Antywirusy na Androida da się oszukać

Badacze z Georgia Institute of Technology, placówki naukowej powszechnie znanej jako Georgia Tech, postanowili sprawdzić faktyczną skuteczność stale rosnącej liczby aplikacji antywirusowych na Androida oferowanych w oficjalnym sklepie Google Play. Na warsztat wzięli 58 popularnych programów, a następnie przygotowali własne narzędzie atakujące o nazwie AVPass, którego zadaniem było ominięcie zabezpieczeń oferowanych przez testowane programy. Udało się to w 56 przypadkach.
android malware
android malware

Zaledwie dwa programy były w stanie skutecznie zablokować atak spreparowany przez naukowców Georgia Tech. Były to aplikacje marek AhnLab oraz WhiteArmor. Jak zauważa Max Wolotsky, doktorant na Georgia Tech i jeden ze członków zespołu badawczego pracującego nad odpornością antywirusów na Androida “antywirusy na platformy mobilne to zupełna nowość dla wielu firm zajmujących się oprogramowaniem antywirusowym (…) powinniśmy ostrzec konsumentów, by nie opierali się oni tylko na oprogramowaniu ochronnym, potrzeba czegoś więcej” – dodaje Wolotsky.

zrzut ekranu WA Security
Aplikacja WA (WhiteArmor) Security – jedna z dwóch (obok AhnLab), które oparły się atakom zaaranżowanym przez naukowców (fot. Google Play)

Co istotne, naukowcy, tworząc AVPass, korzystali wyłącznie z oficjalnie dostępnych źródeł – tych samych, z których mogą skorzystać potencjalni cyberprzestępcy. Nie mieli oni dostępu do kodu źródłowego żadnej z testowanych aplikacji. Opierali się na otwartych materiałach źródłowych, czy jawnej wiedzy, np. takiej, że współczesne antywirusy ewoluują dzięki technikom uczenia maszynowego. Ponieważ twórcy AVPass również doskonale wiedzą jak uczenie maszynowe działa, byli w stanie “nabrać” większość testowanych aplikacji.

Badacze wykorzystali m.in. usługę o nazwie VirusTotal. Jest to dostępny dla każdego serwis internetowy. Oferuje odwiedzającym skanowanie linków (sprawdzanie czy dana witryna jest bezpieczna) i próbek kodu (sprawdzanie czy przesłany plik nie jest zainfekowany). Zadając odpowiednio dużo właściwie przygotowanych zapytań, naukowcy byli w stanie wyłącznie na podstawie generowanych odpowiedzi określić jakiego typu algorytm detekcji zastosowano w konkretnym przypadku. Udało się to zrobić nawet mimo ograniczeń akademickiej licencji na VirusTotal, która zapewnia maksymalnie 300 zapytań na jedną próbkę złośliwego kodu. Jak się jednak okazuje nawet mniejsza liczba zapytań pozwalała stwierdzić w jaki sposób różne aplikacje ochronne podchodzą do wykrywania malware.

AVPass jest projektem open-source i częścią większej grupy projektów badaczy Georgia Tech, dotyczących uczenia maszynowego. To oznacza, że może on być wykorzystany w celu ulepszenia algorytmów detekcji złośliwego kodu na platformach mobilnych. Oby jak najszybciej. | CHIP