Có nhiều cách phân loại mã độc trong android:
Nghiên cứu của Troy Vennon dựa vào các hoạt động lây nhiễm của mã độc đã chia làm 4 loại.
Nghiên cứu của K.H.Khan và M.N.Tahir phân loại mã độc làm 6 nhóm.
Trang web forensics chuyên nghiên cứu về mã độc dựa vào mục tiêu của mã độc đã chia ra làm 9 họ:
Đánh cấp thông tin cá nhân 51,3%
Gửi tin nhắn trái phép (IMEL,..) 30,1%
Botnet(spam, thư rác,..) 23,5% Truy cập Root 18,3% Tải từ Google-Play 11,3% Cài đặt các ứng dụng khác 10,4% Đánh cấp định vị của người dùng 8,7% Cài đặt các ứng dụng hỗ trợ hacker 7,8% Trojans (tiếp cận các dịch vụ ngân hàng trực tiếp) 3,5%
1.2.4 Một số kỹ thuật phân tích mã độc
Công cụ phát hiện mã độc dựa trên các hành vi của mã độc. Nó nhận hai đầu vào, một là biểu hiện của hành vi của mã độc; đầu vào còn lại là chương trình được kiểm duyệt. Công cụ phát hiện mã độc có hai đầu vào này sẽ sử dụng các kỹ thuật phát hiện để xác định phần mềm đó là độc hại hay vô hại. Mặc dù hệ thống phát hiện xâm nhập (IDS) và công cụ phát hiện mã độc đôi khi được sử dụng như nhau, nhưng công cụ phát hiện mã độc thường chỉ là một thành phần trong hệ thống IDS hoàn chỉnh.
a) Phân tích tĩnh
Phân tích tĩnh là phương pháp tiếp cận nhanh, ít tốn kém để tìm các đặc điểm của mã độc hoặc các đoạn mã khả nghi trong một ứng dụng mà không cần thực hiện chúng. Các kỹ thuật này được sử dụng trong phân tích sơ bộ, khi các ứng dụng đáng nghi ngờ được đánh giá ban đầu để phát hiện nguy cơ an toàn an ninh. Các kỹ thuật được sử dụng trong phân tích tĩnh như sau:
- Lời gọi hệ thống (system call): ứng dụng di động đầu tiên được phân tách (Disassemble Application) sử dụng công cụ như IDA pro. Công cụ này được sử dụng để kết xuất các lời gọi hệ thống tạo ra bởi các ứng dụng và sau đó được chuyển đến máy trung tâm (Centroid Machine) để thực hiện phát hiện bất thường và phân loại ứng dụng dựa trên các hành vi của mã độc.