Сколько времени нужно чтобы создать вирус для мобильной среды? – от 1 до 2 минут



Группа исследователей из Университета Саннио (Италия) продемонстрировала насколько легко можно сделать известный вирус для Android «белым и пушистым». Написать вредоносный код, который обойдет защиту, очень не просто, но есть методы позволяющие замаскировать вирус, сгенерировав новый файл.

Разница между созданием и генерацией такой программы состоит в том, что во втором случае «создатель» программы не напишет и строчки кода, а просто нажмет кнопку «создать».

Исследователи создали движок, который использует до 8 вариантов создания таких мобильных скриптов, которые меняют форму кода, не затрагивая поведения самих вредоносных программ.

Разработчики назвали свой движок «Прачечная вирусов».

Движок разработан исследователем вредоносных программ для Android и работает по таким возможным сценариям:

• Разборка и повторная сборка (Disassembling & Reassembling).
• Перепаковка (Repacking)
• Смена имени пакета (Changing package name)
• Переименование идентификатора (Identifier Renaming)
• Кодирование данны (Data Encoding)
• Непрямой вызов (Call indirections)
• Перестановка кода (Code Reordering)
• Вставка мусорного кода (Junk Code Insertion)
• Многосоставные изменения (Composite Transformations)

Исследователи использовали свой движок для модификации 5560 вредоносных программ, которые 57 производителей защиты от вредоносных программ, определили как опасные. Разработчики протестировали свое вредоносное решение на 57 хорошо известных антивирусных программах. Тем не менее, после модификации все эти антивирусы уже не распознали большинство уже известных им, но немного замаскированных вирусов.

«Будут ли эффективны базовые алгоритмы обнаружения в мобильной среде для уже известных сигнатур? Мы разработали скрипт, который применяет небольшие изменения в коде андроид-приложений. Тогда мы применили этот модификатор в реальных, известных вирусах, и отправили приложения на веб-сайт www.virustotal.com до и после модификации – и отметили результаты своих тестов «до» модификации и «после». – сказал профессор Корадо Визаджио, руководитель команды — «Результаты – впечатляющие: антивирусы не смогли распознать немного измененные вирусы (хотя до этого их распознавали)»

Тест показал, что некоторые вирусы были распознаны антивирусами и после модификации – но это была меньшая часть.

— В этой таблице – в первой колонке: производители защиты, во второй – количество распознанных вирусов (до трансформации), и в третьей – число распознанных вирусов уже после трансформации (красным).



Движок для экспериментов с файлами «Прачечная вирусов» был реализован в научных целях на Open Source лицензии и доступен на GitHub. Подробности теста (на английском).

Такой тест поднял дискуссию о возможности ограничить генерацию вредоносного ПО, так как эксперты показали что можно создать вирусы не написав и строчки когда, используя лишь слегка видоизмененные, уже известные вирусы.

Кроме того, эти исследования показали насколько меняется уязвимость ИТ с изменением среды, в данном случае речь идет о мобильной среде (куда, как предсказывает Google, все движется), и насколько легко можно продуцировать «новые» вирусы, всего лишь поменяв условные «запятые» в коде, или сделав лишь очень незначительные изменения – получаем вредоносное ПО, которое не распознает большая часть антивирусов, которые уже знакомы с «родительским» кодом вирусов.

Как говорится: новое – хорошо забытое старое!

По мотивам сообщения





SIM-CLOUD — Отказоустойчивое облако в Германии

Выделенные серверы в надежных дата-центрах Германии!
Любая конфигурация, быстрая сборка и бесплатная установка