導入
これは、2022USENIX の論文「Android の悪意のあるアプリの大規模な時間測定: 永続性、移行、および教訓」です。
事前知識
1. Goolge は、いくつかの邪魔なアドウェアを MUwS (モバイルの望ましくないソフトウェア) と定義しています
2. 複数インスタンス PHA: 攻撃者は、削除されていない PHA の上に PHA を更新し、追加のアプリケーションをインストールするか、全画面広告でアプリをインストールするように彼らを誘導します
メインコンテンツ
デバイスからの Android の潜在的に有害なアプリケーション (PHA) の持続性、市場での持続性、および市場の移行を測定します。
測定方法
1. デバイス内の PHA の持続性を測定します。
PHA が検出されたときに記録される場合は、最初のタイムスタンプとして記録されます。PHA がユーザーによって削除されるまで、2 番目のタイムスタンプとして記録されます。
2. PHA の市場への持続性の測定:
デバイスが PHA を検出したら、パッケージ名を記録し、パッケージ名を使用してタイムスタンプのインデックスを作成します。
3. 市場移動の測定
署名を追跡し、各アプリケーション市場の存在サイクルをサイズに応じて配置することにより、PHA はサイクルの長い市場からサイクルの小さい市場に移行します。
データセット ソース
1. パッシブ データ セット: ノートンLifeLock から、デバイス識別子、デバイスの国コード、検出タイムスタンプ、署名、アプリケーション パッケージ名、およびインストール パッケージ名を取得します。
2. さまざまなセキュリティ会社がさまざまな PHA をマークする際にさまざまな戦略を持っているため、VirusTotal のデータ セットで対応する PHA を確認してください。
3. AVclass を使用してマルウェア ファミリ名を抽出する
測定角度
1. デバイス内に PHA が存在する時間を測定する
1) 異なる PHA タイプのデバイス永続性
2) PHA ファミリのデバイス永続性
上位 20 の PHA ファミリを測定する
3) PHA の複数インスタンスの永続性
2. PHA がアプリケーション市場に存在できる期間
1) 市場における PHA の有病率
2) PHA に直面した市場の行動
3) さまざまな種類の PHA の市場での持続性
角度 1 : 各市場における PHA の持続性
角度 2:各市場における PHA の全体的な生存率の分析
角度 3 : 各市場におけるさまざまな種類の PHA
角度 4 : 各市場における上位 10 の PHA ファミリー
3. アプリケーション市場から削除された後、PHA は他の市場に移行されますか?
1) PHA クロスマーケット移行
角度 1 : 市場別の移行数
角度 2:さまざまな種類の PHA 移行の数
2) バックアップ/クローンによる移行の PHA 永続性