谷歌去年从Android Play官方商店下架了一批813&34;Creepware应用,此前一群研究类似跟踪软件的学者发布了一份报告。
去年这份报告背后的研究现已于本月在网上发表在一篇题为“用于人际攻击的多种Creepware”的论文中。
在这篇论文中,来自纽约大学(New York University)、康奈尔理工大学(Cornell Tech)和诺顿生命锁(NortonLifeLock,前身为赛门铁克)的学者分析了所谓的Creepware应用程序。
蠕虫软件是指不具备间谍软件或跟踪软件产品的全部功能,但仍可直接或间接用于跟踪、骚扰、诈骗或威胁他人的移动应用程序。
研究小组表示,他们开发了一种名为CreepRank的算法,该算法可以识别移动应用程序中类似蠕虫软件的行为,然后为每个应用程序分配一个爬行评分。
例如,CreepRank算法可以识别具有以下功能的应用程序:从设备中提取SMS消息、在IM/SMS聊天中欺骗另一个用户的身份、发动拒绝服务攻击(SMS/IM炸弹等)、隐藏其他应用程序、控制对其他应用程序的访问、跟踪位置等等。
单独实现这些功能的应用程序本身不符合间谍软件或跟踪软件(Spouware)的资格,但它们仍然会导致某种形式的滥用,或者它们可能会与其他应用程序组合,以实现更具侵入性的行为。
在开发了CreepRank算法后,研究小组使用它来识别现实世界中的蠕虫软件应用程序。
研究小组通过对安装在5000多万部Android智能手机上的应用程序的匿名数据样本运行CreepRank来做到这一点。这些数据由NortonLifeLock提供,来自运行Norton Mobile Security移动杀毒软件的真实设备。
对于每个应用程序,CreepRank算法都会计算出一个爬行分数,然后研究人员会对这些应用程序进行排序,以发现哪些应用程序可能被滥用来跟踪或骚扰用户。
研究人员表示,根据CreepRank得分对排名前1000名的应用程序进行分析后发现,有857个应用程序符合蠕虫软件的标准,其中Creepware功能在应用程序中发挥着核心作用,有时还会在应用程序的营销中发挥核心作用。
这包括支持欺骗的应用程序(114个应用程序)、骚扰(80个应用程序,包括短信炸弹)、黑客教程(63个应用程序)和其他应用程序。
学者们表示,通过对2017年、2018年和2019年的应用程序数据集应用CreepRank算法,他们发现了1095个蠕虫软件应用程序,占现实世界设备上100多万次安装。
研究团队表示,他们在去年夏天通知了谷歌1095个应用程序,这家科技巨头的安全团队进行了干预,并以违反Play Store的条款和条件为由删除了813个应用程序。
2019年9月,在谷歌下架了这些应用程序并验证了算法的有效性之后,NortonLifeLock还宣布将在未来的移动杀毒产品中加入CreepRank。
NortonLifeLock也是反对Stalkerware联盟(Coalition Against Stalkerware)的创始成员之一,该联盟是一个网络安全行业组织,与跟踪软件应用程序的崛起和流行作斗争。
关于CreepRank算法的更多细节可以在研究小组的论文中找到,可以从这里或这里下载。