With the rapid development of smart devices, mobile phones have permeated many aspects of our life. Unfortunately, their widespread popularization attracted endless attacks that are serious threats for users. As the mobile system with the largest market share, Android has already become the hardest hit for years. To Detect Android Malware by ORGB Anlysis, in this paper, we present DAMBA, a novel prototype system based on a C/S architecture. DAMBA extracts the static and dynamic features of apps. For further analyses, we propose TANMAD algorithm, a two-step Android malware detection algorithm, which reduces the range of possible malware families, and then utilizes subgraph isomorphism matching for malware detection. The key novelty of this paper is the modeling of object reference information by constructing directed graphs, which is called object reference graph birthmarks (ORGB). To achieve better efficiency and accuracy, in this paper, we present several optimization strategies for hybrid analysis. DAMBA is evaluated on a large real-world dataset of 2239 malicious and 1000 popular benign apps. The detection accuracy reaches 100% in most cases, and the average detection time is less than 5 s. Experimental results show that DAMBA outperforms the well-known detector, McAfee, which is based on signature recognition. In addition, DAMBA is demonstrated to resist the known malware attacks and their variants efficiently, as well as malware that uses obfuscation techniques.

中文翻译：

---

DAMBA：通过 ORGB 分析检测 Android 恶意软件

随着智能设备的快速发展，手机已经渗透到我们生活的方方面面。不幸的是，它们的广泛普及引来了无休止的攻击，对用户构成严重威胁。作为市场份额最大的移动系统，Android已经成为多年来的重灾区。为了通过 ORGB 分析检测 Android 恶意软件，在本文中，我们提出了 DAMBA，这是一种基于 C/S 架构的新型原型系统。DAMBA 提取应用程序的静态和动态特征。为了进一步分析，我们提出了 TANMAD 算法，一种两步 Android 恶意软件检测算法，它减少了可能的恶意软件家族的范围，然后利用子图同构匹配进行恶意软件检测。本文的主要创新点是通过构造有向图对对象参考信息进行建模，这称为对象参考图胎记（ORGB）。为了获得更好的效率和准确性，在本文中，我们提出了几种混合分析的优化策略。DAMBA 在包含 2239 个恶意应用程序和 1000 个流行良性应用程序的大型真实世界数据集上进行评估。大多数情况下检测准确率达到100%，平均检测时间小于5s。实验结果表明，DAMBA 优于著名的基于签名识别的检测器 McAfee。此外，DAMBA 被证明可以有效地抵抗已知的恶意软件攻击及其变体，以及使用混淆技术的恶意软件。DAMBA 在包含 2239 个恶意应用程序和 1000 个流行良性应用程序的大型真实世界数据集上进行评估。大多数情况下检测准确率达到100%，平均检测时间小于5s。实验结果表明，DAMBA 优于著名的基于签名识别的检测器 McAfee。此外，DAMBA 被证明可以有效地抵抗已知的恶意软件攻击及其变体，以及使用混淆技术的恶意软件。DAMBA 在包含 2239 个恶意应用程序和 1000 个流行良性应用程序的大型真实世界数据集上进行评估。大多数情况下检测准确率达到100%，平均检测时间小于5s。实验结果表明，DAMBA 优于著名的基于签名识别的检测器 McAfee。此外，DAMBA 被证明可以有效地抵抗已知的恶意软件攻击及其变体，以及使用混淆技术的恶意软件。