Positive Technologies: использование ИИ может снизить стоимость создания вредоносных клонов Android-приложений до нескольких рублей
Нейросети способны за несколько минут внести изменения в установочный файл Android-приложения, пересобрать его и сохранить работоспособность, показало исследование Positive Technologies. Стоимость одного успешного результата в эксперименте составила от 0,88 до 40,89 руб.
Фокусом исследования стал один из сценариев атаки для владельцев мобильных приложений — возможность несанкционированного изменения клиентской части Android-приложения с сохранением его работоспособности. В контролируемой лабораторной среде эксперты Positive Technologies проверили, как нейросети могут быть использованы для автоматизации отдельных этапов такого сценария. Для эксперимента была сформирована выборка из 90 Android-приложений из разных категорий. В эксперименте специалисты не внедряли вредоносную функциональность и не затрагивали пользователей или реальные данные. Проверка была построена на нейтральном изменении в коде, которое позволяло понять, сохранит ли приложение работоспособность после вмешательства. Это помогло оценить риск появления измененных версий приложений без моделирования реальной атаки. Аналогичный подход может использоваться злоумышленниками для добавления другой функциональности: например, перехвата данных, изменения поведения приложения или взаимодействия с внешними сервисами.
На практике такой сценарий может быть опасен для компаний, которые развивают мобильные сервисы, но не используют достаточную защиту кода. Модифицированный APK-файл (формат установочного архива для операционной системы Android) может распространяться под видом оригинального приложения — через неофициальные магазины, тематические сайты, мессенджеры или под видом «улучшенной» версии с расширенными функциями. Риск особенно высок в ситуациях, когда приложение недоступно в официальном магазине или пользователи сами ищут альтернативные сборки. Для компаний этот риск означает необходимость регулярно проверять, насколько их мобильные приложения устойчивы к анализу, изменению клиентского кода и созданию клонов. Для таких задач Positive Technologies развивает PT Maze — сервис защиты мобильных приложений от реверс-инжиниринга. Он применяет методы обфускации, шифрования и виртуализации кода, а также встраивает дополнительные проверки, препятствующие динамическому анализу, поиску уязвимостей и созданию клонов.
По результатам исследования проприетарные нейросети (языковые модели, которые принадлежат конкретным компаниям) в среднем успешно справлялись с задачей в 84% попыток, модели с открытыми весами (нейросети, чьи числовые параметры выложены в открытый доступ) — в 61% случаев. Под попыткой в исследовании понимался запуск модели в лабораторной среде для работы с конкретным приложением из выборки. В контролируемой среде модели проходили проверочный сценарий в среднем за 14 итераций взаимодействия. Среднее время выполнения составляло от 5 минут 38 секунд до 9 минут 9 секунд в зависимости от модели. Стоимость также оказалась низкой. За бюджет в несколько тысяч рублей злоумышленник потенциально может провести попытки модификации сотни популярных Android-приложений.
«Большие языковые модели не создают принципиально новый класс угроз для мобильных приложений, но могут снижать порог входа для злоумышленников. Если приложение слабо защищено от анализа и изменения клиентского кода, отдельные этапы подготовки его измененной версии могут стать быстрее и дешевле. Для владельцев мобильных сервисов это означает, что защиту нужно рассматривать не только на уровне серверной инфраструктуры, но и на уровне самого приложения», — отметил Николай Анисеня, руководитель разработки PT Maze.
Эксперты Positive Technologies рекомендуют компаниям, развивающим мобильные приложения, регулярно проверять их устойчивость к реверс-инжинирингу, изменению клиентского кода и созданию клонов — в том числе с помощью специализированных сервисов анализа защищенности. Также важно отслеживать появление неофициальных APK-файлов, предупреждать пользователей о рисках установки приложений из непроверенных источников и внедрять защитные механизмы еще на этапе разработки. Для повышения защищенности кода приложения стоит внедрять AppSec в разработку. Применение практик безопасности сокращает количество уязвимостей и слабых мест в продукте еще на этапе написания кода и позволяет устранить угрозы до того, как приложение или его обновление станет доступным пользователям.



