The Android mining sandbox approach consists in running dynamic analysis tools on a benign version of an Android app and recording every call to sensitive APIs. Later, one can use this information to (a) prevent calls to other sensitive APIs (those not previously recorded) or (b) run the dynamic analysis tools again in a different version of the app -- in order to identify possible malicious behavior. Although the use of dynamic analysis for mining Android sandboxes has been empirically investigated before, little is known about the potential benefits of combining static analysis with the mining sandbox approach for identifying malicious behavior. As such, in this paper we present the results of two empirical studies: The first is a non-exact replication of a previous research work from Bao et al., which compares the performance of test case generation tools for mining Android sandboxes. The second is a new experiment to investigate the implications of using taint analysis algorithms to complement the mining sandbox approach in the task to identify malicious behavior. Our study brings several findings. For instance, the first study reveals that a static analysis component of DroidFax (a tool used for instrumenting Android apps in the Bao et al. study) contributes substantially to the performance of the dynamic analysis tools explored in the previous work. The results of the second study show that taint analysis is also practical to complement the mining sandboxes approach, improve the performance of the later strategy in at most 28.57%.

中文翻译：

---

探索使用静态和动态分析来提高用于 Android 恶意软件识别的挖掘沙箱方法的性能

Android 挖掘沙箱方法包括在良性版本的 Android 应用程序上运行动态分析工具，并记录对敏感 API 的每次调用。稍后，您可以使用此信息来 (a) 阻止对其他敏感 API（以前未记录的 API）的调用或 (b) 在不同版本的应用程序中再次运行动态分析工具——以识别可能的恶意行为。尽管之前已经对使用动态分析挖掘 Android 沙箱进行了实证研究，但对于将静态分析与挖掘沙箱方法相结合以识别恶意行为的潜在好处知之甚少。因此，在本文中，我们介绍了两项实证研究的结果：第一个是对 Bao 等人先前研究工作的非精确复制，其中比较了用于挖掘 Android 沙箱的测试用例生成工具的性能。第二个是一项新实验，旨在研究在识别恶意行为的任务中使用污点分析算法来补充挖掘沙箱方法的影响。我们的研究带来了几个发现。例如，第一项研究表明，DroidFax（在 Bao 等人的研究中用于检测 Android 应用程序的工具）的静态分析组件对先前工作中探索的动态分析工具的性能做出了重大贡献。第二项研究的结果表明，污点分析对于补充挖掘沙箱方法也是可行的，将后期策略的性能提高最多 28.57%。第二个是一项新实验，旨在研究在识别恶意行为的任务中使用污点分析算法来补充挖掘沙箱方法的影响。我们的研究带来了几个发现。例如，第一项研究表明，DroidFax（在 Bao 等人的研究中用于检测 Android 应用程序的工具）的静态分析组件对先前工作中探索的动态分析工具的性能做出了重大贡献。第二项研究的结果表明，污点分析对于补充挖掘沙箱方法也是可行的，将后期策略的性能提高最多 28.57%。第二个是一项新实验，旨在研究在识别恶意行为的任务中使用污点分析算法来补充挖掘沙箱方法的影响。我们的研究带来了几个发现。例如，第一项研究表明，DroidFax（在 Bao 等人的研究中用于检测 Android 应用程序的工具）的静态分析组件对先前工作中探索的动态分析工具的性能做出了重大贡献。第二项研究的结果表明，污点分析对于补充挖掘沙箱方法也是可行的，将后期策略的性能提高最多 28.57%。第一项研究表明，DroidFax（在 Bao 等人的研究中用于检测 Android 应用程序的工具）的静态分析组件对先前工作中探索的动态分析工具的性能做出了重大贡献。第二项研究的结果表明，污点分析对于补充挖掘沙箱方法也是可行的，将后期策略的性能提高最多 28.57%。第一项研究表明，DroidFax（在 Bao 等人的研究中用于检测 Android 应用程序的工具）的静态分析组件对先前工作中探索的动态分析工具的性能做出了重大贡献。第二项研究的结果表明，污点分析对于补充挖掘沙箱方法也是可行的，将后期策略的性能提高最多 28.57%。