考虑第三方库的情况下,重打包应用的检测漏报率和误报率都有所减少
  • 最后考虑排除第三方库干扰的恶意软件检测(采用MUDEFLOW)

Fig