Sannio大学(イタリア)の研究者グループは、有名なAndroidウイルスを「白くてふわふわ」にするのがいかに簡単かを示しました。 保護をバイパスする悪意のあるコードを書くのは簡単ではありませんが、新しいファイルを生成することでウイルスをマスクできる方法があります。
このようなプログラムの作成と生成の違いは、2番目の場合、プログラムの「作成者」はコード行を記述せず、「作成」ボタンをクリックするだけです。
研究者は、マルウェア自体の動作に影響を与えることなくコードの形状を変更するモバイルスクリプトを作成するために、最大8つのオプションを使用するエンジンを作成しました。
開発者は、エンジンを「ウイルスのランドリー」と呼びました。
このエンジンは、Android用のマルウェア研究者によって開発され、次のようなシナリオで機能します。
•分解および再組立(分解および再組立)。
•再梱包
•パッケージ名の変更
•識別子の名前の変更(識別子の名前変更)
•データエンコーディング
•間接コール(コールの間接化)
•コードの並べ替え
•ジャンクコードの挿入
•複合変換
研究者は、エンジンを使用して5560種類のマルウェアを変更しましたが、57種類のマルウェア保護メーカーが危険だと判断しました。 開発者は、57の有名なウイルス対策プログラムで悪意のあるソリューションをテストしました。 ただし、変更後、これらのすべてのウイルス対策ソフトウェアは、すでに知っているウイルスのほとんどを認識しなくなりましたが、少しマスクされました。
「既知の署名に対するモバイル環境の基本的な検出アルゴリズムは効果的ですか?」 Androidアプリケーションのコードに小さな変更を適用するスクリプトを開発しました。 次に、この修飾子を実際の既知のウイルスに適用し、変更の前後にWebサイトwww.virustotal.comにアプリケーションを送信し、テストの結果を「変更前」と「変更後」に記録しました。 -チームリーダーのコラードヴィザジオ教授-「結果は印象的です。アンチウイルスはわずかに変更されたウイルスを認識できませんでした(認識される前)」
テストの結果、一部のウイルスは修正後もアンチウイルスによって認識されましたが、これは小さな部分でした。
-この表の最初の列:保護のメーカー、2番目-認識されたウイルスの数(変換前)、3番目の-変換後の認識されたウイルスの数(赤)。
「ウイルスのランドリー」ファイルを実験するためのエンジンは、オープンソースライセンスの下で科学的な目的のために実装され、GitHubで入手できます 。 テストの詳細(英語) 。
このようなテストでは、マルウェアの生成を制限する可能性について議論が行われました。専門家は、わずかに変更された既知のウイルスを使用する場合、行を書かずにウイルスを作成できることを示しました。
さらに、これらの調査では、環境の変化によってITの脆弱性がどの程度変化するかが示されました。この場合、モバイル環境(Googleが予測している、すべてが動いている)について話しています。コード内で、またはごくわずかな変更のみを行うと、「親」ウイルスコードに既に精通しているほとんどのウイルス対策ソフトウェアを認識しないマルウェアが発生します。
彼らが言うように:新しい-よく忘れられた古い!
メッセージに基づいて
SIM-CLOUD-ドイツのフェールオーバークラウド
ドイツの信頼できるデータセンターの専用サーバー!
あらゆる構成、迅速な組み立て、無料インストール