随着Android恶意软件的数量的持续增长,它紧随Windows下的应用采用的用于逃脱模拟器的技术,用来防止被动态分析。在这篇文章中,我们将展示一些用于模拟器检测的技术。
前言
下面的报告来自SophosLabs实验室的Android安全专家陈宇,还有来自Android组的成员William Lee, Jagadeesh Chandraiah and Ferenc László Nagy的帮助。
随着Android恶意软件的数量的持续增长,它紧随Windows下的应用采用的用于逃脱模拟器的技术,用来防止被动态分析。在这篇文章中,我们将展示一些用于模拟器检测的技术。
模拟器是一种可以允许一台电脑(主机)模拟另外一台电脑(客户机)的硬件或软件。通常,它允许主机系统运行软件或者使用外部设备来模拟器客户机系统。在安全方面,用它很容易检测恶意软件的行为,这也是为什么恶意软件的作者很想避免运行于模拟器。
模拟器检测技术在许多不同的Android恶意软件家族中均被发现了,最近的一款是在Google Play发现的Android加载广告的恶意软件。
于是,下面是SophosLabs实验室发现的6中常用的模拟器检测技术:
1. 检测手机服务信息
所有模拟器检测的关键是确定模拟器和真机设备的运行环境之间的差异。首先,模拟器上面的设备ID、手机号、IMEI号和IMSI号都不同于真机设备。
android.telephony.TelephonyManager类提供了用于获取设备信息的方法。Android应用程序可以通过该类里面的方法用于检测手机服务和状态,访问一些运行商信息,注册用于接收手机状态变化通知的监听器。例如,你能用getLine1Number方法来获取卡1上的手机号信息。在模拟器上面,它将是“1555521”后面紧跟模拟器端口数字。例如如果模拟器端口是5554,它将返回15555215554。
Andr/RuSms-AT使用下面这种代码用于检测模拟器:
2. 检测制造商信息
我们发现许多恶意软件家族通过检测制造商信息来判断它是否运行在模拟器中。例如,下面这款银行类的恶意软件使用如下的模拟器检测代码:
其中的字符串被加密了,解密后的内容如下:
上面的方法是被一个广播接收器调用的。在这款APP的manifest文件中,这个广播接收器被定义为用于接收android.intent.action.BOOT_COMPLETED和 android.intent.action.SCREEN_ON事件。这意味着它将在手机启动时或者被唤醒时调用。这是恶意软件常用来启动它们恶意行为的地方。但是,这款恶意软件在模拟器检测函数返回true时将什么都不做,如下所示:
本文为授权转载文章,任何人未经原授权方同意,不得复制、转载、摘编等任何方式进行使用,e-works不承担由此而产生的任何法律责任! 如有异议请及时告之,以便进行及时处理。联系方式:editor@e-works.net.cn tel:027-87592219/20/21。