Да ли је ово потенцијални лек за злонамерне андроид апликације?

Тржишта апликација за Андроид погодан су начин за добијање апликација. Тржишта су такође прикладан начин за негативце у испоруци злонамјерног софтвера. Власници тржница, како би заслужили, покушавају да нањуше лоше апликације користећи сигурносне мјере као што је Гоогле Боунцер. Нажалост, већина - укључујући и Боунцера - није дорасла том задатку. Лоши момци су готово одмах смислили како да знају када Боунцер, окружење за емулацију, тестира свој код. У ранијем интервјуу Јон Оберхеиде, суоснивач Дуо Сецурити-а и особа која је Гоогле пријавила проблем, објаснио је:

"Да би Боунцер био ефикасан, мора се разликовати од стварног корисника мобилног уређаја. У супротном, злонамерна апликација ће моћи да утврди да се покреће с Боунцером и не извршава његов злонамерни корисни терет."

Други начин на који луђаци будале Боунцера користе логичку бомбу. Кроз своју историју логичке бомбе добиле су пустош на рачунарским уређајима. У овом случају, логички код бомбе тихо спречава провјеру злонамерног софтвера, слично као што Боунцер не активира корисни терет све док се злонамерна апликација не инсталира на стварни мобилни уређај.

Дно црта је да су Андроид апликације, осим ако не постану ефикасне у откривању корисног оптерећења малвареа у апликацијама, у ствари главни систем дистрибуције злонамјерног софтвера.

Нови заокрет у старом приступу

Истраживачки тим Државног универзитета Северне Каролине Тсунг-Хсуан Хо, Даниел Деан, Ксиаохуи Гу и Виллиам Енцк можда су нашли решење. У свом раду ПРЕЦ: Працтицал Роот Екплоит Цонтаинмент за Андроид уређаје, истраживачки тим представио је своју верзију шеме откривања аномалија. ПРЕЦ ​​се састоји од две компоненте: оне која ради са детектором злонамерног софтвера продавнице апликација и оне која се са апликације преузима на мобилни уређај.

Компонента продавнице апликација јединствена је по томе што користи оно што истраживачи називају „класификовано надгледање системских позива“. Овај приступ може динамички идентификовати системске позиве из компоненти високог ризика попут библиотека трећих страна (оне које нису обухваћене Андроид системом, али које долазе са преузетом апликацијом). Логика је у томе што многе штетне апликације користе своје библиотеке.

Системски позиви из високо ризичног кода треће стране добијеног овим надгледањем, плус подаци добијени из поступка детекције продавнице апликација, омогућавају ПРЕЦ-у да креира нормалан модел понашања. Модел се преноси у ПРЕЦ сервис, у поређењу са постојећим моделима ради тачности, надморске висине и робусности за мимикријске нападе.

Ажурирани модел је тада спреман за преузимање са апликацијом сваки пут када апликацију затражи неко ко посећује продавницу апликација.

То се сматра фазом праћења. Након што се ПРЕЦ модел и апликација преузму на Андроид уређај, ПРЕЦ улази у фазу примене - другим речима, откривање аномалија и задржавање злонамерног софтвера.

Детекција аномалије

Једном када се апликација и ПРЕЦ модел ставе на Андроид уређај, ПРЕЦ прати код треће стране, посебно системске позиве. Ако се редослед системских позива разликује од оног који се надгледа у продавници апликација, ПРЕЦ одређује вероватноћу да је ненормално понашање експлоатација. Једном када ПРЕЦ утврди да је активност злонамерна, прелази у режим задржавања злонамерног софтвера.

Заслон малваре-а

Ако се правилно разуме, задржавање злонамерног софтвера чини ПРЕЦ јединственим када је у питању Андроид анти-малваре. Због природе оперативног система Андроид, Андроид апликације против злонамјерног софтвера нису у стању да уклоне малвер или га ставе у карантин јер свака апликација се налази у песковном сандучићу. То значи да корисник мора ручно уклонити злонамерну апликацију прво лоцирањем злонамерног софтвера у одељку Апплицатион у системском менаџеру уређаја, затим отварањем странице са статистиком апликације малвер и додиром на „деинсталирање“.

ПРЕЦ ​​чини јединственим оно што истраживачи називају "ситнозрнатим механизмом за задржавање на основу кашњења". Општа идеја је да успорите сумњиве системске позиве помоћу базе одвојених нити. То присиљава експлозивност на истек времена, што резултира статусом „апликација не реагује“, при чему апликацију Андроид оперативни систем искључује.

ПРЕЦ ​​се може програмирати тако да уништи системске позиве, али може прекинути уобичајене оперативне апликације ако детектор аномалије направи грешку. Уместо да ризикују то, истраживачи убацују одлагање током извођења нити.

„Наши експерименти показују да већина роот-ових експлоатација постаје неефикасна након што успоримо злонамерни изворни навој до одређене тачке. Приступ који се заснива на кашњењу може лажније обрадити лажне аларме јер бенигна апликација неће трпети пад или прекид због пролазних лажних аларма ", објашњава рад.

Резултати теста

Да би проценили ПРЕЦ, истраживачи су направили прототип и тестирали га на 140 апликација (80 са матичним кодом и 60 без матичног кода) - плус 10 апликација (четири познате апликације за експлоатацију корена из пројекта Малваре Геноме и шест препакиваних апликација за експлоатацију корена) - која је садржавала малваре. Злонамерни софтвер је укључивао верзије ДроидДреам, ДроидКунгФу, ГингерМастер, РАТЦ, ЗимперЛицх и ГингерБреак.

Резултати:

• ПРЕЦ ​​је успешно открио и зауставио све тестиране коренске подвиге.
• Подигла је нула лажних аларма на бенигним апликацијама без изворног кода. (Традиционалне шеме подижу лажне аларме од 67-92% по апликацији.)
• ПРЕЦ ​​је смањио лажну стопу аларма на доброћудним апликацијама с матичним кодом за више од једног реда величине у односу на традиционалне алгоритме за откривање аномалије

Детаљни резултати испитивања могу се наћи у истраживачком раду ПРЕЦ.

Предности ПРЕЦ-а

Осим што је добро извео тестове и проследио изведив начин да садржи Андроид злонамерни софтвер, ПРЕЦ је имао и бољи број када је у питању лажно позитиван резултат и губитак перформанси. Што се тиче перформанси, у раду је наведено да ПРЕЦ-ова „класификована схема надгледања намеће мање од 1% режијских трошкова, а алгоритам за детекцију аномалија СОМ намеће до 2% надземне вредности. Све у свему, ПРЕЦ је лаган, што га чини практичним за паметне уређаје“.

Постојећи системи за откривање злонамјерног софтвера које користе продавнице апликација нису ефикасни. ПРЕЦ ​​обезбеђује висок степен тачности откривања, низак проценат лажних аларма и задржавање злонамерног софтвера - нешто што тренутно не постоји.

Изазов

Кључ за активирање ПРЕЦ-а је куповина са тржишта апликација. Само је ствар стварања базе података која описује како апликација нормално функционише. ПРЕЦ ​​је једно средство које се може користити за постизање тога. Затим, када корисник преузме жељену апликацију, информације о перформансама (ПРЕЦ профил) иду уз апликацију и користиће се за утврђивање понашања апликације док је инсталирана на Андроид уређају.