Эксперты нашли способ обойти антивирусную защиту на Google Play
5 июня 2012 года
Независимые эксперты по информационной безопасности нашли способ обхода автоматической системы защиты от вредоносного ПО в магазине приложений Google Play для платформы Android, свидетельствует видеоролик, опубликованный экспертами на сервисе YouTube.
Bouncer - автоматическая система проверки новых приложений на наличие вредоносного кода - была внедрена Google в феврале, после серии атак на магазин приложений Android Market (прежнее название Google Play). Вследствие тех атак неизвестные киберпреступники разместили в магазине несколько десятков зараженных приложений, которые похищали персональные данные и отсылали SMS на платные номера. Введение автоматического средства проверки программы на вредоносность снизило количество вирусов в Android Market, однако теперь двое независимых исследователей Чарли Миллер (Charlie Miller) и Джон Оберхайд (Jon Oberheide) утверждают, что нашли способ обойти Bouncer.
"На самом деле существует целый ряд уязвимостей, которые позволяют обойти защитные механизмы Bouncer. Некоторые из них легко устранить, а некоторые еще долго будут представлять опасность для магазина Google", - сказал Оберхайд в видеоролике.
Одним из открытых исследователями способов является "обман" системы Bouncer. Перед публикацией в Google Play каждое приложение проходит проверку в этой системе. Для ее "обмана" Оберхайд и Миллер создали тестовое приложение с "обратной связью" - то есть возможностью сообщать владельцам о том, какие действия осуществляются с программой, даже во время ее проверки системой Bouncer. Сама система является виртуальной копией смартфона на Android. Приложение, требующее проверки, запускается на виртуальной машине и тестируется на вредоносные функции. Исследователи "научили" свою программу различать, в какой Android-смартфон - виртуальный или настоящий - она попала. Если программа опознает виртуальную среду, после установки она не активирует вредоносные функции, если они есть, и не скачивает никакого дополнительного кода из сети. В других случаях программа заражает смартфон.
Приложение распознает виртуальную среду по списку друзей и фотографий, хранящихся в памяти. Анализируя действия виртуальной машины, исследователи обнаружили, что всякий раз виртуальный Android-смартфон связан с одним и тем же почтовым аккаунтом (Miles.Karlson@gmail.com), в адресной книге устройства содержится только один контакт (Michelle.k.levin@gmail.com), а в памяти такого смартфона всегда содержится две фотографии - на одной запечатлена кошка, на другой - популярная певица Lady Gaga. Функцию, которая позволяла бы вредоносному приложению находить такие характерные "отпечатки" деятельности виртуальной машины, довольно легко внедрить в вредоносное приложение, утверждают исследователи.
Они однако тут же признают, что не менее легко можно избавиться от "простоты" виртуальной машины, то есть сделать ее содержимое более разнообразным и похожим на содержимое настоящего смартфона. Также Миллер и Оберхайд утверждают что обнаружили еще несколько способов выявления виртуальной среды, которые теоретически могут помочь злоумышленникам обойти антивирусную защиту Google Play. В частности, вирусное приложение можно настроить на определение IP-адресов, принадлежащих Google (если смартфон, в который попала программа, использует их, велика вероятность того, что это тестовое устройство), а также выявление признаков работы ПО для виртуализации. Такой функционал в течение довольно продолжительного времени используется некоторыми троянскими программами для настольных систем и, по мнению исследователей, ничто не мешает использовать его и в мобильной системе.
Подробнее об этих способах исследователи обещают рассказать на конференции по информационной безопасности Summercon 2012, которая пройдет в Нью-Йорке с 8 по 10 июня.
Оба эксперта уже давно тестируют различные мобильные системы на предмет безопасности. Так, Оберхайд в 2010 году доказал, что даже не вредоносные пиратские копии приложений вроде "обновления" игры Angry Birds или приложение-фотоальбом Twilight photos могут незаметно загружать из сети вредоносный код уже после установки в память устройства и модифицировать себя в опасный троянец. Чарли Миллер - один из самых известных в мире испытателей безопасности системы iOS. В частности, в прошлом году он обнаружил в коде операционной системы iPhone и iPad серьезную уязвимость, которая позволяла загружать из сети и исполнять вредоносный код, даже несмотря на то, что Apple использует специальную технологию "подписанных" строчек кода, которая позволяет разработчикам приложений использовать лишь те программные команды, которые одобрили администраторы Apple. Компания выпустила внеочередное обновление, чтобы закрыть обнаруженную Миллером уязвимость, хотя обычно она не торопится и выпускает обновления безопасности в пакете с другими обновлениями раз в несколько месяцев.