«Авторы вредоносного ПО используют скрытые изменения (морфинг/обфускации) для постоянного создания клонов вредоносного ПО препятствуя обнаружению с помощью сигнатурных детекторов» - заявили исследователи. «Эта атака клонов серьезно угрожает всем мобильным платформам, особенно Android».
Результаты исследования были опубликованы на прошлой неделе исследователями из Аданского научно-технического университета, Турция, и Национального университета науки и технологии, Исламабад, Пакистан.
В отличие от iOS, на устройствах Android приложения возможно загружать и устанавливать из сторонних источников. Этот факт повышает вероятность установки неосторожными пользователями непроверенных или клонированных приложений, которые копируют функциональность оригинального приложения но созданы для того, чтобы обманом заставить пользователя загрузить способный украсть конфиденциальную информацию код.
Более того, авторы вредоносных программ могут использовать эту технику для создания множества клонов программного обеспечения с различными уровнями абстракции и обфускации, чтобы замаскировать свои истинные намерения и проскользнуть через защитные барьеры, созданные антивирусными системами.
Чтобы проверить и оценить устойчивость имеющихся коммерческих продуктов против этой атаки, исследователи разработали инструмент под названием «DroidMorph», который позволяет «морфировать» приложения для Android (APK) путем декомпиляции файлов до промежуточной формы, которая затем изменяется и компилируется для создания как безобидных, так и вредоносных клонов легальных программ.
Морфинг может происходить на разных уровнях, отметили исследователи, например, изменение имен классов и методов в исходном коде или что-то нетривиальное, что может изменить поток выполнения программы, включая граф вызовов и граф потока управления.
В ходе тестирования, проведенного с использованием 1771 морфированного варианта APK, созданного с помощью DroidMorph, исследователи обнаружили, что 8 из 17 ведущих коммерческих антивирусных программ не смогли обнаружить ни одного из клонированных приложений. Средний уровень обнаружения морфинга классов составил 51,4%, морфинга методов - 58,8%, а морфинга тела приложения - 54,1% для всех антивирусов.
Среди успешно обойденных антивирусных программ были LineSecurity, MaxSecurity, DUSecurityLabs, AntivirusPro, 360Security, SecuritySystems, GoSecurity и LAAntivirusLab.
В качестве анонса будущей работы исследователи заявили, что намерены добавить больше обфускаций на разных уровнях, а также включить изменение метаданных – например требуемых программой разрешений, которые встроены в APK-файл - с целью снижения уровня обнаружения клона.
Перевод сделан со статьи: https://thehackernews.com
