一组研究人员已经开发出一种方法被称为质量审查(MassVet)的方法,该方法在应用程序商店发现未知的恶意程序仅需10秒。
一群大学的研究人员创造了一个新方法用于检测恶意程序,该方法需要运行在一个名为MassVet的Android设备。MassVet使用的不是旧的扫描签名的方法,相反,它通过比较那些合法的安全的Android框架来建立那些恶意的框架。
MassVet背后的架构如下图所示:
作者认为MassVet能够在10秒的时间内识别一个恶意程序,并且拥有低误报的可能性:
”与现有的检测机制不同,它经常使用重量级的程序分析技术,我们的方法是将一个已经提交了的应用程序和那些所有已经在市场上的程序进行一个简单的比较。专注于那些共享一个类似UI结构之间的差异(表明可能重新包装的关系),以及那些看似无关的共性。一旦公共运行库和其他合法的代码被重复使用,这些重复使用的代码将被移除。这样的比较常见的程序组件成为高度可疑对象。因其可扩展的,简单的,静态的性质,这种分析方法可以进一步升级。为了查看代码的差同,特征投影技术启用了基于云的快速搜索功能。”他们出版的论文中写道。
研究人员认为,这种新的方法可以帮助找到一个0day的恶意软件,但批评了谷歌只禁止玩家释放恶意负载,并不会阻止恶意负载,导致其他人重复使用的恶意负载的情况:
“另一个有趣的发现是:我们看到,一些开发人员上传的相同或类似的恶意程序,在这些恶意程序被删除后,他们又再次上传了。实际上,在Play store出现的2125个,没有改变的有相同MD5和相同名字的应用程序中,有604个被确认的恶意软件(占了28.4%)。此外,这些开发者还发布了829款应用程序,具有相同的恶意代码(如恶意软件),但在不同的名字。事实上,与已知的含有恶意代码的应用程序相比仍然有下滑,这表明谷歌对于那些恶意程序,甚至有些已知的恶意程序,一直没有给予足够的重视。”
MassVet实现了一个比较算法,但最重要的是,它使用一个比较安全程序和恶意程序的异同的比较机制,这使得它能够更高效、更“聪明”。
MassVet分析了部署在33 个Android应用商店的,大约120万个应用程序,发现127,429个恶意程序,其中有30,552个驻留在Google Play。
这些应用商店令人不安的方面是, 许多可获得这些应用程序的市场上,没有公认的常见的防病毒解决方案。
“我们观察到,大多数扫描仪对于新出现的恶意软件扫描缓慢。VirusTotal确认的所有91648个恶意应用程序中,只有4.1%被至少45个中的25个扫描了其主机。结果呈现在图7中。这一发现还表明了MassVet能狗捕获那些被其他大多数商业扫描仪忽略的新的恶意程序。”
这样的项目很重要,帮助安全社区快速的发现存在于应用程序商店的恶意应用程序。
请允许我展示一下研究人员发表出来的文章。
关于作者中科院信工所的陈恺副研究员
陈恺副研究员目前是在瑞士领先的McAfee安全工程师,同时他也因在知识领域的恶意软件研究、取证,有道德的渗透而闻名。他有过在欧洲议会的主要机构之一工作过的经验。他是一个安全爱好者,并且尽力传播他的知识。他还拥有自己的博客:http://high54security.blogspot.com/