Cuprins:
- O nouă întorsătură către o veche abordare
- Detectarea anomaliilor
- Conținerea programelor malware
- Rezultatele testului
- Beneficiile PREC
- Provocarea
Piețele de aplicații Android sunt o modalitate convenabilă pentru utilizatori de a obține aplicații. Piețele sunt, de asemenea, o modalitate convenabilă pentru cei răi de a livra malware. Proprietarii de pe piață, în opinia lor, încearcă să adulmeze aplicațiile proaste folosind măsuri de securitate, cum ar fi Google Bouncer. Din păcate, majoritatea - inclusiv Bouncer - nu sunt la îndemână. Băieții răi și-au dat seama aproape imediat cum Bouncer, un mediu de emulație, își testează codul. Într-un interviu anterior, Jon Oberheide, co-fondator al Duo Security și persoana care a notificat Google problema, a explicat:
"Pentru a face efectiv Bouncer, acesta trebuie să nu se distingă de dispozitivul mobil al unui utilizator real. În caz contrar, o aplicație rău intenționată va putea să stabilească că rulează cu Bouncer și să nu-și execute sarcina utilă dăunătoare."
Un alt mod în care băieții răi îl păcălesc pe Bouncer este folosind o bombă logică. De-a lungul istoriei lor, bombele logice au făcut ravagii pe dispozitivele de calcul. În acest caz, codul bombei logice aruncă liniștit verificatorii de malware, la fel ca eșecul Bouncer de a activa sarcina utilă până când aplicația dăunătoare se instalează pe un dispozitiv mobil real.
Concluzia este că piețele de aplicații Android, cu excepția cazului în care acestea devin eficiente la detectarea încărcărilor utile malware în aplicații, sunt, de fapt, un sistem major de distribuție pentru malware.
O nouă întorsătură către o veche abordare
Echipa de cercetare a Universității de Stat din Carolina de Nord din Tsung-Hsuan Ho, Daniel Dean, Xiaohui Gu și William Enck ar fi putut găsi o soluție. În lucrarea lor PREC: Practical Root Exploit Containment pentru Android Devices, echipa de cercetare a prezentat versiunea lor a unei scheme de detectare a anomaliilor. PREC este format din două componente: una care funcționează cu detectorul de malware al magazinului de aplicații și una care este descărcată odată cu aplicația pe dispozitivul mobil.
Componenta magazinului de aplicații este unică prin faptul că folosește ceea ce cercetătorii numesc „monitorizarea clasificată a apelurilor de sistem”. Această abordare poate identifica dinamic apelurile de sistem de la componente cu risc ridicat, cum ar fi bibliotecile terțe (cele care nu sunt incluse în sistemul Android, dar care vin cu aplicația descărcată). Logica aici este că multe aplicații dăunătoare își folosesc propriile biblioteci.
Apelurile de sistem de la codul terț cu risc ridicat obținut în urma acestei monitorizări, la care se adaugă datele obținute în urma procesului de detecție de aplicații, permite PREC să creeze un model de comportament normal. Modelul este încărcat în serviciul PREC, în comparație cu modelele existente pentru acuratețe, cheltuieli aeriene și rezistență la atacuri de imitare.
Modelul actualizat este apoi gata să fie descărcat cu aplicația de fiecare dată când cineva solicită aplicația de către cineva care vizitează magazinul de aplicații.
Aceasta este considerată faza de monitorizare. După ce modelul și aplicația PREC sunt descărcate pe dispozitivul Android, PREC intră în stadiul de aplicare - cu alte cuvinte, detectarea anomaliei și conținerea de malware.
Detectarea anomaliilor
După ce aplicația și modelul PREC sunt configurate pe dispozitivul Android, PREC monitorizează codul terților, în special apelurile de sistem. Dacă secvența de apeluri de sistem este diferită de cea monitorizată în magazinul de aplicații, PREC determină probabilitatea ca comportamentul anormal să fie exploatat. Odată ce PREC stabilește că activitatea este rău intenționată, trece la modul de conținere de malware.Conținerea programelor malware
Dacă este înțeles corect, reținerea de malware face ca PREC să fie unic atunci când vine vorba de Android anti-malware. Datorită naturii sistemului de operare Android, aplicațiile anti-malware Android nu sunt în măsură să înlăture malware sau să îl plaseze în carantină, deoarece fiecare aplicație se află într-o cutie de nisip. Aceasta înseamnă că utilizatorul trebuie să elimine manual aplicația rău intenționată, localizând mai întâi programul malware în secțiunea Aplicații din Managerul de sistem al dispozitivului, apoi deschizând pagina cu statistici a aplicației malware și atingând „dezinstalare”.
Ceea ce face ca PREC să fie unic este ceea ce cercetătorii numesc un „mecanism de retenție cu granulație fină bazat pe întârziere”. Ideea generală este de a încetini apelurile de sistem suspecte folosind un set de fire separate. Acest lucru obligă exploatarea să se termine., Rezultând o stare „Aplicație care nu răspunde” în care aplicația este închisă în cele din urmă de sistemul de operare Android.
PREC ar putea fi programat pentru a ucide firele de apel ale sistemului, dar ar putea rupe operațiunile normale ale aplicației dacă detectorul de anomalii face o greșeală. În loc să riște acest lucru, cercetătorii introduc o întârziere în timpul executării firului.
"Experimentele noastre arată că cele mai multe exploatări de rădăcină devin ineficiente după ce încetinim firul nativ rău intenționat până la un anumit punct. Abordarea bazată pe întârziere poate gestiona alarmele false mai cu grație, deoarece aplicația benignă nu va avea de suferit din cauza prăbușirii sau a încetării din cauza tranzitoriei false. alarmele ", explică lucrarea.
Rezultatele testului
Pentru a evalua PREC, cercetătorii au construit un prototip și l-au testat pe 140 de aplicații (80 cu cod autohton și 60 fără cod autohton) - plus 10 aplicații (patru aplicații de exploatare root cunoscute din proiectul Malware Genome și șase aplicații de exploatare rădăcină reambalate) - care conținea malware. Programele malware includ versiuni de DroidDream, DroidKungFu, GingerMaster, RATC, ZimperLich și GingerBreak.
Rezultatele:
- PREC a detectat cu succes și a oprit toate exploatările rădăcină testate.
- A generat zero alarme false asupra aplicațiilor benigne fără cod nativ. (Schemele tradiționale cresc 67-92% din alarme false pe aplicație.)
- PREC a redus rata falsă de alarmă pentru aplicațiile benigne cu cod nativ cu mai mult de un ordin de mărime față de algoritmii tradiționali de detectare a anomaliei
Beneficiile PREC
În afară de performanțe bune în teste și de transmitere a unei metode viabile pentru a conține malware Android, PREC a avut un număr decisiv mai bun în ceea ce privește falsele pozitive și pierderea performanței. În ceea ce privește performanțele, lucrarea a afirmat că „schema de monitorizare clasificată a PREC impune sub 1% cheltuieli generale, iar algoritmul de detectare a anomaliilor SOM impune până la 2% cheltuieli generale. În general, PREC este ușor, ceea ce îl face practic pentru dispozitivele smartphone."
Sistemele actuale de detectare a programelor malware folosite de magazinele de aplicații sunt ineficiente. PREC oferă un grad ridicat de acuratețe de detectare, un procent redus de alarme false și conținere de malware - ceva care nu există în prezent.
Provocarea
Cheia pentru ca PREC să funcționeze este achiziționarea de pe piețele aplicațiilor. Este doar o problemă de a crea o bază de date care descrie modul în care o aplicație funcționează normal. PREC este un instrument care poate fi utilizat pentru a realiza acest lucru. Apoi, atunci când un utilizator descarcă o aplicație dorită, informațiile despre performanță (profilul PREC) merg împreună cu aplicația și vor fi folosite pentru a determina un comportament al aplicației în timp ce este instalată pe dispozitivul Android.