Mandiant та команда з питань захисту та конфіденційності Android співпрацювали з розробкою вдосконалених інструментів, здатних виявити зловмисне програмне забезпечення Android, приховані в рідних файлах мобільних додатків.
Оскільки мобільні пристрої стають центральними у щоденних заходах, таких як банківська діяльність та управління охороною здоров'я, вони все частіше залучають зловмисних суб'єктів, які мають на меті використовувати конфіденційні дані. Один вигідний метод, що використовується цими суб'єктами, передбачає розповсюдження шкідливих програм через додатки. Нещодавно розробники такого шкідливого програмного забезпечення використовують нативний код для приховування шкідливих дій, тим самим ускладнюючи зусилля з виявлення.
Для вирішення цих викликів Android співпрацює з Mandiant Flare, щоб оновити CAPA, інструмент бінарного аналізу з відкритим кодом, щоб націлити на аналіз файлів з виконуваним та пов'язаним форматом ARM (ELF), які використовуються зловмисним програмним забезпеченням Android. Разом вони покращили можливості CAPA, розробляючи нові правила, розроблені для виявлення підозрілих заходів.
Лін Чен, який надав уявлення про це дослідження, пояснив, як працюють правила CAPA, щоб виділити код підозрюваного в рідних файлах. “Використовуючи правила CAPA, ми можемо виявити можливості, що спостерігаються у зловмисному програмі Android, виділити підозрілий код та оперативні Близнюки для узагальнення. Це розширює наші процеси перегляду для більш швидких рішень”, – заявив Чен.
Mandiant демонстрував зразок справи, що стосується незаконного азартного додатка, замаскованого як музична програма для ухилення від виявлення та обхідних правил у магазині Google Play. Додаток застосовував методи антианалізу, приховуючи свої шкідливі функціональні можливості в файлі ельфу.
Після детального вивчення рецензенти виявили, що додаток адаптував свою діяльність на основі географічного розташування користувача, лише розкриваючи його азартні функції в конкретних областях. Зловмисному додатку вдалося придушити поведінку, використовуючи ельфи з позбавленими символами, складним виявленням, використовуючи такі методи, як завантаження зашифрованих файлів з віддалених серверів.
Вдосконалення CAPA включають правила для виявлення функцій, які зазвичай пов'язані з зловмисним програмним забезпеченням Android через виклики JNI (Native Interface), визначаючи такі дії, як дзвінки API, вилучення даних пристроїв та криптографічні операції. Ці функції є ключовими показниками шкідливих намірів, як це визначено в додатку азартних ігор.
Крім того, співпраця інтегрувала можливості узагальнення Близнюків Mandiant в процес аналізу. Цей інструмент узагальнення AI-керованого AI швидко звужує список підозрілих функцій, що дозволяє аналітикам ефективно зосередитись на областях значного ризику. Були продемонстровані оцінки Близнюків, що присвоюють рівні високого ризику через моделі, що пропонують зловмисні дії, такі як динамічне завантаження коду та зміни поведінки на основі часу.
Досліджуючи можливості Gemini, він створив резюме для конкретного додатка для азартних ігор: “Наданий код додатків Android демонструє декілька щодо поведінки, що свідчить про зловмисні наміри. методи зловмисного програмного забезпечення “.
Додаток висвітлював численні методи обмирки та методи проти дебугування, спрямовані на уникнення виявлення, значно посилюючи підозру щодо його операцій.
Більш широка мета цих зусиль – захистити користувачів Android та підтримувати цілісність магазину Google Play, визначивши та блокуючи додатки з прихованими шкідливими намірами. Посилення правил CAPA та узагальнення Близнюків функціонують вирішальну роль у цьому профілактичному заході.
Оскільки Android продовжує розвивати свою багатошарову стратегію безпеки, ці вдосконалені інструменти представляють активний крок у виявленні майбутніх загроз та підтримці безпеки та надійності екосистеми Android. Дослідницька ініціатива відображає постійне зобов’язання як Mandiant, так і Android тісно співпрацювати з дослідницькою спільнотою безпеки, подальшими методиками вдосконалення ефективно протидіяти загрозам зловмисних програм.
