Це потенційне ліки від шкідливих програм для Android?

Ринки додатків Android - це зручний спосіб для користувачів отримати додатки. Ринки також є зручним способом доставки зловмисних програм. Власники ринку, на їхню думку, намагаються нюхати погані програми, застосовуючи заходи безпеки, такі як Google Bouncer. На жаль, більшість із них - включаючи Вибійника - не вирішують завдання. Погані хлопці майже одразу придумали, як сказати, коли Bouncer, середовище емуляції, тестує свій код. У попередньому інтерв'ю Джон Оберхайде, співзасновник Duo Security та особа, яка сповістила Google про проблему, пояснила:

"Для того, щоб зробити Bouncer ефективним, його слід відрізняти від мобільного пристрою реального користувача. Інакше шкідливий додаток зможе визначити, що він працює з Bouncer, а не виконувати його зловмисне навантаження."

Ще один спосіб, як дурний хлопець дурить Бунсера, - використовуючи логічну бомбу. Протягом усієї своєї історії логічні бомби спричинили хаос на обчислювальних пристроях. У цьому випадку логічний код бомби тихо перешкоджає перевірки зловмисного програмного забезпечення, як і невдача Bouncer активувати корисну навантаження, поки зловмисне додаток не встановиться на фактичному мобільному пристрої.

Суть полягає в тому, що ринки додатків для Android, якщо вони не стануть ефективними для виявлення корисних навантажень зловмисних програм у додатках, насправді є основною системою розповсюдження шкідливих програм.

Новий поворот до старого підходу

Науково-дослідна команда університету штату Північна Кароліна Тсунг-Хсуан Хо, Даніель Дін, Сяохуй Гу та Вільям Енк, можливо, знайшла рішення. У своїй роботі PREC: Practical Root Exploit Containment для пристроїв Android, дослідницька група представила свою версію схеми виявлення аномалії. PREC складається з двох компонентів: першого, який працює з детектором зловмисного програмного забезпечення магазину додатків, і той, який завантажується разом із програмою на мобільний пристрій.

Компонент магазину додатків унікальний тим, що він використовує те, що дослідники називають "класифікованим моніторингом системних викликів". Цей підхід може динамічно визначати системні дзвінки з компонентів підвищеного ризику, таких як сторонні бібліотеки (ті, які не входять до системи Android, але які постачаються із завантаженим додатком). Логіка тут полягає в тому, що багато шкідливих додатків використовують власні бібліотеки.

Системні дзвінки з високоризикового стороннього коду, отриманого під час цього моніторингу, плюс дані, отримані в процесі виявлення магазину додатків, дозволяють PREC створити нормальну модель поведінки. Модель завантажена в службу PREC, порівняно з існуючими моделями для точності, накладних витрат і стійкості до мімікричних атак.

Після цього оновлена ​​модель готова до завантаження з додатком у будь-який час, коли хтось, хто відвідує магазин додатків, запит на додаток.

Це вважається етапом моніторингу. Після завантаження моделі та програми PREC на пристрій Android, PREC переходить до стадії виконання - іншими словами, виявлення аномалій та обмеження зловмисного програмного забезпечення.

Виявлення аномалії

Після того, як додаток та модель PREC увімкнені на пристрої Android, PREC відстежує сторонній код, зокрема системні дзвінки. Якщо послідовність системних викликів відрізняється від тієї, що відстежується в магазині додатків, PREC визначає ймовірність того, що аномальна поведінка є експлуатуванням. Як тільки PREC визначить, що діяльність є шкідливою, вона переходить у режим утримання зловмисного програмного забезпечення.

Зберігання зловмисних програм

Якщо правильно зрозуміти, обмеження зловмисного програмного забезпечення робить PREC унікальним, коли мова йде про анти-шкідливі програми Android. Через природу операційної системи Android програми проти зловмисного програмного забезпечення Android не можуть видалити зловмисне програмне забезпечення або розмістити його в карантині, оскільки кожен додаток перебуває в пісочниці. Це означає, що користувач повинен видалити шкідливий додаток вручну, спочатку знайшовши зловмисне програмне забезпечення в розділі «Програми» в системному менеджері пристрою, потім відкривши сторінку статистики зловмисного програмного забезпечення та натиснувши «Видалити».

PREC робить унікальним те, що дослідники називають "механізмом утримання дрібнозернистого стримування на основі затримки". Загальна ідея - уповільнити підозрілі системні дзвінки, використовуючи пул окремих потоків. Це змушує експлуатувати тайм-аут., В результаті чого додаток не відповідає ", коли додаток остаточно закривається операційною системою Android.

PREC може бути запрограмований на вбивство потоків системного виклику, але він може порушити звичайні операції із застосуванням, якщо детектор аномалії помилиться. Замість того, щоб ризикувати цим, дослідники вставляють затримку під час виконання потоку.

"Наші експерименти показують, що більшість кореневих експлуатацій стає неефективними після того, як ми сповільнимо зловмисний нативний потік до певної точки. Підхід на основі затримки може витонченіше обробляти помилкові тривоги, оскільки доброякісне додаток не постраждає від збоїв або припинення через минущу помилкову помилку тривоги ", - пояснює папір.

Результати тесту

Щоб оцінити PREC, дослідники побудували прототип і протестували його на 140 додатках (80 з нативним кодом і 60 без нативного коду) - плюс 10 додатків (чотири відомих програми root root в рамках проекту Malome Genome, і шість перепакованих додатків для кореневої експлуатації) - які містили зловмисне програмне забезпечення. Зловмисне програмне забезпечення включало версії DroidDream, DroidKungFu, GingerMaster, RATC, ZimperLich та GingerBreak.

Результати:

• PREC успішно виявив і припинив усі перевірені кореневі подвиги.
• Це підвищило нульову помилкову тривогу на доброякісних програмах без рідного коду. (Традиційні схеми піднімають 67-92% помилкових тривог на додаток.)
• PREC знизив помилковий показник тривоги для доброякісних програм із нативним кодом більш ніж на порядок порівняно з традиційними алгоритмами виявлення аномалії

Детальні результати тестів можна знайти в дослідницькій роботі PREC.

Переваги PREC

Окрім того, що добре тестував тести і передавав працездатний метод, що містив зловмисне програмне забезпечення для Android, PREC, безумовно, мав кращі показники, коли справа доходила до помилкових позитивних результатів та втрати продуктивності. Щодо продуктивності, у статті зазначено, що "класифікована схема моніторингу PREC накладає менше 1% накладних витрат, а алгоритм виявлення аномалії SOM накладає до 2% накладних витрат. В цілому PREC є легким, що робить його практичним для пристроїв смартфонів".

Сучасні системи виявлення зловмисних програм, які використовуються у магазинах додатків, неефективні. PREC забезпечує високу ступінь точності виявлення, низький відсоток помилкових сигналів тривоги та вмісту зловмисного програмного забезпечення - те, чого наразі не існує.

Змагання

Ключовим фактором, щоб PREC запрацював, було придбання на ринку додатків. Це лише питання створення бази даних, яка описує нормальну роботу програми. PREC - це один із інструментів, який можна використовувати для цього. Потім, коли користувач завантажує потрібну програму, інформація про продуктивність (профіль PREC) поширюється на додаток і буде використовуватися для визначення базової поведінки програми під час її встановлення на пристрої Android.