DARMS: Универсальный щит от Android malware, крадущего данные через специальные возможности

от

Исследователи разработали новый инструмент, помогающий выявлять вредоносное ПО, которое скрытно использует специальные возможности телефонов, и удалять его. Функции универсального доступа, такие как чтение с экрана и преобразование голоса в текст, значительно упростили использование смартфонов людьми с ограниченными возможностями. Однако эти же инструменты могут стать лазейкой для хакеров. Вредоносные программы, включая изощренный Android malware, способны злоупотреблять службами доступности для считывания содержимого экрана, перехвата учетных данных и даже выполнения действий от имени пользователя.

Уязвимость специальных возможностей Android

Специальные возможности (Accessibility Services) в Android предоставляют приложениям расширенные права для взаимодействия с пользовательским интерфейсом. Это необходимо для помощи пользователям с нарушениями зрения, слуха или моторики. Но именно эти расширенные права и привлекают злоумышленников.

Как хакеры используют службы доступности?

Вредоносное ПО, получив разрешение на использование служб доступности (часто обманом заставляя пользователя его предоставить), может:

  • Считывать информацию с экрана: включая логины, пароли, номера банковских карт, сообщения в мессенджерах.
  • Имитировать нажатия на экран: подтверждать транзакции в банковских приложениях, изменять настройки безопасности, устанавливать другие вредоносные приложения.
  • Перехватывать вводимые данные: например, с помощью кейлоггера записывать все, что пользователь набирает на клавиатуре.
  • Скрывать свою активность: вредоносное ПО может работать в фоновом режиме, не показывая никаких видимых признаков своего присутствия.

    • Такая активность особенно опасна, потому что она имитирует обычные действия пользователя, что затрудняет ее обнаружение традиционными антивирусными программами.

    DARMS: Новый инструмент для обнаружения скрытых угроз

    Исследователи из Технологического института Джорджии (Georgia Tech) разработали DARMS (Device-Agnostic Representation of Mobile Application Security) — новый подход для выявления вредоносных программ, эксплуатирующих службы доступности Android.

    Принцип работы DARMS

    В отличие от существующих методов, которые часто полагаются на известные сигнатуры вредоносного ПО или анализ поведения в виртуальной среде, DARMS фокусируется на анализе взаимодействия приложения с пользовательским интерфейсом (UI).

    Ключевые особенности DARMS:

    1. Анализ состояний UI: DARMS отслеживает, как приложение переходит между различными экранами и элементами интерфейса.
    2. Создание модели поведения: На основе этих переходов строится модель (конечный автомат), описывающая типичное поведение приложения при использовании служб доступности.
    3. Сравнение с эталонами: Модель поведения подозрительного приложения сравнивается с моделями заведомо легитимных и вредоносных приложений. Это позволяет выявить аномалии, характерные для вредоносной активности, такой как кража данных или несанкционированные действия.
    4. Независимость от устройства: Метод не зависит от конкретной модели устройства или версии Android, что делает его универсальным.

    По сути, DARMS учится распознавать “подозрительные” последовательности действий с интерфейсом, которые типичны для кражи данных или управления устройством через службы доступности.

    Эффективность DARMS против Android Malware

    Для оценки эффективности DARMS исследователи протестировали его на наборе из 120 приложений, использующих службы доступности. В этот набор вошли 60 легитимных приложений и 60 вредоносных программ, известных своей способностью злоупотреблять этими службами.

    Результаты оказались впечатляющими:

  • DARMS смог правильно идентифицировать 98,8% вредоносных приложений.
  • В то же время популярные платформы для анализа вредоносного ПО, такие как VirusTotal и Koodous, показали значительно более низкие результаты — 71% и 68,8% соответственно.

    • Такая разница объясняется тем, что традиционные сканеры часто ищут известные фрагменты кода (сигнатуры) или анализируют поведение в контролируемой среде. Однако создатели Android malware постоянно используют методы обфускации (запутывания кода) и умело маскируют вредоносные действия под легитимные, обходя стандартные проверки. DARMS, анализируя именно структуру взаимодействия с UI, оказывается более устойчивым к таким уловкам.

    Будущее DARMS и безопасность мобильных устройств

    Исследователи видят большой потенциал в своей разработке. Они планируют интегрировать DARMS в платформы для анализа приложений, подобные VirusTotal, чтобы улучшить их возможности по выявлению угроз, использующих службы доступности. Также рассматривается возможность адаптации DARMS для других мобильных платформ, таких как iOS, хотя там архитектура служб доступности отличается.

    Разработка таких инструментов, как DARMS, чрезвычайно важна, поскольку атаки через службы доступности становятся все более распространенными и изощренными. Они представляют серьезную угрозу для конфиденциальности данных и финансовой безопасности пользователей Android-устройств. Повышение точности обнаружения такого типа вредоносного ПО — ключевой шаг к более безопасной мобильной среде для всех.

    Источник

    Оставьте комментарий