МЕТОДЫ ОБНАРУЖЕНИЯ ВРЕДОНОСНОГО ПО В ПРИЛОЖЕНИЯХ ДЛЯ ОС ANDROID С ПОМОЩЬЮ ДИНАМИЧЕСКОГО АНАЛИЗА

METHODS FOR DETECTING MALWARE IN ANDROID APPLICATIONS

Fillipov Semyon

student, Department of Information technology security, Siberian State Scientific and Technical University named after academician M.F. Reshetnev,

Russia, Krasnoyarsk

АННОТАЦИЯ

В данной статье приведен краткий анализ недавно опубликованных методов обнаружения вредоносного программного обеспечения с точки зрения эффективности и новизны. Для методов описаны алгоритмы работы, точность обнаружения, перспективы использования, а также практическая применимость. Для определенных методов также выделены их достоинства и недостатки. Методы, описанные в статье, затрагивают промежуток 2015-2023гг. В выводе рассказывается о итоговых результатах анализа описаны перспективные направления для последующего развития подобных методов.

ABSTRACT

This article provides a brief analysis of recently published methods for detecting malicious software in terms of effectiveness and novelty. Algorithms, detection accuracy, prospects for use, and practical applicability are described for the methods. For certain methods, their advantages and disadvantages are also highlighted. The methods described in the article cover the period 2015-2023. The conclusion describes the final results of the analysis and describes promising areas for further development of such methods.

Ключевые слова: программное обеспечение, вирус, мобильное приложение, APK, детектирование, смартфон, машинное обучение, глубокое обучение, статический анализ, динамический анализ.

Keywords: software, virus, mobile app, APK, detection, smartphone, machine learning, deep learning, static analysis, dynamic analysis.

1. ВВЕДЕНИЕ

Смартфоны без сомнения прочно вошли в нашу повседневную жизнь. К примеру, в 2012 году во всем мире имелось около 1,6 млрд. мобильных телефонов. При этом число смартфонов составляло примерно 500 млн., 84 млн. (16,8% от количества смартфонов и 0,5% от всех мобильных телефонов) из которых приходилось на операционную систему Android. [4] Кажется, что это огромные числа, но на конец 2023 в мире насчитывалось уже 4,3 млрд. человек, которые активно используют смартфоны [7] и более того 80-85% [5] от этих продаж приходится на различные версии операционной системы Android.

Рисунок 1. Количество проданных смартфонов в 2020 – 2023 годах

При столь высокой популярности Android смартфонов не может не вызывать опасения тот факт, что в Google Play *(По требованию Роскомнадзора информируем, что иностранное лицо, владеющее информационными ресурсами Google является нарушителем законодательства Российской Федерации – прим. ред.), наиболее популярном магазине приложений, регулярно обнаруживают программы, представляющие собой различные вариации вредоносного программного обеспечения. При этом масштаб и опасность действий этих программ могут иметь фактически неограниченную распространенность и опасность. [6, 8] С другой стороны, учитывая постоянно растущее число смартфонов, использующих операционную систему Android, а также более простой способ получения доступа на устройство чем у главного конкурента – iOS, нет ничего удивительного в том, что злоумышленники выбирают своей целью именно эти устройства.

2. ОСНОВНАЯ ЧАСТЬ

Динамический анализ представляет значительный интерес тем, что при непосредственной работе приложения гораздо сложнее замаскировать действия вредоносного программного обеспечения. С другой стороны, главное достоинство превращается в основной недостаток. Подобная проверка требует больше времени и вычислительных ресурсов, что не позволяет проводить ее незаметно для пользователя. К тому же, запуск программы ставит под угрозу безопасность системы, следовательно, подобные проверки, как правило, проводят с помощью виртуальной машины.

2.2.1. МЕТОД ОБНАРУЖЕНИЯ, ОСНОВАННЫЙ НА СЕМАТИЧЕСКОМ АНАЛИЗЕ В РЕЖИМЕ РЕАЛЬНОГО ВРЕМЕНИ (GUARDOL) [2]

В основе данного метода лежит частотно-централизованная модель (FCM) с определенным установленным набором правил. Используя многослойный персептрон (MLP) в качестве классификатора, была достигнута точность определения зараженного программного обеспечения на уровне 97,6%, а значение ложных срабатываний оказалось равным 1,2%.

Однако, этот метод может использовать анализ раннего прогнозирования. При этом, обнаруживается около 90% вредоносного ПО, а число ложных срабатываний достигает 3 процентов. Тогда в чем смысл этого метода? Повышение безопасности! Вредоносное ПО обнаруживается по косвенным признакам раньше, чем оно попытается нанести какой-либо ущерб. Рассмотрим основные достоинства и недостатки данного метода.

Достоинства:

• Программно-аппаратный комплекс;
• Сравнительно высокий процент обнаружения;
• В классификаторе использовано машинное обучение, что позволяет говорить о больших перспективах развития данного метода.

Недостатки:

• Выборка меньше чем в 500 приложений.

Неизвестно:

• Неизвестно насколько эффективны методы с точки зрения затраченного времени.

Данный метод нельзя однозначно рекомендовать, так как неизвестные временные затраты и сравнительно небольшая выборка тестовых приложений не позволяют утверждать, что метод окажется эффективным.

2.2.2. ИДЕНТИФИКАЦИЯ ЗНАЧИМЫХ РАЗРЕШЕНИЙ (SIGPID)[3]

Метод использует следующий алгоритм:

1. В данном методе в качестве классификатора используется Мультиуровневая обрезка данных. сначала с ее помощью происходит отсев приложений по следующим правилам:

1. Отсев разрешений с отрицательной оценкой;
2. Отсев разрешений с низкой поддержкой;
3. Отсев ассоциативных разрешений.

2. После выполнения отсева происходит запуск классификатора, использующего машинное обучение.

При рассмотрении данного метода можно сделать вывод о том, что его целью является не получение наиболее точного результата, несмотря на значение 93%, а экономия времени.

2.2.3. ANDROIDETECT [3]

Данный метод интересен тем, что представляет собой законченный инструмент, который уже может быть использован конечным пользователем по назначению.

Данное приложение обладает следующими функциями:

1. Возможность выполнять «инъекцию кода». Подобная необходимость может возникнуть чтобы изменить код для выполнения динамического анализа. Также, эта «инъекция» позволяет перехватывать управление над зараженными приложениями;
2. Анализ функций;
3. Ведение журнала доступа;
4. Выполнение анализа логов;
5. Имеется анализ с функциями машинного обучения.

Так как это анализ законченного приложения, сложно судить об эффективности отдельных методов. Однако, результаты этого метода оказались наименее эффективными. На тестовой выборке из 200 образцов было обнаружено лишь 87%. Это значительно ниже результатов что конкурентов, которых предложили авторы, что других методов, рассмотренных в этом исследовании. При этом результат ложных срабатываний в 7% оказывается слишком высоким.

2.2.4 . DL-DROID [1]

Этот метод интересен с сравнительной точки зрения. Это еще одно готовое к работе в реальных условиях приложение. Однако, разница в эффективности оказывается поразительной. Сам метод представляет стандартную двухступенчатую систему:

1. Динамический анализатор Dynalog;
2. Классификатор, основанный на глубоком обучении нейронной сети DL.

Рисунок 2. Схема метода

Однако, тут интересен именно подход к исследованию. Например, выборка состоит из почти 30000 разноплановых образцов. Представлено множество различных вариантов анализа, так, базовым анализатором считается динамический, однако в тестовом варианте есть и варианты гибридного анализа (находится почти 100% вредоносного программного обеспечения, но потраченное время возрастает). А вот и причина, по которой я включил данный метод в анализ, в его эффективности представлено затраченное время и его связь с общей производительностью.

3. ВЫВОД

В ходе изучения материала для данного исследования было сделано несколько выводов:

1. Машинное обучение (или другие методы, что позволяют классификаторам развиваться, например, глубоким обучением) является перспективным направлением. Уже сейчас методы использующие такие классификаторы в своей работе показывают значительно более высокие результаты нежели их конкуренты;
2. Мобильные технологии, в том числе и в области защиты, стремительно развиваются. Можно заметить, как неуклонно растут размеры выборок и точность измерений;
3. С другой стороны, создатели вредоносного программного обеспечения тоже не стоят на месте и старые методы зачастую неспособны защитить от атак злоумышленников.

Технологии бурно развиваются, но не думаю, что в обозримом будущем появится возможность полностью искоренить вредоносное программное обеспечение. Однако, это не повод сдаваться, ведь пока борьба идет, на победу есть надежда, но стоит остановиться и поражение станет неизбежным.

Список литературы:

1. Alzaylaee, M.K., Yerima, S.Y., Sezer, S. DL-Droid: Deep learning based android malware detection using real devices // Computers and Security – 2020, Vol. 89. № 101663. P. 89
2. Das, S., Liu, Y., Zhang, W., Chandramohan, M. Semantics-based online malware detection: Towards efficient real-time protection against malware // IEEE Transactions on Information Forensics and Security – 2016, Vol. 11, № 7299317, P. 289-302.
3. Li, J., Sun, L., Yan, Q., Li, Z., Srisa-An, W., Ye, H. Significant Permission Identification for Machine-Learning-Based Android Malware Detection // IEEE Transactions on Industrial Informatics – 2018, Vol. 14, P. 3216-3225.
4. Suarez-Tangil, G., Tapiador, J.E., Peris-Lopez, P., Ribagorda, A. Evolution, detection and analysis of malware for smart devices // IEEE Communications Surveys and Tutorials – 2014, Vol. 16, № 6657497, P. 961-987
5. Tadviser: Смартфоны (мировой рынок) [Электронный ресурс]. – Режим доступа. – URL: https://tadviser.ru/index.php/Статья:Смартфоны_(мировой_рынок)
6. Зловреды в Google Play: более 600 миллионов скачиваний в 2023 году [Электронный ресурс]. – Режим доступа. – URL: https://www.kaspersky.ru/blog/malware-in-google-play-2023/36526/ (дата обращения 15.11.2023)
7. GSMA: 4.3 billion people now own smartphones [Электронный ресурс]. – Режим доступа:  https://www.gsmarena.com/gsma_more_than_half_of_the_world_owns_smartphones-news-60214.php
8. Трояны множатся в мобильном банке [Электронный ресурс]. – Режим доступа: https://www.kommersant.ru/doc/3707072