1.1.1 Android操作系统
Android系统是目前最受欢迎的智能移动设备操作系统，根据Gartner机构的发布的报告，2014年Android设备的市场占有率为49%，成为了全球第一大智能手机操作系统，并预计在2015年达到59%。
Android（安卓），是一个以Linux为基础的开源移动设备操作系统，主要用于智能手机和平板电脑，由Google成立的Open Handset Alliance（OHA，开放手持设备联盟）持续领导与开发中。2007年11月，Google与多家制造商、开发商及电信营运商一同成立开了放手持设备联盟来共同研发改良Android系统，随后，Google发布了Android的源码。
安卓手机系统的一大优势在于其开放性和免费的服务，Android是一个对第三方软件完全开放的平台，开发者在为其开发程序时拥有更大的自由度，和iPhone的封闭性完全相反，所以安卓获得了更好产商的支持，例如：HTC、三星、摩托罗拉、LG、中国移动等。
1.1.2 Android应用安全现状
正因为Android系统的开放性，Android平台的病毒也最为泛滥。根据2014年上半年网秦全球手机安全报告，中国大陆地区以18.20%感染比例高居全球智能手机病毒重点感染区域第一。中国已经成为了智能手机病毒的重灾区。该报告数据表明， 全球智能手机病毒主要通过第三方应用商店、手机论坛和二文码等途径传播。受感染平台96%来自于Android平台。
1.1.3 Android恶意软件特征
Android手机病毒目前根据安装的方式大致分为以下几类：
1，    重打包应用。
这一类的病毒利用反编译手段，在正版的Android程序中植入恶意内容，然后重新编译并提交到第三方市场上。同时，该方法还能够利用代码混淆技术等反静态分析技术隐藏恶意的内容。
2，    动态更新包应用。
与上面的重打包不同的是，这种方式的应用不会在APK文件中加入恶意的内容，而是在运行时，动态访问开发者的服务器，获取恶意内容或者上传隐私信息，所以静态扫描这类应用也没有办法捕获到而已内容。
3，    偷渡式下载应用。
常见于各种恶意网站，在没有获取到用户允许时，后台下载并安装伪装过得恶意软件。
4，    其他形式。
间谍软件，伪装软件，山寨应用等等。
在骗取下载和安装之后，恶意软件而需要想办法获得运行的机会，一般来说，恶意软件通过以下两种方式触发执行：
1，    骗取点击。
这种方式的应用通常会将自己伪装成别的正版应用，如QQ，微信等，骗取用户的直接点击和运行。
2，    注册监听器，监听系统时事件。
通过Android的广播和监听机制，应用可以通过监听系统的关键事件，获取相关信息和自启动。在这种情况下，程序只要被安装，即使没有得到用户的点击也能够自动运行。
在所有的系统事件中，BOOT_COMPLETE事件，即开机完成事件，是最容易遭到侦听的，许多应用都会注册针对该事件的广播侦听器，实现开机自启动。
1.1.4 Android应用检测方法
当前检测Android虚假应用的方法总体上可以分为两大类：静态检测和动态监测。两种技术各有优缺点口在现实中，大量的实例都是同时包含动态和静态检测技术。
静态分析涉及到二进制相关的技术，其中包括反编译、逆向分析、模式匹配和静态系统调用分析等。静态分析技术有一个共同的特点：应用程序不被执行。基于Android平台手机端应用的扫描技术一般都采用签名静态比对。静态分析的优点是简单并且快速，节约系统成本和资源，但是它最大的缺点是扫描恶意软件前需要知道已知恶意软件信息，如签名、行为模式、权限申请等，使得它不能实现自动扫描并适应未知恶意程序的功能。 虚假Android应用检测的研究与实现(2):http://www.751com.cn/jisuanji/lunwen_22232.html