Antywirusy dla Androida okazały się bezbronne wobec zmutowanych szkodników

Producenci oprogramowania ochronnego na Androida nie ustają wprzekonywaniu nas, że google'owy system operacyjny jest nie tylkonajpopularniejszym mobilnym OS-em na świecie, ale też jednym znajgorzej zabezpieczonych. To połączenie sprawiać ma, że naużytkowników Androida czyhają wszechobecne robaki i wirusy – ijedynym na to sposobem jest zainstalowanie ich ochronnego narzędzia.Po części producenci mają rację: to, że 97 procent mobilnychszkodników powstaje dla Androida (jak wynika ma z raportu McAfee)nie wydaje się odbiegać od rzeczywistości. Problem jednak w czymśinnym – oprogramowanie zabezpieczające dla Androida chyba nie jestwarte swojej ceny, skoro ulega od lat znanym z PC technikom, zapomocą których twórcy złośliwego oprogramowania chronili swojedzieła przed antywirusami.Badacze z Northwestern University, aby zbadać możliwościpakietów ochronnych dla Androida, przygotowali specjalny frameworkDroidChameleon, pozwalający na automatyczne transformacje aplikacjidla tego systemu za pomocą technik takich jak polimorfizm czymetamorfizm kodu, przy zachowaniu całej ich istotnej semantyki.Autorzy uznali, że w wypadku złośliwego oprogramowania nie jestistotne odtworzenie całego zachowania programu – wystarczy, żetransformacja zachowa interesujący podzbiór zachowań oryginału(np. zmiana nazwy pakietu jest zachowaniem nieistotnym, podczas gdywysyłanie SMS-a premium bez zgody użytkownika to zachowanie w tymwypadku istotne).[img=zombiebotnet]Transformacje tego typu, zarówno trywialne, niewymagające zmianw kodzie czy manifeście aplikacji, jak i poważne, działające nakodzie bajtowym dla maszyny Dalvik, pozwolić miały na pokonaniewszelkich technik statycznej analizy kodu, zastosowane zostały napróbkach złośliwego kodu różnych typów. Wśród nich byłyzarówno trojany (np. Geinimi, służący do szpiegowaniaużytkownika) jak i rootkity (np. BaseBridge) czy narzędzia dorozsyłania SMS-ów (Fakeplayer). Z mutacjami szkodników zmierzyłysię najpopularniejsze narzędzia ochronne dostępne w Google Play –AVG Antivirus Free, Norton Mobile Security, Lookout Mobile Security,ESET Mobile Security, Dr. Web Antivirus Light, Kaspersky MobileSecurity, Trend Micro Mobile Security Personal, ALYac Android, ZonerAntivirus Free i Webroot Security.Następny etap przyniósł duże zaskoczenie: gdy zmutowane przezDroidChameleona szkodniki zostały podane antywirusowym narzędziom,okazało się, że w większości wypadków pozostają one „ślepe”na zagrożenia. Już nawet proste kombinacje transformacjiszkodników, takie jak zmiany identyfikatorów czy szyfrowanie koduwystarczyły w wielu wypadkach, by poradzić sobie z antywirusowymoprogramowaniem. Okazało się, że 43 procent sygnatur złośliwegooprogramowania w ogóle nie uwzględnia własności kodu, alewykorzystuje nazwy plików, sumy kontrolne i inne łatwe dopozyskania przez systemowe interfejsy dane. Jedynie narzędzie Dr.Web stosowało jakąś formę statycznej analizy kodu bajtowego,„wyłuskując” z poszczególnych metod wywołania systemowychAPI.Czy zatem nie ma nadziei na dobrze zabezpieczonego Androida?Autorzy badania wykazują, że widać pewien postęp – o ile wzeszłym roku 45 procent programów wirusowych można było ogłupićza pomocą trywialnych transformacji, to teraz odsetek ten spadł do16 procent. Konieczne jest jednak ze strony producentów antywirusówprzygotowanie narzędzi semantycznej analizy (tym bardziej że kodbajtowy analizuje się w ten sposób całkiem dobrze), zaś ze stronyGoogle zapewnienie wsparcia dla antywirusów na poziomie platformy –tak by mogły one działać jak uprzywilejowane aplikacje, mogąceprowadzić dynamiczny monitoring całej pamięci urządzenia. Niejest to nic nowego – nie od dzisiaj antywirusy na Windows pracująze specjalnymi uprawnieniami, i choć tworzy to pewne nowe zagrożenia(np. pojawienie się fałszywych antywirusów), to jednak gra jestwarta świeczki, a skuteczny mechanizm weryfikacji aplikacjizabezpieczających na poziomie sklepu mógłby zapobiec takim atakom.Trzeba podkreślić, że najprawdopodobniej nie ma co liczyć nato, że inne, nietestowane narzędzia, będą znacząco lepsze wochronie przed zmutowanymi szkodnikami. Wiele wymienionych wyżejpakietów ochronnych zostało ocenionych w testach laboratoriumAV-Test.org jako „bardzo dobre”, a mimo to w tym badaniu niemal wcałości zawiodły. Artykuł Evaluating Android Anti-malware againstTransformation Attacks, przedstawiający całość badania iuzyskane rezultaty dostępny jest za darmo tutaj.