流行的Android防病毒软件无法检测到克隆的恶意应用程序

一组学者发表的一项新研究发现，Android 的防病毒程序仍然容易受到各种恶意软件的攻击，这可能会带来严重的风险，因为恶意行为者会改进其工具集以更好地逃避分析。

“恶意软件编写者使用隐形突变（变形/迷惑），不断开发恶意软件的克隆，通过基于签名的检测器检测挫败，”研究人员说。“这种克隆攻击严重威胁到所有移动平台，尤其是 Android。”

上周，土耳其阿达纳科技大学和巴基斯坦伊斯兰堡国立科技大学的研究人员在一项研究中发表了这项研究结果。

与 iOS 不同的是，应用程序可以从 Android 设备上的第三方来源下载，这增加了不知情的用户安装未经验证和相似的应用程序的可能性，这些应用程序克隆了合法应用程序的功能，但旨在欺骗目标下载带有欺诈性代码的应用程序。窃取敏感信息。

更重要的是，恶意软件作者可以扩展这项技术，以开发具有不同抽象和混淆级别的流氓软件的多个克隆，以掩饰其真实意图并绕过反恶意软件引擎创建的防御障碍。

为了测试和评估商用反恶意软件产品对这种攻击的弹性，研究人员开发了一种名为 DroidMorph 的工具，该工具允许通过将文件反编译为中间形式，然后修改和编译 Android 应用程序 (APK) 来“变形”创建克隆，包括良性和恶意软件。

研究人员指出，变形可能处于不同的级别，例如涉及更改源代码中的类和方法名称或可能改变程序执行流程（包括调用图和控制流程）的一些重要事情图。

在使用通过 DroidMorph 生成的 1,771 个变形 APK 变体进行的测试中，研究人员发现，17 个领先的商业反恶意软件程序中有 8 个未能检测到任何克隆应用程序，类变形的平均检测率为 51.4%，58.8%对于方法变形，所有程序中观察到的身体变形为 54.1%。

成功绕过的反恶意软件程序包括 LineSecurity、MaxSecurity、DUSecurityLabs、AntivirusPro、360Security、SecuritySystems、GoSecurity 和 LAAntivirusLab。

作为未来的工作，研究人员概述了他们打算在不同级别添加更多混淆，并启用元数据信息的变形，例如嵌入在 APK 文件中的权限，旨在降低检测率。

原文来自: thehackernews.com