Ist dies eine potenzielle Heilung für bösartige Android-Apps?

Autor: Eugene Taylor
Erstelldatum: 9 August 2021
Aktualisierungsdatum: 11 Kann 2024
Anonim
Ist dies eine potenzielle Heilung für bösartige Android-Apps? - Technologie
Ist dies eine potenzielle Heilung für bösartige Android-Apps? - Technologie

Inhalt


Quelle: Stuart Patterson / Dreamstime.com

Wegbringen:

App Stores versuchen, die Verbreitung von Malware zu verhindern, sind jedoch häufig wirkungslos. Eine Gruppe von Forschern hat möglicherweise endlich einen Weg gefunden, um Android-Malware zu neutralisieren.

Android-Anwendungsmärkte sind eine bequeme Möglichkeit für Benutzer, Apps abzurufen. Die Märkte sind auch eine bequeme Möglichkeit für Bösewichte, Malware auszuliefern. Marktbesitzer versuchen zu ihrem Recht, schlechte Apps mithilfe von Sicherheitsmaßnahmen wie Google Bouncer aufzuspüren. Leider sind die meisten - einschließlich Bouncer - der Aufgabe nicht gewachsen. Die Bösen haben fast sofort herausgefunden, wie sie feststellen können, wann Bouncer, eine Emulationsumgebung, ihren Code testet. In einem früheren Interview erklärte Jon Oberheide, Mitbegründer von Duo Security und der Person, die Google über das Problem informiert hatte:

"Damit Bouncer effektiv ist, muss es nicht von einem mobilen Gerät eines echten Benutzers zu unterscheiden sein. Andernfalls kann eine böswillige Anwendung feststellen, dass sie mit Bouncer ausgeführt wird, und ihre böswillige Nutzlast nicht ausführen."

Ein anderer Weg, wie Bösewicht Bouncer täuschen kann, ist die Verwendung einer Logikbombe. Im Laufe ihrer Geschichte haben Logikbomben die Computergeräte verwüstet. In diesem Fall verhindert der Logikbombencode leise Malware-Überprüfungen, ähnlich wie bei Bouncern, bei denen die Nutzlast erst aktiviert wird, wenn die bösartige App auf einem tatsächlichen Mobilgerät installiert wird.

Das Fazit ist, dass die Android-App-Märkte, sofern sie nicht in der Lage sind, Malware-Nutzdaten in Apps effizient zu erkennen, in der Tat ein Hauptvertriebssystem für Malware sind.

Eine neue Wendung zu einem alten Ansatz

Das Forschungsteam der North Carolina State University von Tsung-Hsuan Ho, Daniel Dean, Xiaohui Gu und William Enck hat möglicherweise eine Lösung gefunden. In ihrer Arbeit PREC: Practical Root Exploit Containment für Android-Geräte stellten die Forscher ihre Version eines Anomalieerkennungsschemas vor. PREC besteht aus zwei Komponenten: einer, die mit dem Malware-Detektor des App Stores zusammenarbeitet, und einer, die mit der Anwendung auf das Mobilgerät heruntergeladen wird.

Die App Store-Komponente ist insofern einzigartig, als sie das verwendet, was die Forscher als "klassifizierte Überwachung von Systemanrufen" bezeichnen. Mit diesem Ansatz können Systemaufrufe von Hochrisikokomponenten wie Bibliotheken von Drittanbietern (die nicht im Android-System enthalten sind, aber mit der heruntergeladenen Anwendung geliefert werden) dynamisch identifiziert werden. Die Logik hier ist, dass viele bösartige Apps ihre eigenen Bibliotheken verwenden.

Systemaufrufe aus dem risikoreichen Code von Drittanbietern, der aus dieser Überwachung stammt, sowie die Daten aus dem App Store-Erkennungsprozess ermöglichen es PREC, ein normales Verhaltensmodell zu erstellen. Das Modell wird in den PREC-Dienst hochgeladen, verglichen mit vorhandenen Modellen, um Genauigkeit, Overhead und Robustheit gegenüber Mimikry-Angriffen zu gewährleisten.

Das aktualisierte Modell kann dann jederzeit mit der Anwendung heruntergeladen werden, wenn die App von einer Person angefordert wird, die den App Store besucht.

Dies wird als Überwachungsphase angesehen. Sobald das PREC-Modell und die Anwendung auf das Android-Gerät heruntergeladen wurden, tritt PREC in die Durchsetzungsphase ein, dh die Erkennung von Anomalien und die Eindämmung von Malware.

Anomalieerkennung

Sobald die App und das PREC-Modell auf dem Android-Gerät eingerichtet sind, überwacht PREC den Code von Drittanbietern, insbesondere Systemaufrufe. Wenn sich die Systemaufrufsequenz von der im App Store überwachten unterscheidet, ermittelt PREC die Wahrscheinlichkeit, dass das anormale Verhalten ein Exploit ist. Sobald PREC feststellt, dass die Aktivität bösartig ist, wechselt es in den Malware-Eindämmungsmodus.

Malware-Eindämmung

Wenn es richtig verstanden wird, macht die Eindämmung von Malware PREC einzigartig, wenn es um Android-Anti-Malware geht. Aufgrund der Beschaffenheit des Android-Betriebssystems können Android-Anti-Malware-Anwendungen Malware nicht entfernen oder in die Quarantäne verschieben, da sich jede Anwendung in einer Sandbox befindet. Dies bedeutet, dass der Benutzer die schädliche App manuell entfernen muss, indem er zuerst die Malware im Abschnitt "Anwendung" des System-Managers des Geräts findet, dann die Statistikseite der Malware-App öffnet und auf "Deinstallieren" tippt.

Was PREC einzigartig macht, ist das, was die Forscher als "verzögerungsbasierten feinkörnigen Einschlussmechanismus" bezeichnen. Die allgemeine Idee ist, verdächtige Systemaufrufe mithilfe eines Pools separater Threads zu verlangsamen. Dies erzwingt eine Zeitüberschreitung des Exploits und führt zu einem Status "Anwendung reagiert nicht", bei dem die App vom Android-Betriebssystem endgültig heruntergefahren wird.

PREC kann so programmiert werden, dass die Systemaufrufthreads abgebrochen werden. Wenn der Anomaliedetektor einen Fehler macht, kann dies jedoch zu einer Unterbrechung des normalen Anwendungsbetriebs führen. Anstatt zu riskieren, dass die Forscher eine Verzögerung während der Ausführung des Threads einfügen.

"Unsere Experimente zeigen, dass die meisten Root-Exploits unwirksam werden, nachdem wir den böswilligen systemeigenen Thread auf einen bestimmten Punkt verlangsamt haben. Der verzögerungsbasierte Ansatz kann die Fehlalarme eleganter behandeln, da die gutartige Anwendung nicht durch vorübergehende Fehler abstürzt oder beendet wird Alarme ", erklärt das Papier.

Testergebnisse

Zur Evaluierung von PREC erstellten die Forscher einen Prototyp und testeten ihn mit 140 Apps (80 mit nativem Code und 60 ohne nativem Code) - plus 10 Apps (vier bekannte Root-Exploit-Anwendungen aus dem Malware Genome-Projekt und sechs neu gepackte Root-Exploit-Anwendungen) - das enthielt Malware. Die Malware enthielt Versionen von DroidDream, DroidKungFu, GingerMaster, RATC, ZimperLich und GingerBreak.

Die Ergebnisse:
  • PREC hat alle getesteten Root-Exploits erfolgreich erkannt und gestoppt.
  • In den gutartigen Anwendungen ohne systemeigenen Code wurden keine Fehlalarme ausgelöst. (Traditionelle Schemata lösen pro App 67-92% Fehlalarme aus.)
  • PREC reduzierte die Falschalarmrate bei gutartigen Anwendungen mit nativem Code gegenüber herkömmlichen Anomalieerkennungsalgorithmen um mehr als eine Größenordnung
Detaillierte Testergebnisse finden Sie im PREC Research Paper.

Vorteile von PREC

PREC schnitt nicht nur in den Tests gut ab und leitete eine funktionierende Methode zur Eindämmung von Android-Malware weiter, sondern hatte auch deutlich bessere Zahlen, wenn es um Fehlalarme und Leistungseinbußen ging. In Bezug auf die Leistung heißt es in der Veröffentlichung, dass PRECs "klassifiziertes Überwachungsschema weniger als 1% Overhead verursacht und der Algorithmus zur Erkennung von SOM-Anomalien bis zu 2% Overhead verursacht. Insgesamt ist PREC leicht und daher praktisch für Smartphones."

Aktuelle Malware-Erkennungssysteme, die von App Stores verwendet werden, sind unwirksam. PREC bietet ein hohes Maß an Erkennungsgenauigkeit, einen geringen Prozentsatz an Fehlalarmen und die Eindämmung von Malware - etwas, das derzeit nicht vorhanden ist.

Die Herausforderung

Der Schlüssel, um PREC zum Laufen zu bringen, ist das Buy-in von den App-Marktplätzen. Es geht nur darum, eine Datenbank zu erstellen, die beschreibt, wie eine Anwendung normal funktioniert. PREC ist ein Werkzeug, mit dem dies erreicht werden kann. Wenn ein Benutzer eine gewünschte Anwendung herunterlädt, werden die Leistungsinformationen (PREC-Profil) mit der App verknüpft und verwendet, um das Verhalten der App zu bestimmen, während sie auf dem Android-Gerät installiert ist.