Това потенциално лекарство за злонамерени приложения за Android ли е?

Пазарите на приложения за Android са удобен начин потребителите да получават приложения. Пазарите също са удобен начин за лошите хора да доставят злонамерен софтуер. Собствениците на Marketplace се опитват да издушат лоши приложения, като използват мерки за сигурност като Google Bouncer. За съжаление повечето - включително и Bouncer - не се справят със задачата. Лошите момчета почти веднага измислиха как да разберат кога Bouncer, среда за емулация, тества кода си. В по-ранно интервю Джон Оберхайде, съосновател на Duo Security и лицето, което е уведомило Google за проблема, обясни:

„За да направи Bouncer ефективен, той трябва да бъде неразличим от мобилното устройство на истински потребител. В противен случай злонамереното приложение ще може да определи, че то работи с Bouncer и да не изпълнява злонамерения си полезен товар.“

Друг начин лошите момчета да заблудят Bouncer е чрез използване на логическа бомба. През цялата си история, логическите бомби предизвикаха поразия в компютърните устройства. В този случай логическият код на бомба тихо осуетява проверките на зловреден софтуер, много като неуспеха на Bouncer да активира полезния товар, докато злонамереното приложение не се инсталира на действително мобилно устройство.

Долната линия е, че пазарите на приложения за Android, освен ако не станат ефективни при откриване на полезен товар от злонамерен софтуер в приложения, всъщност са основна система за разпространение на зловреден софтуер.

Нов обрат към стар подход

Изследователският екип на Държавния университет в Северна Каролина на Tsung-Hsuan Ho, Daniel Dean, Xiaohui Gu и William Enck може би са намерили решение. В своята статия PREC: Практически Root Exploit Containment за устройства с Android, изследователският екип представи своята версия на схема за откриване на аномалия. PREC се състои от два компонента: този, който работи с детектора за злонамерен софтуер в магазина за приложения, и този, който се изтегля с приложението на мобилното устройство.

Компонентът на магазина за приложения е уникален по това, че използва това, което изследователите наричат ​​„класифициран мониторинг на системните повиквания“. Този подход може динамично да идентифицира системни обаждания от високорискови компоненти като библиотеки на трети страни (тези, които не са включени в системата на Android, но идват с изтегленото приложение). Логиката тук е, че много злонамерени приложения използват собствени библиотеки.

Системните обаждания от високорисковия код на трети страни, получени от този мониторинг, плюс данните, получени от процеса на откриване на магазина за приложения, позволяват PREC да създаде нормален модел на поведение. Моделът се качва в услугата PREC, в сравнение със съществуващите модели за точност, режийни действия и здравина към мимикрийни атаки.

След това актуализираният модел е готов за изтегляне с приложението всеки път, когато приложението бъде поискано от някой, който посещава магазина за приложения.

Това се счита за фаза на наблюдение. След като моделът и приложението PREC се изтеглят на устройството с Android, PREC влиза в етапа на прилагане - с други думи, откриване на аномалия и ограничаване на злонамерен софтуер.

Откриване на аномалия

След като приложението и PREC моделът се прикрепят на устройството с Android, PREC следи кода на трета страна, по-специално системните повиквания. Ако последователността на системно повикване е различна от наблюдаваната в магазина за приложения, PREC определя вероятността анормалното поведение да е експлоатация. След като PREC установи, че дейността е злонамерена, тя преминава в режим на ограничаване на зловреден софтуер.

Задържане на злонамерен софтуер

Ако се разбере правилно, съдържанието на зловреден софтуер прави PREC уникален, когато става дума за анти-зловреден софтуер за Android. Поради естеството на операционната система Android, приложенията за борба със злонамерения софтуер за Android не могат да премахнат злонамерен софтуер или да го поставят в карантина, тъй като всяко приложение се намира в пясъчна кутия. Това означава, че потребителят трябва ръчно да премахне злонамереното приложение, като първо открие злонамерения софтуер в секцията Приложение на System Manager на устройството, след това отвори страницата със статистически данни на приложението за злонамерен софтуер и докосне „деинсталиране“.

Това, което прави PREC уникален, е това, което изследователите наричат ​​„базиращ се на забавяне финозърнест механизъм за ограничаване“. Общата идея е да забавите подозрителните системни обаждания, като използвате пул от отделни нишки. Това принуждава експлоатацията да изчаква. В резултат на това приложението не отговаря, при което приложението в крайна сметка се изключва от операционната система Android.

PREC може да бъде програмиран да убива нишките на системно повикване, но може да прекъсне нормалните операции на приложение, ако детекторът на аномалия направи грешка. Вместо да рискуват това, изследователите въвеждат забавяне по време на изпълнението на нишката.

"Нашите експерименти показват, че повечето експлоатации на корен стават неефективни, след като забавим злонамерената естествена нишка до определена точка. Подходът, базиран на забавяне, може да се справи по-грациозно с алармите, тъй като доброкачественото приложение няма да страда от срив или прекратяване поради преходна фалшива аларми “, обяснява вестникът.

Резултати от тестовете

За да оценят PREC, изследователите са изградили прототип и са го тествали срещу 140 приложения (80 с нативен код и 60 без естествен код) - плюс 10 приложения (четири известни приложения за root експлоатация от проекта Malware Genome и шест преопаковани приложения за експлоатация на root) който съдържаше зловреден софтуер. Зловредният софтуер включваше версии на DroidDream, DroidKungFu, GingerMaster, RATC, ZimperLich и GingerBreak.

Резултатите:

• PREC успешно откри и спря всички тествани коренови подвизи.
• Тя повдигна нула фалшиви аларми на доброкачествените приложения без нативен код. (Традиционните схеми повишават 67-92% фалшиви аларми на приложение.)
• PREC намали фалшивата честота на алармата на доброкачествените приложения с нативен код с повече от един ред над традиционните алгоритми за откриване на аномалия

Подробни резултати от тестовете могат да бъдат намерени в научния документ PREC.

Предимства на PREC

Освен че се представи добре в тестовете и препрати работещ метод за съдържане на зловреден софтуер за Android, PREC определено имаше по-добри числа, когато стана дума за фалшиви позитиви и загуба на производителност. Що се отнася до производителността, документът посочва, че „класифицираната схема за мониторинг на PREC налага по-малко от 1% режийни разходи, а алгоритъмът за откриване на аномалия SOM налага до 2% режийни разходи. Като цяло PREC е лек, което го прави практичен за смартфон устройства“.

Настоящите системи за откриване на злонамерен софтуер, използвани от магазините за приложения, са неефективни. PREC осигурява висока степен на точност на откриване, нисък процент на фалшиви аларми и съдържание на злонамерен софтуер - нещо, което в момента не съществува.

Предизвикателството

Ключът към привличането на PREC към работа е входът от пазарите на приложения. Въпрос е само на създаване на база данни, която описва как едно приложение функционира нормално. PREC е един инструмент, който може да се използва за постигане на това. След това, когато потребителят изтегли желано приложение, информацията за ефективността (PREC профил) върви заедно с приложението и ще бъде използвана за изходно поведение на приложението, докато е инсталирано на устройството с Android.