Популярные антивирусы для Android не обнаруживают вредоносные клоны приложений

Антивирусные программы для Android продолжают оставаться уязвимыми к различным разновидностям вредоносных программ, создавая серьезный риск кибератак со стороны хакеров.

«Авторы вредоносных программ используют различные методы (морфинг/обфускация) для непрерывной разработки вредоносных клонов легитимных программ, препятствуя обнаружению сигнатурными детекторами. Атака клонов серьезно угрожает всем мобильным платформам, особенно Android», — заявили исследователи из Аданского научно-технического университета (Турция) и Национального университета науки и технологий (Пакистан).

В отличие от iOS, приложения для устройств под управлением Android могут быть загружены из сторонних источников, тем самым повышая риск установки непроверенных и поддельных приложений.

Разработчики вредоносных программ также могут создать сразу несколько мошеннических клонов программного обеспечения с различными уровнями обфускации с целью обойти защитные механизмы.

Для проверки и оценки устойчивости коммерчески доступных антивирусных продуктов к подобной атаке исследователи разработали инструмент под названием DroidMorph, «преобразовывающий» приложения Android (APK) путем декомпиляции файлов в промежуточную форму. APK затем модифицируется и компилируется для создания клонов — как безвредных, так и вредоносных.

Исследователи отметили, что морфинг может быть осуществлен на разных уровнях, включая изменение имен классов и методов в исходном коде или изменение потока выполнения программы, включая граф вызовов и граф потока управления.

В рамках теста с использованием 1771 измененного варианта APK, созданного с помощью DroidMorph, исследователи обнаружили, что 8 из 17 ведущих коммерческих защитных решений не смогли обнаружить ни одно из клонированных приложений. Модифицированные с помощью DroidMorph программы успешно обошли защитные механизмы LineSecurity, MaxSecurity, DUSecurityLabs, AntivirusPro, 360Security, SecuritySystems, GoSecurity и LAAntivirusLab.