Двое аспирантов, отреагировав на высокую озабоченность возможными атаками на
платформу Android, написали специальные программы для анализа вредоносного кода.
Проект Honeynet помог создать два инструмента, направленные на то, чтобы сделать
анализ вредоносных атак на Android бесплатным и более простым — и, в конечном
счете, помогающие лучше защитить пользующуюся огромной популярностью мобильную
платформу.

Эти новые инструменты с открытым кодом были разработаны в рамках проекта
Google Summer of Code, программы, в которой студенты со всего мира проводят свои
летние каникулы, занимаясь написанием кода для открытого программного
обеспечения. Два студента под руководством Honeynet Project сосредоточились на
вредоносных атаках на Android: один написал программу для статического анализа,
которая называется APKInspector, а другой — инструмент для динамического анализа
системы, названную DroidBox — обе эти программы направлены на то, чтобы
облегчить исследователям реверсивный анализ вредоносного ПО для Android, а
также, позволяют наблюдать и анализировать действия вредоносных приложений.

"Эти два инструмента прекрасно дополняют друг друга и обязательно должны быть
частью инструментария того, кто имеет дело с вредоносным ПО для мобильных
устройств", — говорит Кристиан Зайферт, глава отдела по связям с общественностью
проекта Honeynet. "Мы считаем, что вирусы для мобильных устройств будут
процветать, и не смотря на то, что они схожи с аналогичными вредоносными
программами для ПК, у них есть некоторые уникальные характеристики, которые, в
будущем, повлияют на характеристики всех вредоносных программ".

"Во-первых, вредоносные программы могут быть написаны для того, чтобы
получить доступ к интерфейсу смартфона жертвы, и финансово мотивировать ее,
например, на отправку премиум SMS-сообщений", — говорит он. "Есть некоторые
особые проблемы в области вредоносного ПО для мобильных устройств. Это совсем
новая область, которая еще незнакома специалистам в области компьютерной
безопасности. Поэтому, анализ вредоносных атак, в настоящее время, требует
затраты довольно большого количества ресурсов".

Android — знаковая мобильная платформа, во-первых, из-за своей большой
популярности, а, во-вторых, благодаря своей структуре с изначально открытым
исходным кодом, она уже переполнена не поддающимся контролю количеством
приложений. Множество проведенных исследований выявило слабые стороны в системах
ее безопасности и конфиденциальности.

Сотрудник проекта Honeynet Райан Смит — куратор аспиранта Конг Чжэнга (автора
инструмента APKInspector), говорит, что новые программы позволят заполнить
большие пробелы в анализе атак на Android. Недавно в Android был добавлен
компонент для статического анализа — продукт
IDA Pro,
— говорит он, — но IDA Pro, обычно, стоит около 900$ за лицензию для одного
пользователя.

"[APKInspector] предоставляет инструменты анализа, аналогичные IDA Pro", —
утверждает Смит. "Но наша программа является единственной бесплатной программой
с открытым исходным кодом для приложений Android. Это дает исследователям
возможность загрузить и установить ее".

Инструмент также показывает, где требуется разрешение пользователя на работу
в коде мобильной программы, сообщает он.

DroidBox это "песочница", которая дает возможность исследователю или
аналитику безопасно запускать и изучать вредоносные приложения. "Она позволяет
наблюдать и отслеживать когда приложение делает что-то [вредоносное] … и каким
образом оно это делает", — говорит Смит. "Если у вас есть профиль, и вы хотите,
разобраться в том, как и где что-то происходит в коде, то вы используете
APKInspector, для того, чтобы проанализировать код".

Оба этих инструмента, в равной степени, предназначены как для исследователей,
которые занимаются реверс-инжинирингом, так и для аналитиков по системной
безопасности. И это — первый шаг на пути к усовершенствованию безопасности
платформы Android, по словам Смита.

Информация может быть использована программой по обеспечению безопасности
мобильных устройств для идентификации вредоносных приложений и блокировки любой
вредоносной активности с высокой точностью, говорит он.

Автор APKInspector Чжэнг говорит что о цели создания его инструмента
статического анализа, можно прочесть
здесь — целью
было предложить что-то похожее на IDA Pro для мобильной платформы. "Основной
целью этого проекта является обеспечение слоя визуализации, который, как
правило, отсутствует в существующих дизассемблерах для Android, а также создание
единой платформы, которая приведет несколько существующих
реверсивно-инжиниринговых инструментов Android в единый унифицированный вид и
контекст", — говорит он. "Одним словом, мы просто хотим создать мощный
инструмент статического анализа на платформе Android, как и IDA Pro на платформе
x86".

Создатель DroidBox — аспирант Патрик Ланц выложил альфа-версию своего
динамического анализатора с открытым исходным кодом
здесь (бета-версия
находится в разработке). DroidBox, например, может контролировать запросы
системных приложений к API.

"Мой интерес к участию в этом проекте, по большей части основан на том, что
количество вредоносных приложений для Android вызывает растущую озабоченность, а
общедоступных инструментов, таких как DroidBox, нет. Другим аспектом является
то, что Android имеет открытый исходный код и, это дает возможность изменить его
структуру", — сказал Ланц.



Оставить мнение