r   e   k   l   a   m   a
r   e   k   l   a   m   a

Antywirusy dla Androida okazały się bezbronne wobec zmutowanych szkodników

Strona główna Aktualności

Producenci oprogramowania ochronnego na Androida nie ustają w przekonywaniu nas, że google'owy system operacyjny jest nie tylko najpopularniejszym mobilnym OS-em na świecie, ale też jednym z najgorzej zabezpieczonych. To połączenie sprawiać ma, że na użytkowników Androida czyhają wszechobecne robaki i wirusy – i jedynym na to sposobem jest zainstalowanie ich ochronnego narzędzia. Po części producenci mają rację: to, że 97 procent mobilnych szkodników powstaje dla Androida (jak wynika ma z raportu McAfee) nie wydaje się odbiegać od rzeczywistości. Problem jednak w czymś innym – oprogramowanie zabezpieczające dla Androida chyba nie jest warte swojej ceny, skoro ulega od lat znanym z PC technikom, za pomocą których twórcy złośliwego oprogramowania chronili swoje dzieła przed antywirusami.

Badacze z Northwestern University, aby zbadać możliwości pakietów ochronnych dla Androida, przygotowali specjalny framework DroidChameleon, pozwalający na automatyczne transformacje aplikacji dla tego systemu za pomocą technik takich jak polimorfizm czy metamorfizm kodu, przy zachowaniu całej ich istotnej semantyki. Autorzy uznali, że w wypadku złośliwego oprogramowania nie jest istotne odtworzenie całego zachowania programu – wystarczy, że transformacja zachowa interesujący podzbiór zachowań oryginału (np. zmiana nazwy pakietu jest zachowaniem nieistotnym, podczas gdy wysyłanie SMS-a premium bez zgody użytkownika to zachowanie w tym wypadku istotne).

Transformacje tego typu, zarówno trywialne, niewymagające zmian w kodzie czy manifeście aplikacji, jak i poważne, działające na kodzie bajtowym dla maszyny Dalvik, pozwolić miały na pokonanie wszelkich technik statycznej analizy kodu, zastosowane zostały na próbkach złośliwego kodu różnych typów. Wśród nich były zarówno trojany (np. Geinimi, służący do szpiegowania użytkownika) jak i rootkity (np. BaseBridge) czy narzędzia do rozsyłania SMS-ów (Fakeplayer). Z mutacjami szkodników zmierzyły się najpopularniejsze narzędzia ochronne dostępne w Google Play – AVG Antivirus Free, Norton Mobile Security, Lookout Mobile Security, ESET Mobile Security, Dr. Web Antivirus Light, Kaspersky Mobile Security, Trend Micro Mobile Security Personal, ALYac Android, Zoner Antivirus Free i Webroot Security.

Następny etap przyniósł duże zaskoczenie: gdy zmutowane przez DroidChameleona szkodniki zostały podane antywirusowym narzędziom, okazało się, że w większości wypadków pozostają one „ślepe” na zagrożenia. Już nawet proste kombinacje transformacji szkodników, takie jak zmiany identyfikatorów czy szyfrowanie kodu wystarczyły w wielu wypadkach, by poradzić sobie z antywirusowym oprogramowaniem. Okazało się, że 43 procent sygnatur złośliwego oprogramowania w ogóle nie uwzględnia własności kodu, ale wykorzystuje nazwy plików, sumy kontrolne i inne łatwe do pozyskania przez systemowe interfejsy dane. Jedynie narzędzie Dr. Web stosowało jakąś formę statycznej analizy kodu bajtowego, „wyłuskując” z poszczególnych metod wywołania systemowych API.

Czy zatem nie ma nadziei na dobrze zabezpieczonego Androida? Autorzy badania wykazują, że widać pewien postęp – o ile w zeszłym roku 45 procent programów wirusowych można było ogłupić za pomocą trywialnych transformacji, to teraz odsetek ten spadł do 16 procent. Konieczne jest jednak ze strony producentów antywirusów przygotowanie narzędzi semantycznej analizy (tym bardziej że kod bajtowy analizuje się w ten sposób całkiem dobrze), zaś ze strony Google zapewnienie wsparcia dla antywirusów na poziomie platformy – tak by mogły one działać jak uprzywilejowane aplikacje, mogące prowadzić dynamiczny monitoring całej pamięci urządzenia. Nie jest to nic nowego – nie od dzisiaj antywirusy na Windows pracują ze specjalnymi uprawnieniami, i choć tworzy to pewne nowe zagrożenia (np. pojawienie się fałszywych antywirusów), to jednak gra jest warta świeczki, a skuteczny mechanizm weryfikacji aplikacji zabezpieczających na poziomie sklepu mógłby zapobiec takim atakom.

Trzeba podkreślić, że najprawdopodobniej nie ma co liczyć na to, że inne, nietestowane narzędzia, będą znacząco lepsze w ochronie przed zmutowanymi szkodnikami. Wiele wymienionych wyżej pakietów ochronnych zostało ocenionych w testach laboratorium AV-Test.org jako „bardzo dobre”, a mimo to w tym badaniu niemal w całości zawiodły.

Artykuł Evaluating Android Anti-malware against Transformation Attacks, przedstawiający całość badania i uzyskane rezultaty dostępny jest za darmo tutaj.

r   e   k   l   a   m   a
© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.