- Вредоносные программы угрожают компьютерам в течение многих лет.
В связи с высоким ростом продаж смартфонов, это был лишь вопрос времени, когда разработчики вредоносного ПО заинтересуются платформами для проведения атак на смартфоны.
Согласно исследованию, проведенному Международной корпорацией данных, производители смартфонов отправят более 450 миллионов устройств в 2011 году, по сравнению с 303,4 миллионами устройств, отправленных в 2010 году. Более того, рынок смартфонов будет расти в четыре раза быстрее рынка мобильных телефонов, а спрос на смартфоны значительно возрастет до такой степени, что потребители заменят старые мобильные телефоны на смартфоны.
- Рост продаж мобильных телефонов таких компаний, как Samsung и HTC в период 2009-2010 гг. произвел революцию на рынке смартфонов. В соответствии с этим, IDC предсказал, что Android OS пройдет через Symbian OS Nokia в 2011 году и продолжит лидировать на рынке смартфонов OS Market в ближайшие годы. Кроме того, они предсказали, что в 2010-2014 гг. операционные системы Android и Windows Mobile вырастут почти на 50%, имея высокую вероятность того, что в будущем они станут лидерами среди производителей смартфонов.
Google's Android Market - это онлайн-механизм доставки программного обеспечения на смартфон на базе Android. К сожалению, разработчики приложений для Android могут загружать свои приложения без проверки их надежности. Заявки подписываются разработчиками самостоятельно, без какого-либо вмешательства со стороны большинства сертифицированных компаний.
Существуют также неофициальные репозитории, где разработчики могут загружать приложения, в том числе взломанные приложения или троянские кони. Это позволило злоумышленникам загружать вредоносное ПО на рынок, а также распространять его через неофициальные репозитории.
По данным Juniper Networks, их центр глобальных угроз обнаружил 400-процентный рост числа вредоносных программ для Android по сравнению с суммером 2010 года. Среди известных примеров - Player, Geinimi, PJApps и HongToutou. Был модифицирован ряд аплодисментов, и вредоносное ПО было привязано, упаковано и распространено через неофициальные репозитории. Была также нацелена на Android's Market, где в марте 2011 года было обнаружено более 50 зараженных приложений, все они заражены троянским кодом DroidDream. Недавно Джон Оберхайде представил концептуальное вредоносное приложение в качестве бонуса Angry Birds, чтобы показать слабость защиты Android Marketplace.
До сих пор для анализа и обнаружения вредоносного ПО предлагались два подхода: статический анализ и динамический анализ.
- Статический анализ, в основном используемый антивирусными компаниями, основан на проверке исходного кода или двоичных файлов на наличие подозрительных закономерностей. Хотя некоторые подходы оказались успешными, авторы вредоносных программ разработали различные методы затуманивания, особенно в отношении статического анализа.
- С другой стороны, динамический анализ или поведенческое обнаружение включает в себя запуск образца в контролируемой и изолированной среде для анализа следов его исполнения. Egele предоставляет подробный обзор технологий автоматизированного динамического анализа вредоносного ПО.
- Еще в 2004 году многие разработчики предупредили сообщество о возможности появления вредоносных программ в мобильных телефонах. Даже если wi-fi и bluetooth считались наиболее вероятными путями заражения, рост продаж смартфонов при непрерывном подключении к Интернету сделал этот прогноз реальным.
В частности, в июне того же года впервые был выпущен вредоносный код, специально разработанный для платформы Symbian OS. После успеха заражения, осуществленного вредоносным ПО Cabir и его вариантами, исследователи предложили подходы и разработали различные механизмы для обнаружения вредоносного ПО в смартфонах.
СТРУКТУРА СИСТЕМЫ ОБНАРУЖЕНИЯ ВРЕДОНОСНЫХ ПРОГРАММ НА ОСНОВЕ ПОВЕДЕНИЯ
Внедрение систем обнаружения вредоносного ПО в устройства mobile является относительно новой концепцией. Средства и механизмы обеспечения безопасности, используемые в компьютерах, не подходят для применения на смартфонах из-за чрезмерного расхода ресурсов и разряда батарей. Поэтому мы решили провести весь процесс анализа на выделенном удаленном сервере. Этот сервер будет использоваться исключительно для сбора информации и обнаружения вредоносных и подозрительных приложений на платформе Android.
- Фреймворк состоит из нескольких компонентов, которые предоставляют достаточно ресурсов и механизмов для обнаружения вредоносного ПО на платформе Android.
Во-первых, был разработан легкий клиент под названием Crowdroid, который можно загрузить и установить с Google's Market. Это приложение отвечает за мониторинг системных вызовов ядра Linux и отправку их препроцессированных на централизованный сервер. В соответствии с философией краудсорсинга, пользователи помогут с данными, не являющимися личными, но связанными с поведением каждого приложения, которое они используют. Эти приложения могли быть загружены как с официального рынка, так и из неофициальных репозиториев.
- По всем рыночным показателям в ближайшие 5 лет прогнозируется резкое увеличение количества приобретаемых смартфонов. Это создаст потенциал для значительного увеличения генерации вредоносного ПО, в частности, в секторе, в котором доминирует лидер рынка, потенциально платформа Android.
Также предлагается новая структура для получения и анализа активности приложений смартфона. В сотрудничестве с сообществом пользователей Android он сможет различать доброкачественные и вредоносные приложения с одинаковым именем и версией, выявляя аномальное поведение известных приложений. Кроме того, внедрив такую платформу на ряде тестовых смартфонов, было создано доказательство концепции этого механизма, как средства анализа возникающих угроз.
Мониторинг системных вызовов - это реальный способ обнаружения вредоносных программ. Системный мониторинг вызовов является одним из самых точных технических новшеств для определения поведения приложений Android, так как они предоставляют подробную низкоуровневую информацию.
Мы должны понимать, что методы анализа вызовов API, отслеживания информации или сетевого мониторинга могут способствовать более глубокому анализу вредоносного ПО, предоставляя более полезную информацию о поведении вредоносного ПО и более точные результаты. С другой стороны, расширение возможностей мониторинга приведет к увеличению потребности в ресурсах, потребляемых устройством.
