Hệ điều hành di động kết hợp các tính năng của một hệ điều hành chomáy tính cá nhân với các tính năng khác hữu ích cho việc sử dụng di động hoặccầm tay; bao gồm hầu hết các chức năng cần
TỔNG QUAN VỀ MÃ ĐỘC TRÊN HỆ ĐIỀU HÀNH ANDROID
Khái niệm chung về hệ điều hành Android
1.1.1 Giới thiệu về hệ điều hành Android.
Hệ điều hành (operating system) là phần mềm hệ thống quản lý tài nguyên phần cứng, phần mềm và quản lý các dịch vụ chung cho các chương trình máy tính Hệ điều hành có chức năng lập lịch, quản lý bộ nhớ, quản lý tiến trình, quản lý tập tin và thư mục, quản lý thiết bị ngoại vi và các tài nguyên khác của máy tính, giúp các tác vụ sử dụng hệ thống một cách hiệu quả hơn [19]
Hệ điều hành máy tính để bàn phổ biến nhất là hệ điều hành Microsoft Windows với thị phần khoảng 76,45%, MacOS của Apple đứng ở vị trí thứ hai (17,72%), và các loại hệ điều hành Linux được xếp chung ở vị trí thứ ba (1,73%).
Bên cạnh hệ điều hành máy tính, hiện nay các thiết bị di động, điện thoại thông minh, máy tính bảng đều có hệ điều hành riêng Có nhiều loại hệ điều hành khác nhau dành cho các thiết bị di động, như hệ điều hành Android, IOS, Symbian, BlackBerry, trong đó thị phần của Android đang chiếm phần lớn so với thị phần của các hệ điều hành còn lại
Hệ điều hành di động kết hợp các tính năng của một hệ điều hành cho máy tính cá nhân với các tính năng khác hữu ích cho việc sử dụng di động hoặc cầm tay; bao gồm hầu hết các chức năng cần thiết trong các hệ thống di động hiện đại như: màn hình cảm ứng, mạng thiết bị di động, Bluetooth, Wi-Fi, Hệ thống Định vị Toàn cầu (GPS), máy ảnh số cho phép chụp ảnh và quay video, nhận dạng tiếng nói, thu âm, chơi nhạc và đèn hồng ngoại điều khiển từ xa
Android là một hệ điều hành dựa trên nền tảng Linux được thiết kế dành cho các thiết bị di động có màn hình cảm ứng như điện thoại thông minh và máy tính bảng Hệ điều hành Android được phát triển dựa trên nền tảng Linux, có mã nguồn mở gồm 12 triệu dòng mã trong đó 03 triệu dòng mã XML, 2,8 triệu dòng mã C, Java chiếm 2,1 triệu mã và 1,75 triệu dòng mã C++, bao gồm hệ điều hành, những phần trung gian và một số ứng dụng cơ bản mà người dùng cần đến Do đó cho phép các nhà phát triển thiết bị, mạng di động và các lập trình viên được điều chỉnh và phân phối Android một cách tự do.
1.1.1.2 Lịch sử hình thành và phát triển.
Android được phát triển bởi Android Inc với sự hỗ trợ tài chính từ Google và sau này được chính Google mua lại vào năm 2005, chính thức ra mắt năm 2007 Chiếc điện thoại chạy Android đầu tiên được bán ra là HTC Dream, phát hành ngày 22 tháng 10 năm 2008 Biểu trưng của hệ điều hành Android mới là một con robot màu xanh lá cây do hãng thiết kế Irina Blok tại California vẽ [20].
Từ năm 2008, Android đã trải qua nhiều lần cập nhật để dần dần cải tiến hệ điều hành, bổ sung các tính năng mới và sửa các lỗi trong những lần phát hành trước Mỗi bản nâng cấp được đặt tên lần lượt theo thứ tự bảng chữ cái, theo tên của một món ăn tráng miệng, ví dụ như phiên bản 1.5 Cupcake tiếp nối bằng phiên bản 1.6 Phiên bản mới nhất hiện nay là Android 13, ra mắt vào tháng 8 năm 2022.
1.1.2 Giao diện và ứng dụng hệ điều hành Android 1.1.2.1 Giao diện
Giao diện người dùng của Android dựa trên nguyên tắc tác động trực tiếp, sử dụng cảm ứng chạm tương tự như những động tác ngoài đời thực như vuốt, chạm, kéo giãn và thu lại để xử lý các đối tượng trên màn hình Sự phản ứng với tác động của người dùng diễn ra gần như ngay lập tức, nhằm tạo ra giao diện cảm ứng mượt mà, thường dùng tính năng rung của thiết bị để tạo phản hồi rung cho người dùng Những thiết bị phần cứng bên trong như gia tốc kế, con quay hồi chuyển và cảm biến khoảng cách được một số ứng dụng sử dụng để phản hồi một số hành động khác của người dùng, ví dụ như điều chỉnh màn hình từ chế độ hiển thị dọc sang chế độ hiển thị ngang tùy theo vị trí của thiết bị.
Các thiết bị Android sau khi khởi động sẽ hiển thị màn hình chính, điểm khởi đầu với các thông tin chính trên thiết bị, tương tự như khái niệm desktop(bàn làm việc) trên máy tính để bàn Màn hính chính Android thường gồm nhiều biểu tượng (icon) và tiện ích (widget); biểu tượng ứng dụng sẽ mở ứng dụng tương ứng, còn tiện ích hiển thị những nội dung sống động, cập nhật tự động như dự báo thời tiết, hộp thư của người dùng Ở phía trên cùng màn hình là thanh trạng thái, hiển thị thông tin về thiết bị và tình trạng kết nối
Các ứng dụng cho Android được phát triển bằng ngôn ngữ Java sử dụng Bộ phát triển phần mềm Android (SDK) SDK bao gồm một bộ đầy đủ các công cụ dùng để phát triển, gồm có công cụ gỡ lỗi, thư viện phần mềm, bộ giả lập điện thoại dựa trên QEMU, tài liệu hướng dẫn, mã nguồn mẫu, và hướng dẫn từng bước Môi trường phát triển tích hợp (IDE) được hỗ trợ chính thức là Eclipse sử dụng phần bổ sung Android Development Tools (ADT) Các công cụ phát triển khác cũng có sẵn, gồm có Bộ phát triển gốc dành cho các ứng dụng hoặc phần mở rộng viết bằng C hoặc C++, Google App Inventor, một môi trường đồ họa cho những nhà lập trình mới bắt đầu, và nhiều nền tảng ứng dụng web di động đa nền tảng phong phú.
Android có lượng ứng dụng của bên thứ ba ngày càng nhiều, được chọn lọc và đặt trên một cửa hàng ứng dụng như Google Play hay Amazon Appstore để người dùng lấy về, hoặc bằng cách tải xuống rồi cài đặt tập tin ''APK'' từ trang web khác Các ứng dụng trên Play Store cho phép người dùng duyệt, tải về và cập nhật các ứng dụng do Google và các nhà phát triển thứ ba phát hành Play Store được cài đặt sẵn trên các thiết bị thỏa mãn điều kiện tương thích của Google Ứng dụng sẽ tự động lọc ra một danh sách các ứng dụng tương thích với thiết bị của người dùng, và nhà phát triển có thể giới hạn ứng dụng của họ chỉ dành cho những nhà mạng cố định hoặc những quốc gia cố định vì lý do kinh doanh.
1.1.2.3 Ưu nhược điểm của hệ điều hành Android
+ Kho ứng dụng đa dạng: Với hệ thống cửa hàng ứng dụng Google Play, hệ điều hành Android có thể đáp ứng các nhu cầu từ chơi game cho đến làm việc với hơn 3 triệu ứng dụng người dùng
+ Mẫu mã đa dạng: Với nhiều nhà sản xuất lớn như Samsung, OPPO,Xiaomi, Huawei, Sony, Nokia, người dùng có thể lựa chọn giữa nhiều mẫu mã thiết bị khác nhau, từ các mẫu giá rẻ cho đến các mẫu cao cấp.
+ Có thể mở rộng bộ nhớ bằng thẻ nhớ: Trong khi các thiết bị của Apple chỉ cho phép sử dụng bộ nhớ trong có sẵn của máy Phần lớn các thiết bị Android cho phép người dùng lựa chọn mở rộng bộ nhớ có sẵn với các loại thẻ nhớ dung lượng cao.
+ Khả năng tùy biến cao có thể chỉnh sửa mà không có sự can thiệp hay cấm cản từ Google.
+ Nhiều ứng dụng chạy ngầm làm chậm máy: So với iOS, Android tối ưu hóa bộ nhớ RAM có phần kém hơn, dẫn đến việc nhiều ứng dụng chạy ngầm gây chậm máy hoặc thậm chí là đơ máy.
Mã độc
Mã độc hay “Malicious software” là một loại phần mềm được tạo ra và chèn vào hệ thống một cách bí mật với mục đích thâm nhập, phá hoại hệ thống hoặc lấy cắp thông tin, làm gián đoạn, tổn hại tới tính bí mật, tính toàn vẹn và tính sẵn sàng của máy tính nạn nhân [1].
Các loại mã độc càng ngày càng phức tạp từ cách thức lây nhiễm, phương pháp ẩn mình, cách thức thực hiện các hành vi nguy hiểm… Giới hạn giữa các loại mã độc ngày càng hạn hẹp vì bản thân các mã độc cũng phải có sự kết hợp lẫn nhau để hiệu quả tấn công là cao nhất.
Mã độc có thể lây nhiễm bằng nhiều cách thức khác nhau tùy vào chủng loại Phần lớn mã độc xâm nhập vào thiết bị user do sự bất cẩn của người dùng.
Khi tiến hành tải xuống phần mềm có các ứng dụng độc hại đi kèm với nó.
Một số có thể xâm nhập vào hệ thống bằng cách tận dụng các lỗ hổng bảo mật trong hệ điều hành Và các chương trình phần mềm của người dùng.
Các hệ điều hành phiên bản cũ, không bản quyền và không cập nhật, các phiên bản trình duyệt lỗi thời và các tiện ích hoặc plugin bổ sun Một nguồn phát tán mã độc phổ biến khác là thư điện tử Hacker thường sử dụng kênh thư điện tử để gửi các fake news Hoặc những thứ gây tò mò khiến người đọc phải mở tệp và tải xuống.
Mã độc gây ra nhiều tác hại, như làm chậm thiết bị sử dụng của người dùng, treo thiết bị, ảnh hưởng đến dữ liệu cá nhân, mất đi sự riêng tư của người tiêu dùng, tác động đến các ứng dụng, Mặt khác, một số virus tạo ra tình trạng các cửa số quảng cáo pop-up liên tục được bật lên làm người dùng khó chịu.
Mã độc mang nhiều hình thức ẩn mình, người dùng rất khó phát hiện, trên thực tế khi chúng tác động đến thì người tiêu dùng mới nhận ra Sự ẩn mình nó được củng cố sau mỗi biến thể nhất định khi lây lan Để phát hiện, tìm ra, ngăn chặn chúng cần sự đầu tư nhất định.
Mã độc được phân biệt làm nhiều loại dựa trên các yếu tố chính như:
Chức năng, đối tượng lây nhiễm và đặt trưng của chúng:
+Spyware (phần mềm gián điệp): Là phần mềm dùng để đánh cắp thông tin của người dùng Spyware thường được bí mật cài đặt trong các phần mềm miễn phí và phần mềm chia sẻ từ Internet Một khi đã xâm nhập thành công, spyware sẽ điều khiển máy chủ và âm thầm chuyển dữ liệu người dùng đến một máy khác
+ Backdoor: Khi xâm nhập vào thiết bị, Backdoor sẽ mở ra một cổng dịch vụ cho phép tin tặc điều khiển thiết bị nạn nhân Tin tặc có thể cài phần mềm Backdoor lên nhiều thiết bị khác nhau thành một mạng lưới các thiết bị bị điều khiển - Bot Net Từ đó, thực hiện các vụ tấn công từ chối dịch vụ DDoS.
+ Adware: Thường ẩn trang dưới dạng một chương trình hợp pháp để lừa người dùng cài đặt Khi bị nhiễm adware, thiết bị có thể sẽ bị thay đổi trang chủ tìm kiếm, bị làm phiền bởi hàng loạt quảng cáo liên tục.
1.2.3 Mã độc trên hệ điều hành Android 1.2.3.1 Một số dòng mã độc điển hình lây nhiễm trên hệ điều hành Android.
Cho đến thời điểm hiện nay, hệ điều hành Android liên tục cải thiện và phát triển không ngừng Tuy nhiên, vẫn không thể tránh khỏi sự tấn công từ các mã độc tác động đến hệ thống và các khía cạnh khác, ảnh hưởng xấu đến người tiêu dùng Một số mã độc phổ biến đã và đang xuất hiện trên các thiết bị mang hệ điều hành Android như:
- Shedun: Shedun là mã độc khét tiếng trên Android được phát hiện từ cuối năm 2015 Sau khi lây nhiễm vào máy, nó có khả năng tự động root thiết bị và tải về các quảng cáo Nhiều trường hợp, Shedun xuất hiện trong các ứng dụng hợp pháp trên Play Store khiến cho người dùng rất khó khăn để phòng tránh Mã độc này cũng từng được cài đặt sẵn trên một vài thiết bị có xuất xứ Trung Quốc.
- Godless: Godless được chèn vào các ứng dụng trên Play Store khiến cho khả năng người dùng vô tình cài đặt mã độc rất cao Thậm chí khi đã xâm nhập vào máy, mã độc có khả năng lây nhiễm sang máy khác nếu người dùng không cẩn thận Godless cũng có khả năng tự động root thiết bị mà không cần hỏi ý kiến của chủ nhân Mã độc này xuất hiện trên các điện thoại và máy tính bảng chạy Android 5.1 trở xuống.
- Fake App ( Ứng dụng giả mạo): Các ứng dụng nổi tiếng luôn là mục tiêu để kẻ xấu lợi dụng vào việc lừa đảo Chúng tạo ra hàng loạt ứng dụng có tên và hình ảnh gần giống với ứng dụng gốc Điều này khiến cho người dùng không thể phân biệt đâu là ứng dụng thật sự họ cần Trong số những ứng dụng giả mạo vô tác dụng, đôi khi còn kèm theo mã độc hết sức nguy hiểm Điển hình nhất là ứng dụng hướng dẫn chơi Pokemon Go Đã có hơn 500.000 thiết bị cài đặt ứng dụng này và cho phép quyền truy cập những thông tin nhạy cảm.
- Gunpoder: Gunpoder được chèn vào ứng dụng giả lập một số tựa trò chơi của Nintendo và phát hành bên ngoài Play Store Nhiều người dùng vẫn ưu thích các game "bốn nút" xưa cũ và tìm đến những ứng dụng trôi nổi trên web. Đây chính là cơ hội để Gunpoder lây nhiễm Loại bỏ chúng ra khỏi thiết bị của mình là điều không hề dễ dàng đối với người dùng phổ thông Vì vậy cách tốt nhất là phải phòng tránh lây nhiễm bằng việc cẩn thận khi cài đặt ứng dụng.
MỘT SỐ KỸ THUẬT PHÁT HIỆN MÃ ĐỘC TRÊN HỆ ĐIỀU HÀNH ANDROID
Kỹ thuật phát hiện mã độc dựa trên phân tích tĩnh tập tin manifest
2.1.1 Giới thiệu chung về tệp tin Manifest
Tệp tin Manifest là một tệp tin XML đặc biệt trên hệ điều hành Android được sử dụng để mô tả các thông tin về ứng dụng hoặc một gói phần mềm cụ thể Nó cung cấp thông tin cơ bản về ứng dụng, bao gồm tên ứng dụng, tác giả, phiên bản, quyền truy cập vào các tài nguyên của hệ thống, cài đặt cần thiết và các yêu cầu khác của ứng dụng.
Tệp tin Manifest thường được sử dụng trong các hệ điều hành như Android, Windows, hoặc Linux để quản lý quá trình cài đặt và sử dụng phần mềm Nó cũng được sử dụng trong các trình duyệt web để chỉ định các tính năng và yêu cầu của một ứng dụng web cụ thể.
Tệp tin Manifest thường được tạo tự động bởi các công cụ phát triển phần mềm như IDE (Integrated Development Environment) hoặc các công cụ build tự động Nó có thể được chỉnh sửa thủ công để điều chỉnh các thông tin của ứng dụng hoặc gói phần mềm cụ thể.
Hình 2.1.1.1.1 Các thành phần của tệp tin ứng dụng [15]
2.1.2 Vai trò của tệp tin Manifest trong các ứng dụng di động
Việc sử dụng tệp tin Manifest giúp cho việc phát triển và quản lý phần mềm trở nên dễ dàng và chính xác hơn Nó giúp cho các nhà phát triển và quản lý phần mềm có thể dễ dàng kiểm soát các tính năng, cài đặt, và yêu cầu của ứng dụng, từ đó đảm bảo rằng phần mềm được hoạt động một cách ổn định và an toàn trên các hệ thống khác nhau.
Tệp tin manifest là tệp bắt buộc phải có trong bất kì ứng dụng nào, dù là ứng dụng lành tính hay chứa mã độc Số lượng tệp tin manifest trong mỗi ứng dụng chỉ có 1 tệp tin duy nhất, đồng thời kích thước của tệp tin manifest rất nhỏ.
Vì vậy, phương pháp phát hiện mã độc trên Android dựa vào các đặc trưng của tệp tin manifest đã ra đời Phương pháp này sử dụng các kỹ thuật dịch ngược để trích xuất thông tin từ tệp tin manifest của ứng dụng Với kỹ thuật này, người phân tích có thể tìm ra các ứng dụng độc hại mà không phải chạy ứng dụng trên thiết bị hoặc môi trường thử nghiệm Điều này giúp rút ngắn thời gian phát hiện các ứng dụng độc hại Đồng thời, kỹ thuật phân tích này cũng có tỉ lệ phát hiện cao và tiêu tốn ít tài nguyên.
2.1.3 Kỹ thuật phân tích tĩnh tệp tin Manifest
Phần mềm độc hại được phát hiện theo các bước sau:
Bước 1: Trích xuất thông tin cụ thể trong tệp tin manifest.
Bước 2: So sánh thông tin trích xuất được với dữ liệu đã có.
Bước 3: Sau đó tính điểm số ác tính cho các thông tin trích xuất được.
Bước 4: Dựa vào điểm số ác tính để phân loại ứng dụng: là lành tính hay chứa mã độc.
Hình 2.1.3.1.1 Sơ đồ kỹ thuật phân tích tệp tin Manifest
Tệp tin manifest có các thông tin về các ứng dụng Android, chẳng hạn như phiên bản của ứng dụng, tên của package, các permission phải có, và level và phần mềm độc hại Tuy nhiên, ở đây có sự khác biệt nhất định trong các đặc tính của một số mục thông tin Qua nghiên cứu nhiều ứng dụng lành tính và ứng dụng độc hại, các nhà nghiên cứu đã chọn cụ thể ra một mục thông tin hiển thị trên nhiều loại phần mềm độc hại khác biệt so với các ứng dụng lành tính.
Dưới đây là một số thông tin được trích xuất từ tệp tin manifest để sử dụng trong phương pháp này bao gồm:
(1) Permission (2) Intent-filter (action) (3) Intent-filter (category) (4) Process name
2.1.3.2 So sánh thông tin trích xuất với dữ liệu đã có
Trong phương pháp này, một số danh sách các từ khóa (keyword) được biên soạn cho một ứng dụng Một ứng dụng là lành tính hay là ứng dụng độc hại thì chuỗi trong tệp tin manifest đều được ghi lại trong một danh sách với các từ khóa tương ứng Ở đây sẽ có 4 kiểu danh sách từ khóa bao gồm: (1) Permission, (2) Intent-filter (action), (3) Intent-filter (category), và (4) Process name [16]
Sau khi nghiên cứu nhiều mẫu lành tính và mẫu độc hại, các nhà nghiên cứu đã nhận ra các quyền liên quan đến gửi tin nhắn (SMS), chẳng hạn như SEND_SMS, RECEIVE_SMS và READ_SMS thường được sử dụng bởi các mẫu mã độc Các quyền này sẽ được cho vào danh sách các quyền nguy hiểm.
Kết quả thu thập được từ các mẫu:
- Permission nguy hiểm bao gồm:
1 READ_SMS2 SEND_SMS3 RECEIVE_SMS4 WRITE_SMS5 PROCESS_OUTGOING_CALLS6 MOUNT_UNMOUNT_FILESYSTEMS7 READ_HISTORY_BOOKMARKS8 WRITE_HISTORY_BOOKMARKS
9 READ_LOGS 10 INSTALL_PACKAGES 11 MODIFY_PHONE_STATE 12 READ_PHONE_STATE 13 INTERNET
- Intent-filter (action) nguy hiểm:
1 BOOT_COMPLETED 2 SMS_RECEIVED 3 CONNECTIVITY_CHANGE 4 USER_PRESENT
5 PHONE_STATE 6 NEW_OUTGOING_CALL 7 UNINSTALL_SHORTCUT 8 INSTALL_SHORTCUT 9 LEFT_UP
10 RIGHT_UP 11 LEFT_DOWN 12 RIGHT_DOWN 13 SIG_STR
- Intent-filter (category) nguy hiểm:
Sau khi thực hiện thu thập được danh sách từ khóa, ta sẽ thực hiện tính điểm số ác tính cho các thông tin thu được từ tệp tin manifest Đầu tiên, ta cần thực hiện phân loại các thuộc tính thu được từ tệp tin manifest là lành tính hay độc hại Sau đó, áp dụng công thức sau để tính :
P là điểm số ác tính M là số lượng chuỗi độc hại B là số chuỗi lành tính E là tổng số thông tin thu được Ví dụ: Trong tệp tin manifest ta thu được các quyền như sau: