Adakah ini ubat potensial untuk apl android yang berniat jahat?

Pasaran aplikasi Android adalah cara yang mudah untuk pengguna mendapatkan aplikasinya. Pasaran juga merupakan cara yang mudah untuk orang jahat untuk menyampaikan perisian hasad. Pemilik pasaran, untuk kredit mereka, cuba menghidupkan aplikasi buruk menggunakan langkah-langkah keselamatan seperti Google Bouncer. Malangnya, kebanyakan - termasuk Bouncer - tidak semestinya tugas. Orang jahat hampir dengan serta-merta mengetahui bagaimana untuk memberitahu apabila Bouncer, persekitaran emulasi, sedang menguji kod mereka. Dalam wawancara terdahulu, Jon Oberheide, pengasas Duo Security dan orang yang memberitahu Google mengenai masalah itu, menjelaskan:

"Untuk membuat Bouncer berkesan, ia mesti dibezakan dari peranti mudah alih pengguna sebenar. Jika tidak, aplikasi yang berniat jahat akan dapat menentukan ia berjalan dengan Bouncer dan tidak melaksanakan muatan jahatnya."

Cara lain menipu Bouncer adalah dengan menggunakan bom logik. Sepanjang sejarah mereka, bom logik telah menimbulkan kekacauan pada peranti pengkomputeran. Dalam kes ini, kod bom logik secara senyap-senyap menghalang penjenayah malware, seperti kegagalan Bouncer untuk mengaktifkan muatan sehingga aplikasinya dipasang pada peranti mudah alih yang sebenar.

Intinya adalah bahawa pasaran aplikasi Android, kecuali jika mereka menjadi cekap mengesan muatan malware dalam aplikasi, sebenarnya, sistem pengedaran utama untuk perisian hasad.

Twist Baru untuk Pendekatan Lama

Pasukan penyelidikan Universiti North Carolina State of Tsung-Hsuan Ho, Daniel Dean, Xiaohui Gu, dan William Enck mungkin telah menemukan penyelesaian. Di dalam kertas mereka PREC: Pengendalian Exploit Root Praktikal untuk Peranti Android, pasukan penyelidikan memperkenalkan versi skema pengesanan anomali mereka. PREC terdiri daripada dua komponen: satu yang berfungsi dengan pengesan malware kedai aplikasi, dan satu yang dimuat turun dengan aplikasi ke peranti mudah alih.

Komponen kedai aplikasi adalah unik kerana ia menggunakan apa yang dikatakan para penyelidik "pemantauan panggilan sistem diklasifikasikan." Pendekatan ini secara dinamik dapat mengenal pasti panggilan sistem daripada komponen berisiko tinggi seperti perpustakaan pihak ketiga (yang tidak termasuk dalam sistem Android, tetapi ia datang dengan aplikasi yang dimuat turun). Logik di sini adalah bahawa banyak aplikasi berniat jahat menggunakan perpustakaan mereka sendiri.

Panggilan sistem dari kod pihak ketiga yang berisiko tinggi yang diperoleh daripada pengawasan ini, ditambah dengan data yang diperoleh dari proses pengesanan aplikasinya, membolehkan PREC mewujudkan model tingkah laku biasa. Model ini dimuat naik ke perkhidmatan PREC, berbanding dengan model sedia ada untuk ketepatan, overhead, dan ketahanan untuk meniru serangan.

Model yang dikemas kini kemudian akan dimuat turun dengan aplikasi pada bila-bila masa aplikasi diminta oleh seseorang yang melawat kedai aplikasi.

Itu dianggap fasa pemantauan. Apabila model dan aplikasi PREC dimuat turun ke peranti Android, PREC memasuki peringkat penguatkuasaan - dalam erti kata lain, pengesanan anomali dan pengawalan malware.

Pengesanan Anomali

Setelah aplikasi dan model PREC disokong pada peranti Android, PREC memantau kod pihak ketiga, khususnya panggilan sistem. Sekiranya urutan sistem-panggilan adalah berbeza daripada yang dipantau di kedai aplikasi, PREC menentukan kemungkinan bahawa kelakuan abnormal adalah eksploitasi. Sekali PREC menentukan bahawa aktiviti itu berniat jahat, ia berpindah ke mod penangkapan malware.

Pembendungan Malware

Sekiranya difahami dengan betul, pengubahan malware menjadikan PREC unik ketika datang ke Android anti-malware. Disebabkan sifat sistem operasi Android, aplikasi anti-malware Android tidak dapat mengalih keluar perisian hasad atau meletakkannya dalam kuarantin kerana setiap aplikasi berada dalam kotak pasir. Ini bermakna pengguna mesti mengeluarkan secara manual aplikasi berniat jahat dengan terlebih dahulu mencari malware di bahagian Permohonan Pengurus Sistem peranti, kemudian membuka halaman statistik aplikasi malware dan mengetuk "menyahpasang".

Apa yang menjadikan PREC unik adalah apa yang dipanggil penyelidik sebagai mekanisme pembendungan halus yang berasaskan kelewatan. " Idea umum adalah untuk melambatkan panggilan sistem yang mencurigakan menggunakan kumpulan benang yang berasingan. Ini memaksa mengeksploitasi ke masa, mengakibatkan status "Tidak Bertangguang Permohonan" di mana aplikasi akhirnya dimatikan oleh sistem pengendalian Android.

PREC boleh diprogramkan untuk membunuh benang panggilan sistem, tetapi ia boleh memecahkan operasi aplikasi normal jika pengesan anomali membuat kesilapan. Daripada risiko itu, para penyelidik memasukkan kelewatan semasa pelaksanaan thread.

"Eksperimen kami menunjukkan bahawa kebanyakan eksploitasi root menjadi tidak berkesan selepas kami memperlahankan benang asli yang berniat jahat ke titik tertentu. Pendekatan berdasarkan kelewatan dapat mengendalikan penggera palsu lebih anggun sejak aplikasi tidak bermaya tidak akan mengalami kegagalan atau penghentian akibat false penggera, "jelasnya.

Keputusan ujian

Untuk menilai PREC, penyelidik membina prototaip dan mengujinya terhadap 140 aplikasi (80 dengan kod asli dan 60 tanpa kod asli) - ditambah 10 aplikasi (empat aplikasi mengeksploitasi akar yang diketahui dari projek Genom Malware dan enam aplikasi mengeksploitasi akar semula) - yang mengandungi perisian hasad. Malware termasuk versi DroidDream, DroidKungFu, GingerMaster, RATC, ZimperLich dan GingerBreak.

Keputusan:

• PREC berjaya mengesan dan menghentikan semua eksploitasi root yang diuji.
• Ia menimbulkan penggera palsu sifar pada aplikasi jinak tanpa kod asal. (Skim tradisional meningkatkan penggera palsu 67-92% per aplikasi).
• PREC mengurangkan kadar penggera palsu pada aplikasi jinak dengan kod asal dengan lebih daripada satu urutan magnitud berbanding algoritma pengesanan anomali tradisional

Keputusan ujian terperinci boleh didapati dalam kertas penyelidikan PREC.

Faedah PREC

Selain melakukan ujian yang baik dan meneruskan kaedah yang boleh digunakan untuk mengandungi malware Android, PREC telah menentukan nombor yang lebih baik apabila ia datang kepada positif palsu dan kehilangan prestasi. Mengenai prestasi, kertas itu menyatakan bahawa skema pemantauan diklasifikasikan PREC "kurang over 1% overhead, dan algoritma pengesanan anomali SOM membebankan sehingga overhead over%. Secara keseluruhan, PREC adalah ringan, menjadikannya praktikal untuk peranti telefon pintar."

Sistem pengesanan malware semasa yang digunakan oleh kedai aplikasi tidak berkesan. PREC menyediakan ketepatan pengesanan yang tinggi, peratusan yang rendah dari penggera palsu, dan pembendungan malware - sesuatu yang tidak ada sekarang.

Cabaran

Kunci untuk mendapatkan PREC berfungsi adalah pembelian masuk dari pasaran aplikasi. Ia hanya satu perkara untuk mewujudkan pangkalan data yang menerangkan bagaimana aplikasi berfungsi normal. PREC adalah salah satu alat yang boleh digunakan untuk mencapai itu. Kemudian, apabila pengguna memuat turun aplikasi yang dikehendaki, maklumat prestasi (profil PREC) berjalan dengan aplikasi, dan akan digunakan untuk memastikan perilaku aplikasinya semasa dipasang pada peranti Android.