Recentemente e' apparsa su siti che si occupano di sicurezza Internet la notizia che Jon Oberheide e Charlie Miller, ricercatori nel campo della sicurezza Android, avrebbero trovato diversi metodi per bypassare lo scanner antimalware che Google Play utilizza come verifica delle applicazioni caricate.
Google Play utilizza uno scanner per il malware Android chiamato Bouncer, che a detta dei due ricercatori potrebbe essere aggirato tramite tecniche di programmazione del codice malevolo che ricordano quanto gia' accade per noti malware PC.
Da tempo infatti, chi vuole analizzare il comportamento di codici malware, es. per PC, utilizza emulatori per osservare in modo sicuro il comportamento di files sospetti quando vengono eseguiti.
Di conseguenza alcuni codici malevoli sono programmati per nascondere i loro comportamento dannoso se rivelano di essere in 'run' in un ambiente emulato.
Attualmente , Google ha sviluppato ed utilizza un servizio chiamato 'Bouncer' per eseguire la scansione tutte le applicazioni che vengono resi disponibili per il download o l'acquisto su Google Play (ex Android Market)
La societa' ha spiegato che Bouncer esegue ogni applicazione all'interno di un emulatore di Android e analizza il suo comportamento per rilevarne eventuali comportamenti malevoli.
I ricercatori citati in premessa avrebbero messo a punto dei sistemi per aggirare queste verifiche consentendo al malware Android di rilevare quando viene analizzato dal Bouncer di Google.
Riassumendo si tratterebbe di nascondere il codice malevolo se questo si 'accorge' di essere eseguito in Bouncer (praticamente non compiendo nessuna operazione 'sospetta' che possa venire rivelata dallo scanner Google ) mentre ad esempio, scaricare un exploit da server remoto se il malware rileva di essere in 'run' in un reale dispositivo mobile.
Come si legge in rete, attraverso una semplice applicazione Android che permette di eseguire comandi Linux sul dispositivo dove il software viene eseguito, i ricercatori avrebbero potuto acquisire informazioni sull'ambiente Bouncer.
Infatti, dopo aver creato un falso account di sviluppatore per giochi Google, la loro applicazione al momento di essere eseguita in Bouncer avrebbe “richiamato casa” permettendo di raccogliere informazioni sull'ambiente dello scanner malware, in pratica una impronta digitale di Bouncer, da usare poi per creare un codice malevolo che rilevasse quando eseguito in Bouncer o su reale dispositivo mobile, tablet ecc...
Tuttavia, Oberheide ha detto che la connect-back shell, non e' l'unico metodo che puo' essere utilizzata per le impronte digitali Bouncer ed i ricercatori hanno intenzione di presentare diverse tecniche che hanno sviluppato per questo scopo.
Anche se i due ricercatori sono in contatto con il team di sicurezza Android per risolvere alcuni dei problemi scoperti, non sara' comunque facile rilevare e bloccare le tecniche di 'fingerprinting' del malware.
Il problema e' infatti che se per rilevare o meno il fatto di essere eseguito in macchina virtuale (Bouncer) il malware usa tecniche utilizzate anche da legittime applicazioni Android, potrebbero esserci parecchi falsi positivi generati, cosa che contrasta con le intenzioni di Google di mantenere il rapporto di falsi rilevamenti positivi ad un livello basso.
Inoltre non sarebbe molto facile rendere nascosto ad una applicazione che la stessa sta girando in Bouncer anziche' in un reale ambiente Android.
Da tempo infatti, chi vuole analizzare il comportamento di codici malware, es. per PC, utilizza emulatori per osservare in modo sicuro il comportamento di files sospetti quando vengono eseguiti.
Di conseguenza alcuni codici malevoli sono programmati per nascondere i loro comportamento dannoso se rivelano di essere in 'run' in un ambiente emulato.
Attualmente , Google ha sviluppato ed utilizza un servizio chiamato 'Bouncer' per eseguire la scansione tutte le applicazioni che vengono resi disponibili per il download o l'acquisto su Google Play (ex Android Market)
La societa' ha spiegato che Bouncer esegue ogni applicazione all'interno di un emulatore di Android e analizza il suo comportamento per rilevarne eventuali comportamenti malevoli.
I ricercatori citati in premessa avrebbero messo a punto dei sistemi per aggirare queste verifiche consentendo al malware Android di rilevare quando viene analizzato dal Bouncer di Google.
Riassumendo si tratterebbe di nascondere il codice malevolo se questo si 'accorge' di essere eseguito in Bouncer (praticamente non compiendo nessuna operazione 'sospetta' che possa venire rivelata dallo scanner Google ) mentre ad esempio, scaricare un exploit da server remoto se il malware rileva di essere in 'run' in un reale dispositivo mobile.
Come si legge in rete, attraverso una semplice applicazione Android che permette di eseguire comandi Linux sul dispositivo dove il software viene eseguito, i ricercatori avrebbero potuto acquisire informazioni sull'ambiente Bouncer.
Infatti, dopo aver creato un falso account di sviluppatore per giochi Google, la loro applicazione al momento di essere eseguita in Bouncer avrebbe “richiamato casa” permettendo di raccogliere informazioni sull'ambiente dello scanner malware, in pratica una impronta digitale di Bouncer, da usare poi per creare un codice malevolo che rilevasse quando eseguito in Bouncer o su reale dispositivo mobile, tablet ecc...
Tuttavia, Oberheide ha detto che la connect-back shell, non e' l'unico metodo che puo' essere utilizzata per le impronte digitali Bouncer ed i ricercatori hanno intenzione di presentare diverse tecniche che hanno sviluppato per questo scopo.
Anche se i due ricercatori sono in contatto con il team di sicurezza Android per risolvere alcuni dei problemi scoperti, non sara' comunque facile rilevare e bloccare le tecniche di 'fingerprinting' del malware.
Il problema e' infatti che se per rilevare o meno il fatto di essere eseguito in macchina virtuale (Bouncer) il malware usa tecniche utilizzate anche da legittime applicazioni Android, potrebbero esserci parecchi falsi positivi generati, cosa che contrasta con le intenzioni di Google di mantenere il rapporto di falsi rilevamenti positivi ad un livello basso.
Inoltre non sarebbe molto facile rendere nascosto ad una applicazione che la stessa sta girando in Bouncer anziche' in un reale ambiente Android.
Edgar
Nessun commento:
Posta un commento