DroidMorph 的工具，提供 安卓應用程序 (APK) 的變形并允許創建 安卓 應用程序（惡意軟件 / 良性）克隆

來自阿達納科技大學（土耳其）和國立科技大學（巴基斯坦伊斯蘭堡）的一組研究人員開發了一種名為 DroidMorph 的工具，該工具可提供 Android 應用程序 (APK) 的變形并允許創建 Android 應用程序（惡意軟件/良性）克隆。專家證明，使用該工具可以繞過執行惡意軟件排列的 Android 反惡意軟件解決方案。

學術界進行的這項研究旨在開發新技術來檢測和分析越來越多的 Android 惡意軟件變體（克隆）并阻止使用它們的攻擊。

“惡意軟件編寫者使用隱形突變（變形/混淆）來不斷開發惡意軟件克隆，從而阻止基于簽名的檢測器的檢測。這種克隆攻擊嚴重威脅著所有的移動平臺，尤其是安卓。”專家發表的論文中寫道。

然后，研究人員使用開發的 Android APK 變形工具來評估當前商業反惡意軟件解決方案對使用 Android 惡意軟件克隆的攻擊的彈性。

DroidMorph 首先將 Android APK 反編譯為中間形式，然后對其進行不同抽象級別（類、方法和主體）的變形。然后將變形的中間形式編譯為變形的 Android APK。然后對 APK 進行簽名以生成最終經過變形和簽名的 Android APK，該 APK 可以在 Android 設備上執行。

下圖顯示了 DroidMorph 的架構概覽：

專家針對普通和非普通混淆的組合測試了反惡意軟件產品，前者通過更改應用程序代碼中的類和方法名稱，而后者則基于應用程序執行流程的改變。

專家用于測試的數據集由從兩個不同資源收集的 848 個 Android 惡意軟件應用程序組成。

研究人員使用 VirusTotal 并選擇了 17 個反惡意軟件程序來檢測

“ Android 惡意軟件克隆的數量正在增加，為了阻止這種克隆攻擊，我們需要研究這些克隆是如何生成的”報告總結道。“在 DroidMorph 中，我們只實現了一些基本的微不足道和非微不足道的混淆（變形）。其他混淆的實施正在進行中，這將進一步改善（減少反惡意軟件程序的檢測）結果。將來，我們將進一步改進不同級別的變形，特別是類級別的變形。我們還將添加嵌入在 APK 中的元信息（權限等）的變形，這將進一步減少反惡意軟件程序的檢測。“