技術領域

本發明涉及識別應用程序是否屬于惡意程序。

背景技術

網絡釣魚攻擊通常由偽裝成電子通信中的可信實體的惡意方實施。啟動網絡釣魚攻擊一個典型方式，是在用戶的處理系統中安裝惡意應用程序。惡意應用程序，可以通過即時消息、電子郵件傳送到處理系統，或通過用戶訪問的惡意網站或受感染的網站傳送到處理系統。例如，某通信可能被發送給用戶，這種通信可能聲稱是來自流行的社交網站、拍賣網站、金融機構、在線支付處理器、信息技術管理員，等等。這樣的通信會提供一個指向惡意的統一資源定位器(URL)的超鏈接，向用戶指引該URL，用戶則可能相信選擇該URL是安全的。

在被請求加載URL時，Web瀏覽器可能允許讓惡意應用程序安裝在處理URL訪問請求的web瀏覽器外部的用戶的處理系統(例如移動設備)上。這可以通過觸發一個該URL所標識的隱式意圖(implicit Intent)而完成。這就使惡意應用程序能對用與瀏覽器的圖形界面(GUI)基本相同的圖形界面發出的URL請求作出響應。真正的瀏覽器和惡意應用程序之間的過渡平滑，無辜的用戶因此很可能察覺不到這種過渡。例如，惡意程序可以偽裝成用戶的銀行網站。用戶于是可能向惡意應用程序輸入帳戶的詳細資料，諸如用戶名和密碼，惡意應用程序可以保留這些信息。然后，惡意用戶就可以用這些的詳細信息來訪問用戶的帳戶。

因此，現有技術需要解決上述問題。

發明內容

說明書中公開的一個或多個實施例涉及對惡意應用程序的識別。

一方面，本發明提供一種用于識別第一應用程序是否是惡意程序的方法，該方法包括：檢測第一應用程序正在被提供用于在處理系統上安裝；通過由處理器執行的靜態分析掃描第一應用程序，以確定第一應用程序的用戶界面布局是否疑似處理系統上安裝的第二應用程序的用戶界面布局；當第一應用程序的用戶界面布局疑似處理系統上安裝的第二應用程序的用戶界面布局時，產生指示第一應用程序是惡意程序的警報。

另一方面，本發明提供一種用于識別第一應用程序是否是惡意程序的系統，包含：處理器，被配置用于啟動包含以下的可執行的操作：檢測第一應用程序正在被提供用于在處理系統上安裝；通過由處理器執行的靜態分析掃描第一應用程序，以確定第一應用程序的用戶界面布局是否疑似處理系統上安裝的第二應用程序的用戶界面布局；當第一應用程序的用戶界面布局疑似處理系統上安裝的第二應用程序的用戶界面布局時，產生指示第一應用程序是惡意程序的警報。

另一方面，本發明提供一種用于識別第一應用程序是否是惡意程序的計算機程序產品，包含：處理電路可讀的、且存儲由處理電路執行的、用于實施本發明方法步驟的指令的計算機可讀存儲介質。

另一方面，本發明提供一種計算機可讀存儲介質上儲存的、可加載到數字計算的內存中的計算機程序，包含軟件代碼部分，用于當所述計算機程序在計算機上運行時，執行本發明方法的步驟

一個實施例可以包括一種識別第一應用程序是否是惡意程序的方法。該方法可以包括檢測第一應用程序正在被提供用于在處理系統上安裝。該方法也可以包括通過由處理器執行的靜態分析掃描第一應用程序，以確定第一應用程序的用戶界面布局是否疑似處理系統上安裝的第二應用程序的用戶界面布局。該方法還可以包括當第一應用程序的用戶界面布局疑似處理系統上安裝的第二應用程序的用戶界面布局時，產生指示第一應用程序是惡意程序的警報。

另一個實施例可以包括一種識別第一應用程序是否是惡意程序的方法。該方法可以包括檢測第一應用程序正在被提供用于在處理系統上安裝。該方法也可以包括通過由處理器執行的靜態分析掃描第一應用程序，以確定第一應用程序的用戶界面布局是否疑似處理系統上安裝的第二應用程序的用戶界面布局。該方法還可以包括響應于靜態分析不能確定第一應用程序的用戶界面布局是否疑似第二應用的用戶界面布局，在第一應用程序被處理系 統執行期間，執行對第一應用程序的運行時分析，運行時分析包括確定第一應用程序的用戶界面布局是否疑似第二應用的用戶界面布局，并且響應于運行時分析指示第一應用程序的用戶界面布局疑似第二應用的用戶界面布局，產生指示第一應用程序是惡意程序的警報。