[发明专利]识别移动环境的木马化应用程序

说明书

技术领域

本发明总体涉及计算机安全，并且更具体地讲，涉及识别移动环境的木马化应用程序。

背景技术

诸如智能手机和平板电脑的移动计算设备每天得到越来越广泛的使用。安卓是用于此类移动设备的一种基于Linux的开源操作系统，它正获得日益普及的市场份额。大量开发者编写在安卓设备上运行的应用程序(“apps”)。通过谷歌公司(Google)运行的在线安卓市场，这些apps中的许多可供购买或供免费使用。安卓apps也可从其他网上商店和另外的第三方站点下载。由于安卓环境的开放性质，任何人都可以创建和分发安卓apps。

由于其开放性，安卓平台易受到称为木马化(trojanization)的攻击。为了实现该攻击，恶意方以从在线商店或其他来源下载的合法app开始。攻击者除去app的数字签名，添加另外的(恶意的)代码到app上，用匿名数字证书为app重签名，并通过现有信道之一将当前恶意app再分发给无防备用户。这被称为使app木马化。实际上，攻击者正利用安卓开发和分发环境的开放性将恶意代码隐藏在现有合法app中。试图下载并运行合法app的用户会被诱使下载木马化的版本。当木马化app在用户的安卓设备上运行时，攻击者添加的新代码可执行恶意功能，例如窃取联系信息、记录数据输入、发送欺诈性通信，等等。

有必要解决该问题。

发明内容

木马化app管理系统识别移动环境中的木马化apps，例如木马化的安卓apps。特定的移动环境下的大多数应用程序是从一个或多个app商店和/或其他第三方来源获得的。从所获得的app提取代码、数字签名者和一些实施例中的日期(如，发布日期)并有效地存储。例如，该数据可存储在代表apps的数据结构数组中，使得存在与每一个所获得的apps相关的数组的单独元素。在不同实施例中，从每个app提取代码可采取不同形式，例如从app的所有类中的所有方法中提取原始字节码，提取app中存在的类的名称以及每个类的定义方法的名称，提取app的每个类中的每个方法的散列，提取描述app的可能执行路径的流程图，等等。

对于所获得apps中每个给定的特定app，将特定的所获得app的代码与多个其他所获得apps的代码进行比较，以确定特定的所获得app是否1)包含与其他所获得apps中的一者通用的至少预定阈值量的代码，以及2)包含其中不含有的另外代码。在一个实施例中，该过程包括将特定的所获得app的代码与每一个其他所获得的apps中的代码进行比较。在另一个实施例中，该过程经优化，使得特定的所获得app的代码仅与其他所获得apps的子集的代码进行比较。在该情况下，该子集仅由与特定的所获得app的至少一些代码有共同之处的那些所获得的apps组成。

对如下情况作出响应，而将特定app的数字签名者与其他app的数字签名者进行比较：确定1)特定的所获得app包含与所获得apps中的另一个app通用的至少预定阈值量的代码，以及2)特定的所获得app包含在其他所获得app中不含有的另外代码。在一个实施例中，也将特定app的日期与其他app的日期进行比较。响应于如下情况，而将特定app识别为木马化app：确定1)特定app包含与其他app通用的至少预定阈值量的代码，2)特定app包含其他app中不含有的另外代码，3)特定app的数字签名者与其他app的数字签名者不同，以及(可选)4)特定app的日期晚于其他app的日期。

作为对识别木马化app的响应，可执行另外的步骤，例如标记木马化app以供人类分析者人工检查，对木马化app进行排队以用于自动化的恶意代码分析，将木马化app相关的信息传输至集中式安全组件，将木马化app列入黑名单，等等。

本发明内容和以下具体实施方式中所述的特征和优点并不包括全部，并且特别地，相关领域的普通技术人员在考虑其附图、说明书和权利要求书后，许多另外的特征和优点将显而易见。此外，应该指出的是，说明书中所用的语言主要被选择用于可读性和指导目的，而不是被选择用来限定或限制本发明的主题，必需借助权利要求书确定此发明主题。

附图说明

图1为根据一些实施例的示例性网络体系结构的框图，其中可实现木马化app管理系统。

图2为根据一些实施例的适用于实现木马化app管理系统的计算机系统的框图。

图3为根据一些实施例的木马化app管理系统的操作的框图。

图4为根据一些实施例的木马化app管理系统的操作的流程图。