Вирус для андроид тест

MRG Effitas 2021: Тестирование антивирусов для Android

Лаборатория MRG Effitas провела расширенное тестирование нескольких антивирусов для Android. Уровень защиты оценивался в реальных сценариях с настоящими вредоносными программами из сети. Также проверялась обработка легитимных образцов, чтобы выявить потенциально слабые места механизмов обнаружения. В отчете собраны результаты тестирований, которые проводилось независимой лабораторией MRG Effitas по следующему сценарию:

• 9 мобильных антивирусов для Android
• 160 вредоносных образцов «in-the-wild»
• 5 симуляторов атак
• 3 сценария реального времени
• Операционная система: Android 8.0

В тестах использовался эмулятор Genymotion с образами ОС Android 8.0.0, актуальными по состоянию на февраль 2021 и май 2021 года. Данная тестовая среда позволяет охватить значительную часть пользовательских устройств, представленных на рынке. Чтобы обеспечить максимальную совместимость с образцами, содержащими нативный ARM-код, в эмуляторе использовался пакет ARM Translation. В случаях, когда широко использовались собственные библиотеки ARM и установка антивируса в эмуляторе x86 не поддерживалась, эксперты лаборатории прибегали к помощи тестовых устройств Nexus 5x на Android 8.0.0. Чтобы обеспечить «чистоту эксперимента» функция Google Play Защита была отключена на устройствах.

Специалисты лаборатории уделяли внимание следующим аспектам тестируемых продуктов.

Обнаружение угроз на ранней стадии

В первом сценарии (Early Stage Detection) оценивалась эффективность обнаружения угроз на раннем этапе, когда тестовые образцы копировались на SD-карту тестового устройства. Устройство еще не было заражено, а вредоносные файлы были загружены и готовы к установке. Действительно качественный антивирус должен обнаруживать угрозы как можно раньше, не позволяя пользователям устанавливать вредоносное ПО на свои устройства. В данном испытании предпринимались следующие шаги:

1. Подготовка тестового устройства включала установку и инициализацию антивирусного приложения (принятие лицензионного соглашения, загрузка новейших антивирусных определений, принятие всех запросов предоставления разрешений и др.). При запросе разрешалось сканирование файлов на SD-карте 1 . Если вендор предоставлял дополнительные инструкции по настройке, то они принимались во внимание на данном этапе.
2. Настройка мобильного антивируса на сканирование файлов на SD-карте.
3. Загрузка тестового набора образцов на SD-карту и запуск сканирования.
4. Антивирус был настроен на удаление подозрительных файлов.
5. Сканирование запускалось повторно до тех пор, пока не переставали появляться предупреждения или не были удалены все подозрительные файлы.
6. Подсчет оставшихся образцов.

Обнаружение на этапе установки

Во втором сценарии (Detection During Installation ) выполнялась установка каждого отдельного тестового экземпляра с целью проверки уровня защиты мобильных антивирусов.

1. С помощью инструментария Android Debug Bridge (adb) выполнялась установка вредоносного приложения на устройство. После установки антивирус получал информацию о новом приложении и запускал механизмы обнаружения.
2. Антивирусу предоставлялось необходимое время для завершения всех процедур сканирования. 2 3
3. Создавался скриншот экрана с результатами проверки. Показ предупреждения или тревожного оповещения рассматривался как успешное прохождение тестового сценария. Все журналы инструмента logcat были сохранены на внешнем устройстве.
4. С помощью adb образец удалялся, после чего устанавливался следующий образец.

Примечание: на устройствах Android установка вредоносного приложения не всегда вызывает нежелательные последствия, в отличие от первого запуска, когда вредоносный код непосредственно исполняется. Запуск образца может иметь пагубные последствия с точки зрения безопасности. После первого запуска вредоносная программа, запрашивающая разрешение SYSTEM_ALERT_WINDOW, способна непрерывно отображать пользователю экран запроса доступа к администратору устройства. В таких случаях пользователь не может избавиться от приложения, поскольку у него нет доступа к лаунчеру, меню приложений или к настройкам устройства для удаления приложения. 4

2 Значение задержки (timeout threshold) является критическим аспектом тестирования. Если значение будет слишком низким, результаты теста не будут отражать фактические результаты, так как антивирус не сможет завершить обнаружение. Лаборатория стремится добиться реалистичного значения, поскольку маловероятно, что пользователь ожидает несколько минут после установки, прежде запустить новое приложение, поэтому «слишком позднее» обнаружение или обнаружение без четкого уведомления считается пропуском.

3 На этапе обсуждения результатов ведется активное взаимодействие с вендорами, чтобы устранить проблемы, связанные с превышением времени, и убедиться, что цифры в отчете отражают результаты реалистичного сценария.

4 Чтобы смягчить данный типичный тип вредоносного поведения, команда разработчиков Android API проверила экраны «Администратор устройства» и «Запрос специальных возможностей», чтобы включить флажок, который можно использовать, чтобы ОС не отображала этот экран снова. Эта функция появилась в последних версиях Android API.

Тест на ложные срабатывания

Чтобы провести всестороннюю оценку эффективности защиты участников тестирования, использовался ограниченный набор легитимных образцов. Все они были загружены из известного стороннего магазина приложений, не демонстрировали вредоносное поведение и не запрашивали слишком много сомнительных разрешений.

Тестовые образцы

Реальные угрозы из сети

В тестировании использовался набор из 160 вредоносных образцов. Всех их можно разделить на следующие категории:

• 15% – SMS-платежи (SMSs, SMS Payment). Приложение предоставляет функции отправки SMS-сообщений на платные номера. Большинство выбранных образцов были способны автоматически отправлять SMS и запрашивали системное разрешение SEND_SMS, что приводило к прямым финансовым потерям для жертвы.
• 28% – Трояны (Trojans). Трояны – приложения, которое, согласно описанию, предлагают определенный набор функций. У пользователя складываются определенные ожидания по функциональности, но по факту приложение запрашивает разрешения, которые не соответствуют описанным функциям. Типичным примером является приложение Фонарик, которое может запрашивать доступ к контактам, данным местоположения и к передачи данных.
• 19% – Шпионское ПО (Spyware). Образцы, относящиеся к данной категории, отправляли на внешние сервера информацию, которую можно использовать для отслеживания поведения пользователя и его привычек. Большинство рекламных приложений считаются шпионскими программами, поскольку они отправляют рекламным сетям IMEI, номер телефона, наименование производителя и модель телефона и другие данные.
• 30% – Финансовое ПО / Интернет-банкинг (Financial/banking). Данный тип угроз направлен на кражу денежных средств. Типичная финансовая вредоносная программа проверяет подключение к сеансу мобильного банкинга в браузере и может попытаться показать фишинг-сайт или всплывающее окно. Пользователь может подумать, что данные сеанса внезапно сбросились. Как правило, такие образцы запрашивают разрешение SYSTEM_ALERT_WINDOW, а также разрешение доступа к списку заданий.
• 7% – ПНП (PUA). 5 Термин «Потенциально нежелательные приложения» (ПНП) применяется для описания приложений, которые выполняют действия, не соответствующие намерениям пользователя. Под данную категорию подпадают приложения с агрессивными рекламными модулями, которые позволяют рекламодателям отслеживать активность отдельных пользователей. Для многих пользователей конфиденциальность важнее функциональности, и никакие функции не смогут компенсировать продажу данных активности через Интернет. Антивирусы должны сообщать пользователю об установке ПНП.

Многие образцы могут быть отнесены сразу к нескольких категориям. Например, вредоносное приложение показывает агрессивную рекламу и при этом получается получить доступ к разрешению SEND_SMS для отправки сообщений на платные номера. Рисунок 1 показывает распределение тестовых образцов.

Симуляция угроз

Симуляторы – отдельные образцы, введенные в процесс тестирования для проверки процедур обнаружения. Симуляторы были созданы для имитации модели атаки с использование «стороннего магазина с вредоносными приложениями», предоставляющий пользователям модифицированные версии надежных приложений с бэкдорами и вредоносными модулями.

Образцы-симуляторы были созданы с использованием механизма проверки концепции, использующего методики статического внедрения байтового кода без обфускации вредоносных модулей. Многие образцы симуляторов были модифицированы для реализации функций специальных возможностей, что является общей характеристикой для нескольких семейств вредоносных программ.

Для нужд тестирования использовалось 5 специально созданных образцов симуляторов. Важно подчеркнуть, что эти образцы не были собраны в реальных условиях. В образцах была реализована известная техника эксплуатации функций специальных возможностей Android API, которая используется для чтения содержимого с экрана, SMS-токенов, платежных реквизитов и другой конфиденциальной информации. Симуляторы представляли собой модифицированные версии легитимных приложений Android, которые отправляли данные о нажатиях клавиш, содержимое SMS-сообщений, пароли и другие данные на внешний веб-сервис по HTTP.

Образцы для проверки на ложные срабатывания

Для тестирования на ложные срабатывания использовался набор из 10 безопасных образцов из сторонних магазинов приложений. Приложения запрашивали различные разрешения и предлагали разную функциональность.

Тестируемые антивирусы

В тестировании принимали участие следующие мобильные антивирусы. Кроме решений всем известных имен с хорошей репутацией и богатой истории, в испытании участвовали продукты менее крупных вендоров с небольшой долей рынка. Поскольку в магазине приложений Google Play размещено много антивирусов для Android, приоритет отдавался приложениям защиты с большим количеством загрузок.

Итоги тестирования

Следующие продукты продемонстрировали 99%-ный (и выше) уровень обнаружения вредоносных образцов тестового набора, в котором отсутствовали ПНП. Все они получили сертификат MRG Effitas:

Источник

Как проверить телефон Android на вирусы

Android — это операционная система с открытым исходным кодом, которая установлена на 85% смартфонов в мире. Оба эти фактора играют на пользу разработчикам вредоносного софта, упрощая способ заражения телефонов вирусами.

На защиту девайсов становятся антивирусы, предустановленные в магазин приложений, прошивку или загруженные отдельно. Далее расскажем, как проверить телефон Android на вирусы и какие угрозы невозможно обнаружить/обезвредить противовирусным софтом.

Какие бывают вирусы

Условно, зараженный софт делят на:

1. Шпионский — после проникновения в устройство, получает доступ к личной информации пользователя и передает ее на удаленные сервера.
2. Троянский — маскируются под обычные приложения, стараются заразить как можно больше файлов и проникнуть на другие устройства.
3. Майнерский — используют однокристальную систему, чтобы майнить криптовалюту.

Встречается зараженный софт/файлы, которые не причиняют вреда устройству и необходимы для заражения других устройств:

При подключении к ПК. Передаче документа по Bluetooth, электронной почте или в мессенджере.

Как определить заражение

Симптомы заражения смартфона вирусами:

В шторке уведомлений появляются рекламные объявления. Телефон звонит и отправляет СМС на неизвестные, платные номера. На рабочем столе появляются ярлыки приложений, которые не устанавливал пользователь. Чрезмерный нагрев устройства без нагрузки (может появиться после сильного удара девайса или попадания внутрь влаги).

Самые опасные вирусы

Существует тысячи угроз для смартфонов разного уровня, но на их фоне выделяются 3 самых интересных:

1. Triada — троян, который, после проникновения на устройство, собирает о нем информацию и делится ей с удаленным сервером. Оттуда приходит инструкция о способе получить доступ к системе девайса, чтобы оставаться незаметным для антивирусного ПО. Главная цель трояна — перехватывать платежи в интернет-магазинах и интернет-банкингах, переводя деньги на чужие счета.
2. xHelper — троян интегрируется с сервисам Google и начинает присылать пользователям рекламу. Его невозможно удалить даже при возвращении настроек к заводскому состоянию.
3. Dirty COW —хакеры используют недоработку в ядре Linux, чтобы получить ROOT-права доступа и полностью захватить устройство. Опасности подвержены модели на базе Android с версии 1.0 до 6.0.1.

В 2015-2017 годах, неизвестные китайские производители предустанавливали в свою прошивку Triada и другой вредоносный софт.

Проверка на вирусы

Упомянем все способы, как проверить устройство, используя встроенный софт и антивирусы.

Используем Play Защиту

В Play Маркет ежедневно загружают сотни приложений и игр, которые проходят автоматическую модерацию, что оставляет шанс пропустить проект, зараженный вирусом. Учитывая эту проблему, Google добавила в свой магазин антивирус:

Шаг 1. Откройте Play Маркет.

Шаг 2. Тапните по аватару учетной записи.

Шаг 3. Выберите «Play Защита».

Шаг 4. Тапните по «Проверить». Начнется сканирование программ, установленных из магазина.

Шаг 5. Дождитесь окончания проверки.

Шаг 6. При обнаружении проблем, появится сообщение в шторке уведомлений.

Play Защита работает в фоновом режиме, самостоятельно проверяя приложения раз в 6-12 часов.

Встроенный антивирус

Бренды Xiaomi, Samsung, Realme, Oppo и другие добавляют в фирменные прошивки приложения для очистки и защиты смартфона от вирусов. Как с ними работать:

Шаг 1. Запустите приложение «Очистка», «Безопасность» или подобное.

Шаг 2. В списке инструментов выберите «Антивирус» или «Поиск вирусов».

Шаг 3. Стартует автоматическое сканирование файловой системы, установленного софта.

Чтобы увеличить эффективность сканирования:

Шаг 1. Откройте «Настройки» в окне проверки — имеют форму шестеренки.

Шаг 2. Включите «Полное сканирование», проверьте «Обновление БД» и активируйте дополнительные инструменты «AI-механизм», «Обычная проверка».

Почему не стоит полагаться на предустановленный антивирус:

1. Производитель может отключить обнаружение вредоносного софта, предустановленного в прошивку.
2. Имеющиеся базы данных уступают аналогам от крупных антивирусов, о которых расскажем ниже.
3. На смартфонах, лишившихся поддержи, противовирусные базы не обновляются вовсе.

Антивирусы из Play Маркет

У всех крупных производителей антивирусного обеспечения, есть мобильные версии антивирусов, доступные на Android. Все они выложены в Play Маркет, похожи интерфейсом, но отличаются базами данных. В качестве примера рассмотрим Kaspersky Internet Security.

Шаг 1. Запустите приложение после установки.

Шаг 2. Прочтите пользовательское соглашение.

Шаг 3. Предоставьте доступ к памяти устройства.

Шаг 4. Пропустите окно с предложением купить платную подписку.

Шаг 5. Тапните «Проверка».

Шаг 6. Дождитесь окончания процесса.

Выбирая антивирус, обращайте внимание на:

Разработчика. Среднюю оценку. Количество отзывов.

Малоизвестные китайские проекты создают видимость проверки и созданы для продвижения рекламы. Аналогичным образом работает часть приложений, оптимизирующих смартфоны: очищающих кэш, оперативную и постоянную память. В них антивирус добавлен с целью привлечь пользователей.

Стоит отказаться от продуктов Avast и AVG, обе компании были разоблачены в продаже личных данных пользователей.

Как защититься от вирусов

Что предпринять, чтобы избежать заражения:

Не устанавливайте подозрительные приложения из Google Play. Не тапайте по рекламным баннерам, особенно на сайтах для взрослых. Не переходите по ссылкам на сайты, присланным в СМС, электронной почте или мессенджерах. Не загружайте программы и игры из неизвестных источников — в APK могут внедрить вирус.

Заключение

Проверка телефона на вирусы помогает выявить и избавиться от угрозы, избежав утечки личных данных или денег из интернет-банкинга. Не стоит пренебрегать этим и надеяться, что вы не заинтересуете злоумышленников.

Источник