MassVet: Μια ομάδα πανεπιστημιακών ερευνητών επινόησαν μια νέα μέθοδο για την ανίχνευση κακόβουλων εφαρμογών του Android. Μέχρι στιγμής μάλιστα οι ερευνητές ανακάλυψαν 127.429 κακόβουλο λογισμικό, συμπεριλαμβανομένων ορισμένων που φέρεται να εκμεταλλεύονται 20 zero-day.
Το πρόγραμμα ονομάστηκε MassVet και είναι το πνευματικό τέκνο οκτώ ερευνητών: Kai Chen, Peng Wang, Yeonjoon Lee, XiaoFeng Wang, Nan Zhang από το Indiana University, Heqing Huang και Peng Liu από το Penn State University, και ο Wei Zou από τη Chinese Academy of Sciences.
Η εφαρμογή MassVet όπως εξηγούν στη μελέτη τους οι ερευνητές εξήγησε στην εφημερίδα (Finding Unknown Malice in 10 Seconds: Mass Vetting for New Threats at the Google-Play Scale pdf) απορρίπτει τις υπογραφές του παλαιού συστήματος σάρωσης και αντί για αυτό, συγκρίνει νόμιμα frameworks του Android για να καθορίσει ποιες εφαρμογές είναι κακόβουλες.
Οι ερευνητές αναφέρουν μάλιστα, ότι μπορούν να εντοπίσουν μια κακόβουλη εφαρμογή σε λιγότερο από 10 δευτερόλεπτα με πολύ χαμηλά false positives, και πρόσθεσαν ότι η τρέχουσα ασφάλεια του Android δεν μπορεί να θεωρηθεί ασφάλεια.
Σε αντίθεση με τους υπάρχοντες μηχανισμούς εντοπισμού, οι οποίοι συχνά χρησιμοποιούν βαρέων βαρών τεχνικές ανάλυσης, η προσέγγισή μας συγκρίνει απλά μια εφαρμογή με όλες αυτές που υπάρχουν ήδη στην αγορά, εστιάζοντας στις διαφορές που υπάρχουν μεταξύ εκείνων που μοιράζονται ένα παρόμοιο UI (υποδηλώνοντας μια πιθανή ανασυσκευασία), και τα κοινά μεταξύ εκείνων που είναι φαινομενικά άσχετες. Μόλις αφαιρεθούν οι δημόσιες βιβλιοθήκες και η επαναχρησιμοποίηση κώδικα, το πρόγραμμα γίνεται πολύ πιο ξεκάθαρο.
Η συγκέντρωση των δραστηριοτήτων της εφαρμογής εμφανίζει και την παρουσία zero-day malware. Εκτέλεση δυναμική ύποπτου κώδικα; Λήψη ύποπτων φωτογραφιών, ή τροποποίηση της ακολουθίας εκκίνησης των άλλων εφαρμογών. Πρόσβαση στα ευαίσθητα δεδομένα των χρηστών, όπως της κάρτας SIM, του σειριακού αριθμού και του αριθμού του τηλεφώνου; Πολλά adware;
“Η παρουσία αυτών των δραστηριοτήτων μας κάνει να πιστεύουμε ότι είναι πολύ πιθανό να υπάρχει zero-day malware,” αναφέρουν οι ερευνητές.
Η εφαρμογή MassVet έχει ανιχνεύσει μέχρι στιγμή περισσότερες από 1,2 εκατομμύρια εφαρμογές από 33 Android app stores και ανακάλυψε 127429 εφαρμογές με malware που είχαν αποφύγει τον εντοπισμό από 54 σαρωτές προστασίας από ιούς, συμπεριλαμβανομένου του δημοφιλούς μηχανισμού Virus Total.
Από τις μολυσμένες εφαρμογές που ανακαλύφθηκαν οι 30.552 φιλοξενούνται στο Google Play.