- Android приложения для проверки активной защиты вашего устройства
- Test Virus от Itus Mobile Security
- Prueba tu Antivirus
- F-Secure AV Test
- ESET Antivirus Test
- Zoner AntiVirus Test
- IKARUS TestVirus
- Mobile Security Virus Test от Trustport
- MRG Effitas 2021: Тестирование антивирусов для Android
- Обнаружение угроз на ранней стадии
- Обнаружение на этапе установки
- Тест на ложные срабатывания
- Тестовые образцы
- Реальные угрозы из сети
- Симуляция угроз
- Образцы для проверки на ложные срабатывания
- Тестируемые антивирусы
- Итоги тестирования
Android приложения для проверки активной защиты вашего устройства
В последнее время, всё чаще встаёт вопрос о защите устройств, под управлением операционной системы Android. Несмотря на появившийся не так давно встроенный Android антивирус «Google Play Защита», пользователи предпочитают устанавливать антивирусные решения сторонних производителей.
Конечно, наличие установленного антивирусного продукта не обеспечит 100% защиту устройства, но качественная и правильно настроенная антивирусная программа, снижает до минимума шансы воздействия на систему вредоносных программ и файлов.
Для базовой проверки работы мобильного антивируса, можно воспользоваться тестовым EICAR-файлом. Это безвредный файл с определённым содержимым, на который реагируют большинство антивирусных продуктов. Такой способ проверки антивирусов был разработан специально, чтобы удостоверяться в работоспособности антивирусных программ.
Бывают случаи, когда установленный на Android устройство антивирус не обеспечивает полноценную защиту устройства или вообще не функционирует. Например, мог истечь пробный период его работы, или после обновления антивируса, он не функционирует, пока пользователь не запустит приложение вручную и, например, не согласится с обновлённым Лицензионным соглашением.
Также, некоторые бесплатные решения не имеют защиты в режиме реального времени и пользователь должен запускать проверку вручную. Кроме этого, даже в правильно установленном и функционирующем мобильном антивирусе, в настройках могут быть отключены такие полезные функции, как проверка карты памяти, проверка архивов и обнаружение нежелательных программ.
Для проверки своего устройства, можно установить одно из безопасных приложений, которые с помощью тестовых файлов EICAR провоцируют реакцию антивирусной защиты.
Test Virus от Itus Mobile Security
Itus Test Virus позволяет проверить активную защиту вашего антивируса с помощью безопасного тестового файла EICAR и тестового веб-сайта. Антивирусные продукты для Android должны определять это приложение как вредоносное. В приложении реализованы следующие возможности:
- Поддержка Android 4.4 и выше
- Содержит код EICAR для проверки реакции антивирусов
- Извлечение EICAR-файла на карту памяти
- Извлечение zip архива содержащего EICAR-файл на карту памяти
- Переход на тестовый сайт maliciouswebsitetest.com
Из полезных функций, стоит отметить извлечение тестового файла, со случайно генерированными именем, на карту памяти. Это позволит проверить антивирусную защиту в режиме реального времени, в том числе и на угрозы, находящиеся в архивах.
Что касается тестового сайта maliciouswebsitetest.com, который, по заверению разработчиков приложения, должен блокироваться антивирусными программами, то он не содержит вредоносного кода. Также, по результатам проверок на Virustotal и MetaDefender, он блокируется всего одним антивирусным вендором.
Prueba tu Antivirus
Тестовое приложение от испанских разработчиков, позволяющее проверить ваш антивирус на качество защиты в режиме реального времени и полной проверки устройства.
- Поддержка Android 4.4 и выше
- Содержит код EICAR для проверки реакции антивирусов
- Извлечение EICAR-файлов с разными расширениями во внутреннюю память устройства
- Извлечение zip архива содержащего EICAR-файл во внутреннюю память устройства
- Русскоязычный интерфейс
Для начала проверки, понадобится установить приложение и запустить его, игнорируя возможное срабатывание установленного антивируса и разрешив установку. В окне приложения, нажмите Начать тест.
Приложение скопирует несколько EICAR-файлов с разными именами и расширениями, а также zip архив с таким файлом, во внутреннюю память устройства. Обычно, тестовые файлы извлекаются в каталог Android/data/avtester.underdog1987.com.pruebatuantivirus/files.
Если антивирус не среагировал на копирование файлов, то возможно, он не поддерживает функцию защиты в режиме реального времени, или не правильно настроен. Проверьте настройки вашего защитного приложения и повторите тестирование.
Если антивирус не реагирует на извлечение тестовых файлов, то выполните полное сканирование устройства и карты памяти. Если тестовые файлы так и небыли обнаружены, то высока вероятность что устройство защищено не полностью.
F-Secure AV Test
Приложение от F-Secure для проверки работы антивирусных приложений имеет простой интерфейс и лишено каких-либо функций. Когда вы скачиваете или устанавливаете это приложение, ваш антивирус должен определять его как зараженное и заблокировать или рекомендовать удалить его.
- Поддержка Android 4.0.3 и выше
- Содержит код EICAR для проверки реакции антивирусов
ESET Antivirus Test
ESET Antivirus Test — это простое приложение для проверки реагирования антивирусных программ. В нем содержится файл, созданный на основе рекомендаций Европейского института компьютерных антивирусных исследований (EICAR).
- Поддержка Android 4.0.3 и выше
- Содержит код EICAR для проверки реакции антивирусов
Приложение предназначено в первую очередь для проверки устройств, под управлением Android Smart TV и может быть не доступно для других устройств.
Zoner AntiVirus Test
Простое приложение для проверки вашего мобильного антивируса, не имеющая никакого полезного функционала в своём интерфейсе.
- Поддержка Android 1.5 и выше
- Содержит код EICAR для проверки реакции антивирусов
IKARUS TestVirus
Еще одно простое приложение, для проверки защиты вашего устройства от установки вредоносных приложений.
- Поддержка Android 4.0 и выше
- Содержит код EICAR для проверки реакции антивирусов
Mobile Security Virus Test от Trustport
Тестовое приложение от антивирусной лаборатории Trustport. Главное и единственное окно не имеет никаких функции, кроме перехода на официальные сайты института исследований EICAR и собственно разработчика приложения.
- Поддержка Android 2.2 и выше
- Содержит код EICAR для проверки реакции антивирусов
Источник
MRG Effitas 2021: Тестирование антивирусов для Android
Лаборатория MRG Effitas провела расширенное тестирование нескольких антивирусов для Android. Уровень защиты оценивался в реальных сценариях с настоящими вредоносными программами из сети. Также проверялась обработка легитимных образцов, чтобы выявить потенциально слабые места механизмов обнаружения. В отчете собраны результаты тестирований, которые проводилось независимой лабораторией MRG Effitas по следующему сценарию:
- 9 мобильных антивирусов для Android
- 160 вредоносных образцов «in-the-wild»
- 5 симуляторов атак
- 3 сценария реального времени
- Операционная система: Android 8.0
В тестах использовался эмулятор Genymotion с образами ОС Android 8.0.0, актуальными по состоянию на февраль 2021 и май 2021 года. Данная тестовая среда позволяет охватить значительную часть пользовательских устройств, представленных на рынке. Чтобы обеспечить максимальную совместимость с образцами, содержащими нативный ARM-код, в эмуляторе использовался пакет ARM Translation. В случаях, когда широко использовались собственные библиотеки ARM и установка антивируса в эмуляторе x86 не поддерживалась, эксперты лаборатории прибегали к помощи тестовых устройств Nexus 5x на Android 8.0.0. Чтобы обеспечить «чистоту эксперимента» функция Google Play Защита была отключена на устройствах.
Специалисты лаборатории уделяли внимание следующим аспектам тестируемых продуктов.
Обнаружение угроз на ранней стадии
В первом сценарии (Early Stage Detection) оценивалась эффективность обнаружения угроз на раннем этапе, когда тестовые образцы копировались на SD-карту тестового устройства. Устройство еще не было заражено, а вредоносные файлы были загружены и готовы к установке. Действительно качественный антивирус должен обнаруживать угрозы как можно раньше, не позволяя пользователям устанавливать вредоносное ПО на свои устройства. В данном испытании предпринимались следующие шаги:
- Подготовка тестового устройства включала установку и инициализацию антивирусного приложения (принятие лицензионного соглашения, загрузка новейших антивирусных определений, принятие всех запросов предоставления разрешений и др.). При запросе разрешалось сканирование файлов на SD-карте 1 . Если вендор предоставлял дополнительные инструкции по настройке, то они принимались во внимание на данном этапе.
- Настройка мобильного антивируса на сканирование файлов на SD-карте.
- Загрузка тестового набора образцов на SD-карту и запуск сканирования.
- Антивирус был настроен на удаление подозрительных файлов.
- Сканирование запускалось повторно до тех пор, пока не переставали появляться предупреждения или не были удалены все подозрительные файлы.
- Подсчет оставшихся образцов.
Обнаружение на этапе установки
Во втором сценарии (Detection During Installation ) выполнялась установка каждого отдельного тестового экземпляра с целью проверки уровня защиты мобильных антивирусов.
- С помощью инструментария Android Debug Bridge (adb) выполнялась установка вредоносного приложения на устройство. После установки антивирус получал информацию о новом приложении и запускал механизмы обнаружения.
- Антивирусу предоставлялось необходимое время для завершения всех процедур сканирования. 2 3
- Создавался скриншот экрана с результатами проверки. Показ предупреждения или тревожного оповещения рассматривался как успешное прохождение тестового сценария. Все журналы инструмента logcat были сохранены на внешнем устройстве.
- С помощью adb образец удалялся, после чего устанавливался следующий образец.
Примечание: на устройствах Android установка вредоносного приложения не всегда вызывает нежелательные последствия, в отличие от первого запуска, когда вредоносный код непосредственно исполняется. Запуск образца может иметь пагубные последствия с точки зрения безопасности. После первого запуска вредоносная программа, запрашивающая разрешение SYSTEM_ALERT_WINDOW, способна непрерывно отображать пользователю экран запроса доступа к администратору устройства. В таких случаях пользователь не может избавиться от приложения, поскольку у него нет доступа к лаунчеру, меню приложений или к настройкам устройства для удаления приложения. 4
2 Значение задержки (timeout threshold) является критическим аспектом тестирования. Если значение будет слишком низким, результаты теста не будут отражать фактические результаты, так как антивирус не сможет завершить обнаружение. Лаборатория стремится добиться реалистичного значения, поскольку маловероятно, что пользователь ожидает несколько минут после установки, прежде запустить новое приложение, поэтому «слишком позднее» обнаружение или обнаружение без четкого уведомления считается пропуском.
3 На этапе обсуждения результатов ведется активное взаимодействие с вендорами, чтобы устранить проблемы, связанные с превышением времени, и убедиться, что цифры в отчете отражают результаты реалистичного сценария.
4 Чтобы смягчить данный типичный тип вредоносного поведения, команда разработчиков Android API проверила экраны «Администратор устройства» и «Запрос специальных возможностей», чтобы включить флажок, который можно использовать, чтобы ОС не отображала этот экран снова. Эта функция появилась в последних версиях Android API.
Тест на ложные срабатывания
Чтобы провести всестороннюю оценку эффективности защиты участников тестирования, использовался ограниченный набор легитимных образцов. Все они были загружены из известного стороннего магазина приложений, не демонстрировали вредоносное поведение и не запрашивали слишком много сомнительных разрешений.
Тестовые образцы
Реальные угрозы из сети
В тестировании использовался набор из 160 вредоносных образцов. Всех их можно разделить на следующие категории:
- 15% – SMS-платежи (SMSs, SMS Payment). Приложение предоставляет функции отправки SMS-сообщений на платные номера. Большинство выбранных образцов были способны автоматически отправлять SMS и запрашивали системное разрешение SEND_SMS, что приводило к прямым финансовым потерям для жертвы.
- 28% – Трояны (Trojans). Трояны – приложения, которое, согласно описанию, предлагают определенный набор функций. У пользователя складываются определенные ожидания по функциональности, но по факту приложение запрашивает разрешения, которые не соответствуют описанным функциям. Типичным примером является приложение Фонарик, которое может запрашивать доступ к контактам, данным местоположения и к передачи данных.
- 19% – Шпионское ПО (Spyware). Образцы, относящиеся к данной категории, отправляли на внешние сервера информацию, которую можно использовать для отслеживания поведения пользователя и его привычек. Большинство рекламных приложений считаются шпионскими программами, поскольку они отправляют рекламным сетям IMEI, номер телефона, наименование производителя и модель телефона и другие данные.
- 30% – Финансовое ПО / Интернет-банкинг (Financial/banking). Данный тип угроз направлен на кражу денежных средств. Типичная финансовая вредоносная программа проверяет подключение к сеансу мобильного банкинга в браузере и может попытаться показать фишинг-сайт или всплывающее окно. Пользователь может подумать, что данные сеанса внезапно сбросились. Как правило, такие образцы запрашивают разрешение SYSTEM_ALERT_WINDOW, а также разрешение доступа к списку заданий.
- 7% – ПНП (PUA). 5 Термин «Потенциально нежелательные приложения» (ПНП) применяется для описания приложений, которые выполняют действия, не соответствующие намерениям пользователя. Под данную категорию подпадают приложения с агрессивными рекламными модулями, которые позволяют рекламодателям отслеживать активность отдельных пользователей. Для многих пользователей конфиденциальность важнее функциональности, и никакие функции не смогут компенсировать продажу данных активности через Интернет. Антивирусы должны сообщать пользователю об установке ПНП.
Многие образцы могут быть отнесены сразу к нескольких категориям. Например, вредоносное приложение показывает агрессивную рекламу и при этом получается получить доступ к разрешению SEND_SMS для отправки сообщений на платные номера. Рисунок 1 показывает распределение тестовых образцов.
Симуляция угроз
Симуляторы – отдельные образцы, введенные в процесс тестирования для проверки процедур обнаружения. Симуляторы были созданы для имитации модели атаки с использование «стороннего магазина с вредоносными приложениями», предоставляющий пользователям модифицированные версии надежных приложений с бэкдорами и вредоносными модулями.
Образцы-симуляторы были созданы с использованием механизма проверки концепции, использующего методики статического внедрения байтового кода без обфускации вредоносных модулей. Многие образцы симуляторов были модифицированы для реализации функций специальных возможностей, что является общей характеристикой для нескольких семейств вредоносных программ.
Для нужд тестирования использовалось 5 специально созданных образцов симуляторов. Важно подчеркнуть, что эти образцы не были собраны в реальных условиях. В образцах была реализована известная техника эксплуатации функций специальных возможностей Android API, которая используется для чтения содержимого с экрана, SMS-токенов, платежных реквизитов и другой конфиденциальной информации. Симуляторы представляли собой модифицированные версии легитимных приложений Android, которые отправляли данные о нажатиях клавиш, содержимое SMS-сообщений, пароли и другие данные на внешний веб-сервис по HTTP.
Образцы для проверки на ложные срабатывания
Для тестирования на ложные срабатывания использовался набор из 10 безопасных образцов из сторонних магазинов приложений. Приложения запрашивали различные разрешения и предлагали разную функциональность.
Тестируемые антивирусы
В тестировании принимали участие следующие мобильные антивирусы. Кроме решений всем известных имен с хорошей репутацией и богатой истории, в испытании участвовали продукты менее крупных вендоров с небольшой долей рынка. Поскольку в магазине приложений Google Play размещено много антивирусов для Android, приоритет отдавался приложениям защиты с большим количеством загрузок.
Итоги тестирования
Следующие продукты продемонстрировали 99%-ный (и выше) уровень обнаружения вредоносных образцов тестового набора, в котором отсутствовали ПНП. Все они получили сертификат MRG Effitas:
Источник