Найден способ обойти все антивирусы для Android

Безопасность Стратегия безопасности Техника
мобильная версия
, Текст: Валерия Шмырова

Американские исследователи создали программный инструмент AVPass, который с успехом обходит антивирусы для Android. Инструмент генерирует фальшивые фрагменты вирусов и отсылает их на проверку антивирусу, собирая таки образом данные о его работе. Из 58 протестированных антивирусов проверку выдержали только два.


AVPass против антивирусов

Исследователи из Технологического института Джорджии, США, создали программный инструмент для обхода антивирусов, предназначенных для защиты ОС Android. Инструмент получил название AVPass. В ходе тестов, проведенных с помощью службы обнаружения вредоносного ПО VirusTotal, AVPass смог обмануть почти все из 58 антивирусов, которые участвовали в эксперименте. Исследователи планируют представить новинку на следующей неделе на конференции Black Hat USA 2017 в Лас-Вегасе, США.

По словам Макса Волоцки (Max Wolotsky), аспиранта Технологического института Джорджии и одного из авторов проекта, AVPass просто делает невидимым для антивируса вредоносное ПО, которое поступает в мобильное устройство. Технология, заложенная в AVPass, может работать и с другими ОС. В скором времени исследователи планируют протестироватьсвое изобретение на десктопной версии Windows.

Технические особенности

AVPass состоит из нескольких компонентов. Один из них — функционал, предназначенный для проверки возможностей антивируса Android по обнаружению вредоносного ПО. Другой компонент — генератор вирусов, который создает множество вариаций одного образца. Также присутствует аналитическая система, она обрабатывает полученные результаты и использует эту информацию, чтобы обойти антивирус.

AVPass эксплуатирует методы внутреннего обнаружения и логику кода антивирусных систем. Для тестирования антивируса он отсылает фальшивые вариации фрагментов вредоносных кодов, чтобы не показывать весь образец на стадии проверки. Потом код модифицируется на основании данных о реакции антивируса на фрагменты.

Всего два антивируса из 58 смогли защитить Android от хакерского инструмента AVPass

По словам Волоцки, чем более сложные у антивируса правила обнаружения вредоносного ПО, тем больше у него шансов выстоять. Но, как оказалось, у многих популярных антивирусов эти правила довольно просты. Чтобы обмануть слабую защиту, AVPass достаточно провести обфускацию одной функции.

Из антивирусов, против которых применяли AVPass, только AhnLab и WhiteArmour смогли в большинстве случаев его остановить. Остальные 56 антивирусов распознавали созданные им коды лишь в 6% случаев. Теоретически антивирусы для Android могут защититься от атаки AVPass разными способами — например, генерируя нулевые ответы, чтобы инструмент не мог собрать данные об их возможностях.

Новый антивирус Android

В мае Google представила пользователям новую версию своей фирменной ОС — Android 8.0. Одновременно компания сообщила о запуске собственного антивируса для Android под названием Google Play Protect. Разработчики уже внедряют его в сервисы Google Play, вскоре он будет доступен для скачивания в магазине приложений.

Google Play Protect будет выполнять сразу несколько задач: сканировать устройство на наличие вредоносного ПО, отслеживать потерянные или украденные смартфоны, а также выполнять на них по желанию владельца различные действия — удаление данных, блокировка и т. д. Кроме того, антивирус будет использоваться для обеспечения функции «Безопасный просмотр» в браузере Chrome.