Group of Software Security In Progress

GoSSIP @ LoCCS.Shanghai Jiao Tong University

TriggerScope: Towards Detecting Logic Bombs in Android Applications

论文下载

摘要

  • 现在很多恶意app需要特定的时间、地点等环境才能触发相关的恶意行为,而大多数的静态分析工具无法在保证比较高的准确率的情况下检测出触发恶意行为的条件。
  • 作者提出了一种新颖的静态分析工具TriggerScope,通过符号执行等方法寻找到恶意APP中基于时间、地点、SMS的触发条件。

系统概况

Fig 1. 从APK中提取dex,并且将其转换成IR,同时生成相应的CFG。利用符号执行的技术,在每一个check的地方标有相关的符号公式或者匹配的值。 2. 结合CFG和注释,寻找所有的函数块和相应的check,并且简化相应的符号公式。 3. 从第二步的结果中提取可疑的check(匹配对象为硬编码的int、string、时间、地点、SMS) 4. 根据第三步得出的可疑check,分析对应的函数块中是否存在调用了和隐私相关API(权限相关)的地方

Fig

Fig

实验

  • 从Google Play Store中找了和时间相关的app:5803个;地点相关:4135个;SMS相关:1400个(总共9582,其中有4950个可以成功分析),并且特别找了14个已知的恶意的APP。
  • 平均一个app需要219.21秒。

Fig

Fig

Fig

  • 作者发现,在良性的app中,和时间相关的一般都是倒计时推送提醒或者定时连接网络更新cookie;和地点相关的一般是提醒是否是接近一个地域;和SMS相关一般是远程解锁或者是寻找自己手机。