Эти новые инструменты с открытым кодом были разработаны в рамках проекта Google Summer of Code, программы, в которой студенты со всего мира проводят свои летние каникулы, занимаясь написанием кода для открытого программного обеспечения. Два студента под руководством Honeynet Project сосредоточились на вредоносных атаках на Android: один написал программу для статического анализа, которая называется APKInspector, а другой — инструмент для динамического анализа системы, названную DroidBox — обе эти программы направлены на то, чтобы облегчить исследователям реверсивный анализ вредоносного ПО для Android, а также, позволяют наблюдать и анализировать действия вредоносных приложений.
"Эти два инструмента прекрасно дополняют друг друга и обязательно должны быть частью инструментария того, кто имеет дело с вредоносным ПО для мобильных устройств", - говорит Кристиан Зайферт, глава отдела по связям с общественностью проекта Honeynet. "Мы считаем, что вирусы для мобильных устройств будут процветать, и не смотря на то, что они схожи с аналогичными вредоносными программами для ПК, у них есть некоторые уникальные характеристики, которые, в будущем, повлияют на характеристики всех вредоносных программ".
"Во-первых, вредоносные программы могут быть написаны для того, чтобы получить доступ к интерфейсу смартфона жертвы, и финансово мотивировать ее, например, на отправку премиум SMS-сообщений", - говорит он. "Есть некоторые особые проблемы в области вредоносного ПО для мобильных устройств. Это совсем новая область, которая еще незнакома специалистам в области компьютерной безопасности. Поэтому, анализ вредоносных атак, в настоящее время, требует затраты довольно большого количества ресурсов".
Android — знаковая мобильная платформа, во-первых, из-за своей большой популярности, а, во-вторых, благодаря своей структуре с изначально открытым исходным кодом, она уже переполнена не поддающимся контролю количеством приложений. Множество проведенных исследований выявило слабые стороны в системах ее безопасности и конфиденциальности.
Сотрудник проекта Honeynet Райан Смит - куратор аспиранта Конг Чжэнга (автора инструмента APKInspector), говорит, что новые программы позволят заполнить большие пробелы в анализе атак на Android. Недавно в Android был добавлен компонент для статического анализа - продукт IDA Pro, - говорит он, - но IDA Pro, обычно, стоит около 900$ за лицензию для одного пользователя.
"[APKInspector] предоставляет инструменты анализа, аналогичные IDA Pro", - утверждает Смит. "Но наша программа является единственной бесплатной программой с открытым исходным кодом для приложений Android. Это дает исследователям возможность загрузить и установить ее".
Инструмент также показывает, где требуется разрешение пользователя на работу в коде мобильной программы, сообщает он.
DroidBox это "песочница", которая дает возможность исследователю или аналитику безопасно запускать и изучать вредоносные приложения. "Она позволяет наблюдать и отслеживать когда приложение делает что-то [вредоносное] ... и каким образом оно это делает", - говорит Смит. "Если у вас есть профиль, и вы хотите, разобраться в том, как и где что-то происходит в коде, то вы используете APKInspector, для того, чтобы проанализировать код".
Оба этих инструмента, в равной степени, предназначены как для исследователей, которые занимаются реверс-инжинирингом, так и для аналитиков по системной безопасности. И это — первый шаг на пути к усовершенствованию безопасности платформы Android, по словам Смита.
Информация может быть использована программой по обеспечению безопасности мобильных устройств для идентификации вредоносных приложений и блокировки любой вредоносной активности с высокой точностью, говорит он.
Автор APKInspector Чжэнг говорит что о цели создания его инструмента статического анализа, можно прочесть здесь - целью было предложить что-то похожее на IDA Pro для мобильной платформы. "Основной целью этого проекта является обеспечение слоя визуализации, который, как правило, отсутствует в существующих дизассемблерах для Android, а также создание единой платформы, которая приведет несколько существующих реверсивно-инжиниринговых инструментов Android в единый унифицированный вид и контекст", - говорит он. "Одним словом, мы просто хотим создать мощный инструмент статического анализа на платформе Android, как и IDA Pro на платформе x86".
Создатель DroidBox — аспирант Патрик Ланц выложил альфа-версию своего динамического анализатора с открытым исходным кодом здесь (бета-версия находится в разработке). DroidBox, например, может контролировать запросы системных приложений к API.
"Мой интерес к участию в этом проекте, по большей части основан на том, что количество вредоносных приложений для Android вызывает растущую озабоченность, а общедоступных инструментов, таких как DroidBox, нет. Другим аспектом является то, что Android имеет открытый исходный код и, это дает возможность изменить его структуру", - сказал Ланц.
Xakep.ru