G.O.S.S.I.P 学术论文推荐 2021-08-10

随着移动安全研究的深入，最近几年针对Android app的保护和反保护对抗不断有新论文发表，今天我们为大家介绍的是一篇在TDSC期刊上预发表的研究论文，讨论了Android app对抗重打包这一军备竞赛中遇到的问题

说到Android app的重打包问题，从2010年代伊始走过来的开发人员满眼都是泪，那时候的重打包攻击者简直肆无忌惮，不仅随意盗版，更有恶意代码被强行添加到原有的app中，G.O.S.S.I.P在2014年AsiaCCS会议上发表的论文APKLancet: Tumor Payload Diagnosis and Purification for Android Applications就介绍了一种自动化切除重打包app中恶意代码的技术：（https://sjtu.lijuanru.com/publications/asiaccs14.pdf）

经过多年的发展，现在已经有很多重打包对抗技术被应用在主流的Android app上，然而，本文作者提出了一种名为active warden attack的攻击，针对了当前诸多防重打包技术的弱点，在不需要root的情况下，也能让被重打包的app中的对抗技术误以为自己是完整的

作者设计的攻击其实思路也比较简单，对原始的app插入了一个名为warden module的模块，该模块监控了原始app和系统之间的关键交互（这种在一个host app里面运行原始app并进行hook的技术其实在国内的黑产圈应该比较流行了）。

接下来，作者就详细讨论了如何利用warden module来处理各类关键的反重打包检测，其实也是针对当前的一些主流检测框架进行的patch~

最后，作者还提出了一种对抗自己的active warden attack的防护框架，利用了bytecode和native code多重校验机制来进行检查（但是国内的一些加壳厂商估计很早就知道这些tricks了吧？）

论文PDF（付费墙）：

https://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=9502562

原文始发于微信公众号（安全研究GoSSIP）：G.O.S.S.I.P 学术论文推荐 2021-08-10