The Invisible Ink of the Android Malware World: A Longitudinal Study on the Usage of Covert Communication Channels - 专知论文

会员服务 ·

0

软件 · CC · 安卓 · 隐蔽信道 · 分析 ·

The Invisible Ink of the Android Malware World: A Longitudinal Study on the Usage of Covert Communication Channels

翻译：安卓恶意软件世界的隐形墨水：隐蔽通信信道使用的纵向研究

Zeya Umayya,Manan Aggarwal,Manan Chugh,Mann Nariya,Yogesh Kaushik,Sambuddho Chakravarty

from arxiv, 21 pages, 23 figures, EuroS&P 2026

Proxies, VPNs and Tor have long helped the privacy community and users in censored regions to fight censorship. However, the same tools can be maliciously exploited by malware and botnets to conceal their communication to external command and control servers. Despite being a critical concern fueled by the proliferation of malware based attacks, no longitudinal studies have analyzed how malware applications use covert channels (CC) to evade detection. We fill this gap by performing the first study of the usage of covert channels in the Android malware ecosystem. To that end, we develop a multistage pipeline that combines static and dynamic analysis to investigate both system and network-level features. We applied this pipeline on a corpus of 3.5M Android malware spanning 2009 to July 2025. Our carefully crafted static validation rules uncovered 288K APKs that used CCs spanning 511 malware families and CC usage growing exponentially from 0.30\% (2012) to 50\% (2025). Overall, in dynamic analysis, we identified 19,308 unique IP addresses being contacted in 85 countries, out of which we were able to explicitly validate the presence of CCs for 59 IP addresses across 17 countries. Further, we performed a longitudinal dataset study spanning over 16 years for CC based malware and found that CC usage has evolved, \textit{e.g.,} some malware adopted by using more than one CCs; others switched between them periodically (one family switched CC usage 40 times from 2019 to 2025).

翻译：代理、VPN和Tor长期以来帮助隐私社区及受审查地区的用户对抗审查。然而，同样的工具也可能被恶意软件和僵尸网络恶意利用，以隐藏其与外部命令控制服务器的通信。尽管恶意软件攻击的泛滥使这一问题成为关键隐患，但目前尚无纵向研究分析恶意应用程序如何利用隐蔽信道（CC）逃避检测。我们通过首次针对安卓恶意软件生态系统中隐蔽信道使用情况的研究填补了这一空白。为此，我们开发了一个结合静态与动态分析的多阶段流水线，用于检测系统和网络层面的特征。我们将该流水线应用于一个涵盖2009年至2025年7月的350万安卓恶意软件语料库。我们精心设计的静态验证规则发现了288,103个使用隐蔽信道的APK，涉及511个恶意软件家族，且CC使用率从2012年的0.30%指数级增长至2025年的50%。在动态分析中，我们共识别出85个国家中19,308个被联系的唯一IP地址，其中明确验证了17个国家中59个IP地址存在隐蔽信道。此外，我们对基于CC的恶意软件进行了跨越16年的纵向数据集研究，发现CC使用方式不断演变，例如：部分恶意软件采用多种CC，其他恶意软件则在多种CC之间周期性切换（其中一个家族在2019年至2025年间切换CC使用达40次）。

0

相关内容

软件（中国大陆及香港用语，台湾作软体，英文：Software）是一系列按照特定顺序组织的计算机数据和指令的集合。一般来讲软件被划分为编程语言、系统软件、应用软件和介于这两者之间的中间件。软件就是程序加文档的集合体。

《动态网络环境下基于软件定义网络的分布式侦察欺骗》最新190页

《动态网络环境下基于软件定义网络的分布式侦察欺骗》最新190页

专知会员服务

24+阅读 · 2024年6月3日

《利用强化学习发现 Tor 和公共网络上的指挥与控制 (C2) 通道》

《利用强化学习发现 Tor 和公共网络上的指挥与控制 (C2) 通道》

专知会员服务

30+阅读 · 2024年2月21日

《使用静态污点分析检测恶意代码》CMU最新30页slides

《使用静态污点分析检测恶意代码》CMU最新30页slides

专知会员服务

22+阅读 · 2023年10月11日

《H4rm0ny：用于规避恶意软件生成和检测的多智能体学习的竞争性两人零和马尔可夫博弈》2022最新12页论文，加拿大国防研究与发展部

《H4rm0ny：用于规避恶意软件生成和检测的多智能体学习的竞争性两人零和马尔可夫博弈》2022最新12页论文，加拿大国防研究与发展部

专知会员服务

27+阅读 · 2022年10月26日

《用对抗样本防御基于深度学习的视频指纹攻击》美海军研究生院2022最新60页论文

《用对抗样本防御基于深度学习的视频指纹攻击》美海军研究生院2022最新60页论文

专知会员服务

28+阅读 · 2022年10月7日

【书籍】网络安全《移动目标防御 II：博弈论和对抗性建模的应用》210页，Moving Target Defense II：Application of Game Theory and Adversarial Modeling

【书籍】网络安全《移动目标防御 II：博弈论和对抗性建模的应用》210页，Moving Target Defense II：Application of Game Theory and Adversarial Modeling

专知会员服务

67+阅读 · 2022年4月14日

恶意文档检测研究综述

专知会员服务

19+阅读 · 2021年6月10日

深度学习赋能的恶意代码攻防研究进展

深度学习赋能的恶意代码攻防研究进展

专知会员服务

30+阅读 · 2021年4月11日

机器学习隐私综述论文，An Overview of Privacy in Machine Learning

机器学习隐私综述论文，An Overview of Privacy in Machine Learning

专知会员服务

81+阅读 · 2020年5月20日

【O'Reilly TensorFlow Conference 2019】恶意软件检测（Generative malware outbreak detection），Sean Park | Trend Micro

【O'Reilly TensorFlow Conference 2019】恶意软件检测（Generative malware outbreak detection），Sean Park | Trend Micro

专知会员服务

15+阅读 · 2019年11月13日

《用于网络防御的深度机器学习》【概念解读、事件简史、深度学习、面临挑战、军事应用】20余位作者2022最新126页技术报告

《用于网络防御的深度机器学习》【概念解读、事件简史、深度学习、面临挑战、军事应用】20余位作者2022最新126页技术报告

专知

11+阅读 · 2022年10月28日

推荐！【中文版】《指挥、控制、通信和情报（C3I）系统安全性综述：漏洞、攻击和对策》35页最新论文

推荐！【中文版】《指挥、控制、通信和情报（C3I）系统安全性综述：漏洞、攻击和对策》35页最新论文

专知

43+阅读 · 2022年7月27日

【经典书】网络安全《移动目标防御 II：博弈论和对抗性建模的应用》210页

【经典书】网络安全《移动目标防御 II：博弈论和对抗性建模的应用》210页

专知

17+阅读 · 2022年4月16日

分享8个强大的黑客技术学习网站

分享8个强大的黑客技术学习网站

黑客技术与网络安全

89+阅读 · 2019年8月29日

通过Termux打造免root安卓渗透工具

通过Termux打造免root安卓渗透工具

黑客技术与网络安全

16+阅读 · 2019年8月16日

FaceNiff工具 - 适用于黑客的Android应用程序

FaceNiff工具 - 适用于黑客的Android应用程序

黑白之道

151+阅读 · 2019年4月7日

AnDOSid - 适用于黑客的Android应用程序

AnDOSid - 适用于黑客的Android应用程序

黑白之道

11+阅读 · 2019年3月14日

ProxyDroid - 适用于黑客的Android应用程序

ProxyDroid - 适用于黑客的Android应用程序

黑白之道

55+阅读 · 2019年3月9日

Packet Sender - 免费的UDP和TCP网络测试实用程序（Android App）

Packet Sender - 免费的UDP和TCP网络测试实用程序（Android App）

黑白之道

25+阅读 · 2019年3月8日

I2P - 适用于黑客的Android应用程序

I2P - 适用于黑客的Android应用程序

黑白之道

38+阅读 · 2019年3月6日

移动互联网的用户隐私保护研究

国家自然科学基金

2+阅读 · 2017年12月31日

面向用户体验的无线异构软件定义网络资源管理研究

国家自然科学基金

2+阅读 · 2015年12月31日

面向应用商店的移动智能终端恶意软件检测关键技术研究

国家自然科学基金

1+阅读 · 2015年12月31日

基于海量软件片段比对的恶意代码检测方法研究

国家自然科学基金

2+阅读 · 2015年12月31日

即时通信中的隐蔽通信模型及方法研究

国家自然科学基金

0+阅读 · 2015年12月31日

基于软件定义无线网络的虚拟多径攻击检测与防御技术研究

国家自然科学基金

1+阅读 · 2015年12月31日

内容中心移动社交网络高效安全匿名通信机制研究

国家自然科学基金

0+阅读 · 2015年12月31日

即时通讯匿名隐通道系统模型与算法研究

国家自然科学基金

1+阅读 · 2015年12月31日

Android移动终端多语种基础软件组合的安全技术研究

国家自然科学基金

0+阅读 · 2014年12月31日

基于免疫的Rootkit隐遁攻击动态内存取证方法研究

国家自然科学基金

0+阅读 · 2014年12月31日

MASCOT-Android: A Curated Dataset and Automated Collection Pipeline for Android Malware Source Code Specimens

Arxiv

0+阅读 · 6月16日

CAPED: Context-Aware Privacy Exposure Defense for Mobile GUI Agents

Arxiv

0+阅读 · 6月16日

DoubtProbe: Black-Box Jailbreak Defense via Structural Verification and Semantic Auditing

Arxiv

0+阅读 · 6月15日

MASCOT-Android: A Curated Dataset and Automated Collection Pipeline for Android Malware Source Code Specimens

Arxiv

0+阅读 · 6月15日

Hiding the Trees in the Forest: Building Network Covert Channels with Hash-Based Covert Carrier Filtering

Arxiv

0+阅读 · 6月10日

The Sound of Malware: A Memory Forensics Approach for Android Malware Analysis via Audio Signals

Arxiv

0+阅读 · 6月5日

Don't Trust Us: A privacy-by-design android malware detection pipeline

Arxiv

0+阅读 · 6月2日

MAECO-Lite: Modular Ontology for Dynamic Malware Analysis

Arxiv

0+阅读 · 5月29日

An Empirical Study of Privacy Leakage Chains via Prompt Injection in Black-Box Chatbot Environments

Arxiv

0+阅读 · 5月18日

GESR: Graph-Based Edge Semantic Reconstruction for Stealthy Communication Detection with Benign-Only Training

Arxiv

0+阅读 · 5月8日

VIP会员

文章信息

相关主题

最新内容

美国从乌克兰无人机战争中学习经验

美国从乌克兰无人机战争中学习经验

专知会员服务

1+阅读 · 今天15:03

ICML 2026 | 面向视觉语言模型的语义鲁棒性认证

ICML 2026 | 面向视觉语言模型的语义鲁棒性认证

专知会员服务

0+阅读 · 今天14:31

综述 | 智能体电子设计自动化：从“交接有效性”重新理解Agentic EDA

综述 | 智能体电子设计自动化：从“交接有效性”重新理解Agentic EDA

专知会员服务

0+阅读 · 今天14:29

深入解读 Palantir AIP：全球最具争议的人工智能平台究竟如何运作

深入解读 Palantir AIP：全球最具争议的人工智能平台究竟如何运作

专知会员服务

12+阅读 · 6月20日

ICML 2026 | 多任务贝叶斯上下文学习：让 Transformer 在测试时显式适应新先验

ICML 2026 | 多任务贝叶斯上下文学习：让 Transformer 在测试时显式适应新先验

专知会员服务

4+阅读 · 6月19日

ACL 2026综述 | 大规模手语数据集：资源、基准与标注标准

ACL 2026综述 | 大规模手语数据集：资源、基准与标注标准

专知会员服务

7+阅读 · 6月19日

ICML 2026 Spotlight | SmoothSMoE：解析稀疏 MoE 路由不连续

ICML 2026 Spotlight | SmoothSMoE：解析稀疏 MoE 路由不连续

专知会员服务

6+阅读 · 6月18日

综述 | 周期表视角下的大模型推理：范式、方法与失败模式

综述 | 周期表视角下的大模型推理：范式、方法与失败模式

专知会员服务

8+阅读 · 6月18日

《廉价自杀式无人机战争的军事战略影响：乌克兰和伊朗案例研究》

《廉价自杀式无人机战争的军事战略影响：乌克兰和伊朗案例研究》

专知会员服务

11+阅读 · 6月18日

《面向反无人机作战的联邦式可解释射频–光电/红外情报融合：边缘人工智能优化、电子战韧性及分布式监视验证》

《面向反无人机作战的联邦式可解释射频–光电/红外情报融合：边缘人工智能优化、电子战韧性及分布式监视验证》

专知会员服务

11+阅读 · 6月18日

ICML 2026 | FR3D：解耦自车运动的未来动态三维重建世界模型

ICML 2026 | FR3D：解耦自车运动的未来动态三维重建世界模型

专知会员服务

7+阅读 · 6月17日

【伯克利博士论文】迈向可扩展与自我演进的大语言模型智能体

【伯克利博士论文】迈向可扩展与自我演进的大语言模型智能体

专知会员服务

12+阅读 · 6月17日

学习数据的几何：形状空间分析数学综述

学习数据的几何：形状空间分析数学综述

专知会员服务

8+阅读 · 6月17日

《现代防空系统综述：架构、传感器、拦截器及新兴威胁环境对基础设施受限防御环境的影响》2026最新长综述

《现代防空系统综述：架构、传感器、拦截器及新兴威胁环境对基础设施受限防御环境的影响》2026最新长综述

专知会员服务

21+阅读 · 6月17日

定向能反无人机系统最新发展动态

定向能反无人机系统最新发展动态

专知会员服务

10+阅读 · 6月17日

相关VIP内容

《动态网络环境下基于软件定义网络的分布式侦察欺骗》最新190页

《动态网络环境下基于软件定义网络的分布式侦察欺骗》最新190页

专知会员服务

24+阅读 · 2024年6月3日

《利用强化学习发现 Tor 和公共网络上的指挥与控制 (C2) 通道》

《利用强化学习发现 Tor 和公共网络上的指挥与控制 (C2) 通道》

专知会员服务

30+阅读 · 2024年2月21日

《使用静态污点分析检测恶意代码》CMU最新30页slides

《使用静态污点分析检测恶意代码》CMU最新30页slides

专知会员服务

22+阅读 · 2023年10月11日

《H4rm0ny：用于规避恶意软件生成和检测的多智能体学习的竞争性两人零和马尔可夫博弈》2022最新12页论文，加拿大国防研究与发展部

《H4rm0ny：用于规避恶意软件生成和检测的多智能体学习的竞争性两人零和马尔可夫博弈》2022最新12页论文，加拿大国防研究与发展部

专知会员服务

27+阅读 · 2022年10月26日

《用对抗样本防御基于深度学习的视频指纹攻击》美海军研究生院2022最新60页论文

《用对抗样本防御基于深度学习的视频指纹攻击》美海军研究生院2022最新60页论文

专知会员服务

28+阅读 · 2022年10月7日

【书籍】网络安全《移动目标防御 II：博弈论和对抗性建模的应用》210页，Moving Target Defense II：Application of Game Theory and Adversarial Modeling

【书籍】网络安全《移动目标防御 II：博弈论和对抗性建模的应用》210页，Moving Target Defense II：Application of Game Theory and Adversarial Modeling

专知会员服务

67+阅读 · 2022年4月14日

恶意文档检测研究综述

专知会员服务

19+阅读 · 2021年6月10日

深度学习赋能的恶意代码攻防研究进展

深度学习赋能的恶意代码攻防研究进展

专知会员服务

30+阅读 · 2021年4月11日

机器学习隐私综述论文，An Overview of Privacy in Machine Learning

机器学习隐私综述论文，An Overview of Privacy in Machine Learning

专知会员服务

81+阅读 · 2020年5月20日

【O'Reilly TensorFlow Conference 2019】恶意软件检测（Generative malware outbreak detection），Sean Park | Trend Micro

【O'Reilly TensorFlow Conference 2019】恶意软件检测（Generative malware outbreak detection），Sean Park | Trend Micro

专知会员服务

15+阅读 · 2019年11月13日

热门VIP内容

开通专知VIP会员享更多权益服务

ICML 2026 | 面向视觉语言模型的语义鲁棒性认证

深入解读 Palantir AIP：全球最具争议的人工智能平台究竟如何运作

美国从乌克兰无人机战争中学习经验

综述 | 智能体电子设计自动化：从“交接有效性”重新理解Agentic EDA

相关资讯

《用于网络防御的深度机器学习》【概念解读、事件简史、深度学习、面临挑战、军事应用】20余位作者2022最新126页技术报告

《用于网络防御的深度机器学习》【概念解读、事件简史、深度学习、面临挑战、军事应用】20余位作者2022最新126页技术报告

专知

11+阅读 · 2022年10月28日

推荐！【中文版】《指挥、控制、通信和情报（C3I）系统安全性综述：漏洞、攻击和对策》35页最新论文

推荐！【中文版】《指挥、控制、通信和情报（C3I）系统安全性综述：漏洞、攻击和对策》35页最新论文

专知

43+阅读 · 2022年7月27日

【经典书】网络安全《移动目标防御 II：博弈论和对抗性建模的应用》210页

【经典书】网络安全《移动目标防御 II：博弈论和对抗性建模的应用》210页

专知

17+阅读 · 2022年4月16日

分享8个强大的黑客技术学习网站

分享8个强大的黑客技术学习网站

黑客技术与网络安全

89+阅读 · 2019年8月29日

通过Termux打造免root安卓渗透工具

通过Termux打造免root安卓渗透工具

黑客技术与网络安全

16+阅读 · 2019年8月16日

FaceNiff工具 - 适用于黑客的Android应用程序

FaceNiff工具 - 适用于黑客的Android应用程序

黑白之道

151+阅读 · 2019年4月7日

AnDOSid - 适用于黑客的Android应用程序

AnDOSid - 适用于黑客的Android应用程序

黑白之道

11+阅读 · 2019年3月14日

ProxyDroid - 适用于黑客的Android应用程序

ProxyDroid - 适用于黑客的Android应用程序

黑白之道

55+阅读 · 2019年3月9日

Packet Sender - 免费的UDP和TCP网络测试实用程序（Android App）

Packet Sender - 免费的UDP和TCP网络测试实用程序（Android App）

黑白之道

25+阅读 · 2019年3月8日

I2P - 适用于黑客的Android应用程序

I2P - 适用于黑客的Android应用程序

黑白之道

38+阅读 · 2019年3月6日

相关论文

MASCOT-Android: A Curated Dataset and Automated Collection Pipeline for Android Malware Source Code Specimens

Arxiv

0+阅读 · 6月16日

CAPED: Context-Aware Privacy Exposure Defense for Mobile GUI Agents

Arxiv

0+阅读 · 6月16日

DoubtProbe: Black-Box Jailbreak Defense via Structural Verification and Semantic Auditing

Arxiv

0+阅读 · 6月15日

MASCOT-Android: A Curated Dataset and Automated Collection Pipeline for Android Malware Source Code Specimens

Arxiv

0+阅读 · 6月15日

Hiding the Trees in the Forest: Building Network Covert Channels with Hash-Based Covert Carrier Filtering

Arxiv

0+阅读 · 6月10日

The Sound of Malware: A Memory Forensics Approach for Android Malware Analysis via Audio Signals

Arxiv

0+阅读 · 6月5日

Don't Trust Us: A privacy-by-design android malware detection pipeline

Arxiv

0+阅读 · 6月2日

MAECO-Lite: Modular Ontology for Dynamic Malware Analysis

Arxiv

0+阅读 · 5月29日

An Empirical Study of Privacy Leakage Chains via Prompt Injection in Black-Box Chatbot Environments

Arxiv

0+阅读 · 5月18日

GESR: Graph-Based Edge Semantic Reconstruction for Stealthy Communication Detection with Benign-Only Training

Arxiv

0+阅读 · 5月8日

相关基金

移动互联网的用户隐私保护研究

国家自然科学基金

2+阅读 · 2017年12月31日

面向用户体验的无线异构软件定义网络资源管理研究

国家自然科学基金

2+阅读 · 2015年12月31日

面向应用商店的移动智能终端恶意软件检测关键技术研究

国家自然科学基金

1+阅读 · 2015年12月31日

基于海量软件片段比对的恶意代码检测方法研究

国家自然科学基金

2+阅读 · 2015年12月31日

即时通信中的隐蔽通信模型及方法研究

国家自然科学基金

0+阅读 · 2015年12月31日

基于软件定义无线网络的虚拟多径攻击检测与防御技术研究

国家自然科学基金

1+阅读 · 2015年12月31日

内容中心移动社交网络高效安全匿名通信机制研究

国家自然科学基金

0+阅读 · 2015年12月31日

即时通讯匿名隐通道系统模型与算法研究

国家自然科学基金

1+阅读 · 2015年12月31日

Android移动终端多语种基础软件组合的安全技术研究

国家自然科学基金

0+阅读 · 2014年12月31日

基于免疫的Rootkit隐遁攻击动态内存取证方法研究

国家自然科学基金

0+阅读 · 2014年12月31日

微信扫码咨询专知VIP会员