73、移动勒索软件快速静态检测方案：GreatEatlon

移动勒索软件快速静态检测方案：GreatEatlon

1. 引言

如今，全球约有 19 亿智能手机和平板电脑用户，使用着 37 亿台设备，预计到 2021 年这一数字将增长到 67.5 亿。移动设备的广泛普及使得攻击面大幅增加，且用户倾向于在移动设备上存储敏感数据，这让它们成为恶意软件作者的目标。

据 GData 数据显示，2015 年上半年，安卓设备感染数量超过 100 万次，即每天有 6100 台新设备被感染，较 2014 年增长 25%。其中，超半数感染是出于经济动机。2015 年，最危险的威胁是勒索软件，其家族数量在一年内翻了一番，感染了近 10 万不同用户，较 2014 年增长了五倍。

虽然有一些工具旨在进行感染后恢复，但它们仅对部分已知勒索软件家族有效。目前最先进的方法 HelDroid 也存在不精确的问题，只能部分识别现代移动勒索软件的某些特征。HelDroid 通过分析勒索软件的三个主要特征（文本、加密和锁定分析器）来工作。本文提出了如何增强 HelDroid 以克服在处理现代勒索软件家族约一年后发现的局限性。具体包括修改加密检测器所基于的静态污点分析工具，防止将解密流错误地视为恶意，降低误报率；识别一组新的源和汇，使检测器能够独立于目标文件所在的特定文件夹识别加密流；增强 HelDroid 以检测管理 API 的滥用；提出一种启发式方法来静态解析通过最常见反射模式调用的方法；实现一个预过滤器以减少 HelDroid 的开销。

主要贡献如下：
- 一种新颖的加密检测方法，通过通用的源和汇集合，并考虑加密操作的性质（即用户通过 UI 发起的加密与解密），能够高精度地识别恶意加密流。
- 一种静态技术，用于发现设备管理 API 的滥用，