Les marchés d'applications mobiles hébergent des millions d'applications, mais les comportements indésirables tels que les publicités intrusives, les redirections illégales ou les tromperies de paiement restent difficiles à détecter car ils n'utilisent pas nécessairement des API protégées par des permissions et peuvent être facilement camouflés via des modifications de l'interface utilisateur ou des métadonnées.
BinCtx propose une approche d'apprentissage qui construit des représentations multimodales d'une application à partir de trois vues complémentaires : une vue globale du bytecode comme image capturant la sémantique au niveau du code et les motifs caractéristiques des familles de logiciels, une vue contextuelle incluant les actions manifestées, les composants, les permissions déclarées et les constantes URL/IP indiquant comment les comportements sont déclenchés, et une vue d'utilisation des bibliothèques tierces résumant les fréquences d'invocation le long des chemins d'appel inter-composants.
Ces trois vues sont intégrées et fusionnées pour entraîner un classifieur contextuel qui atteint un score F1 macro de 94,73% sur des applications malveillantes et bénignes du monde réel, surpassant les approches de référence d'au moins 14,92%. Le système démontre une robustesse remarquable face aux techniques d'obfuscation commerciales avec un F1 de 84% après obfuscation, et une résistance supérieure aux échantillons adverses comparé aux systèmes état de l'art basés uniquement sur le bytecode.