文章总结： 本文介绍NDSS2026论文CHAMELEOSCAN，针对iOS变色龙APP进行检测研究。通过分析发现其Metadata泄露及隐藏界面固定套路等特征，研发的系统利用LLM驱动UI探索，自动生成并执行操作序列以识别伪装。实验显示该系统在1644个新应用中检测出162个变色龙APP，精确度达92.59%，并已开源。 综合评分： 93 文章分类： 移动安全,恶意软件,安全工具,应用安全,AI安全

G.O.S.S.I.P 阅读推荐 2026-02-04 辨认“变色龙”APP

原创

G.O.S.S.I.P G.O.S.S.I.P

安全研究GoSSIP

2026年2月4日 20:57 上海

祝大家立春快乐！今天我们介绍的是一篇来自NDSS 2026的论文CHAMELEOSCAN: Demystifying and Detecting iOS Chameleon Apps via LLM-Powered UI Exploration

这篇论文调查了iOS生态中的“变色龙”APP（iOS Chameleon APP），那什么是变色龙APP呢？请看下图：

我们知道iOS应用生态有比较严格的下载分发机制，因此如果随便上架一个不太“好”的APP基本上是秒被拒掉的，很多开发者为了隐藏自己的坏意图，就想方设法给APP做一些伪装，绕过App Store的审核机制。上图这种例子就是典型的“伪装”技巧。不知道大家是否还记得我们在差不多两年前推荐的一篇论文——【G.O.S.S.I.P 阅读推荐 2024-03-15 如何在App Store里面下载xx类APP】，在当时的推荐中，作者已经揭示了App Store里面的Mask APP的存在。不过当时的论文主要是利用了APP下载页面的评论区信息作为线索，并结合代码相似性比对（把嫌疑APP和已有的Mask APP进行比较）的方法来寻找奇怪的应用。而今天我们要介绍的论文中，作者设计了一套不太一样的分析方案，请大家跟随我们一起来阅读。

藉由前人建立的相关恶意APP数据库，本文的作者首先对500个变色龙APP进行了相关的分析，总结出了三大发现：

1. APP的相关metadata（包括用户评论、BundleID信息等）始终是透露APP“变色龙”身份的线索——揭示了隐藏界面显示的细节；
2. APP的隐藏界面有着固定的显示套路（注意，由于iOS APP是不允许动态加载运行代码的，所以界面这个东西必须提前藏在应用中）；
3. 一旦隐藏界面曝光，其中存在特定的“不法信息”可以进一步确认“变色龙”身份。

实际上作者总结下来，变色龙APP显示相关界面的套路就只有如下几类：

综合上述三点发现，作者开发了名为ChameleoScan的分析系统，借助LLM来寻找可能的变色龙APP，这个系统的工作流程如下图所示。其中LLM发挥作用的点包括：

1. 在获取到一个可疑的APP（及其相关metadata）之后，用LLM来综合推断这个APP的操作特征（例如它可能的用户交互方式）；
2. 在对APP的界面分析时，借助LLM来理解其中的交互性元素（例如用户输入框、弹出的待点击广告等）；
3. 用LLM去生成相关的操作序列，并且在真实设备上触发这些操作序列后，再用LLM来分析执行的结果（嘿嘿，有ClawdBot的味道了）。

具体到分析细节中，ChameleoScan能够把传统的UI分析进一步增强，把一些无用的元素剔除掉，这一部分工作也是利用到了LLM对UI元素（标签信息）的理解能力。

然后，ChameleoScan还可以分析一个APP的界面和对应的UI元素，猜测它的用途：

当然，ChameleoScan和之前工作类似，也会利用LLM去阅读相关的用户评论，获得一些线索：

最后就进入到了大家喜闻乐见的agent环节了——毕竟现在已经是2026年，你不会用AI来做分析（还在依赖博士生？）真的不好意思投稿咯~

实验部分，我们略过ChameleoScan对已知数据集的分析（肯定是更准确对不对），看看它发现了多少新问题：作者从2024年12月开始持续观察App Store上新上架的应用，然后筛选了1644个APP让ChameleoScan进行分析，结果ChameleoScan发现了162个变色龙APP，经过人工确认，ChameleoScan达到了92.59%的precision！

作者提供了相关的artifacts，大家可以自己动手去试试，然后就能~~下载到更多的非法APP~~检测出更多的变色龙APP了！

https://github.com/ChameleoScan

论文：https://shhaos.github.io/papers/ndss26_ChameleoScan.pdf

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全研究GoSSIP G.O.S.S.I.P G.O.S.S.I.P《G.O.S.S.I.P 阅读推荐 2026-02-04 辨认“变色龙”APP》