Androidのマルウェア対策システムであるGoogleの警備員を迂回

Androidオペレーティングシステムがハッカーに提示されるターゲットの拡大に​​対応して、Googleは2012年2月に「Bouncer」アンチマルウェアシステムを公開しました。Bouncerは、Androidマーケットに表示される前に悪意のあるアプリを除外するように設計されました。それはその時に呼ばれた。名前はGoogle Playに変わりましたが、Bouncerはワームやトロイの木馬から静かに私たちを守り続けました。

Googleがバウンサーを明らかにしたときの詳細については軽快でしたが、現在Duo Securityの2人のセキュリティ研究者であるチャーリーミラーとジョンオーバーハイデは、バウンサーにリモートでアクセスして内部から探索する方法を見つけました。彼らが発見したことは、巧妙なマルウェアの作者がまだあなたの携帯電話を破壊する可能性があることを示しています。



バウンサーの役割

2011年を通じて、Googleは Androidマルウェア OSコードのエクスプロイトを利用する。さらに悪いことに、これらの悪意のあるアプリがAndroidマーケットに侵入することもありました。連絡先を盗んだり、キーストロークを追跡したりするアプリ、さらにはプレミアムレートの数値をテキストで送信することで莫大な請求をするアプリさえありました。この不快なコードは通常、ウェアーズフォーラムのあちこちに浮かんでいましたが、Playストアでの登場は前例のないものではありませんでした。



グーグルプレイGoogleでは、デベロッパーがアプリをアップロードしてすぐに利用できるようにすることを常に許可しています。しかし、Androidが間違った種類の人々からより多くの注目を集めたので、何かをする必要があることは明らかでした。

結果はバウンサーでしたが、Googleは最初は最も一般的な用語でのみそれについて話すことを選択しました。 Bouncerは、開発者がフワフワした人間が実行する面倒​​な承認プロセスを経ることなく、Androidに新しいセキュリティ層を追加するように設計されています。自動化された機械の冷たい効率はすべてGoogleが必要としています。



2月の発表では、Bouncerが数か月間バックグラウンドで静かに実行されていたため、市場で潜在的に悪意のあるアプリが40%減少したとのことです。スキャンが完了すると、合格したアプリは通常の方法で公開されます。開発者は数分の遅延を経験するだけで済みました。当時はまるで魔法の弾のようでした。

私たちが今学んでいるように、バウンサーによって消滅させられたマルウェアは、ぶら下がっている果物であったかもしれません。

バウンサーが内側からどのように機能するか

MillerとOberheideは、Bouncerの詳細を学ぶために、しばらくの間マーケット/プレイストアを調査してきました。研究者たちは最終的になんとか スパムキラーをのぞいてみよう Duo Securityのリモートアクセスを許可するように設計された特別にコード化されたAndroidアプリを使用します。バウンサーは、Googleサーバーでエミュレートされる仮想電話です。 Bouncerがトロイの木馬アプリをロードしたとき、MillerとOberheideはコマンドラインを介してBouncerシェルコマンドを供給することができました。それがバウンサーの秘密が明らかにされた方法です。



システムはQEMUと呼ばれるタイプの仮想化ソフトウェアを実行しています。これは、アプリがBouncerで実行されていることを簡単に検出できるフラグです。仮想電話の登録に使用されるアカウントも同じで、Bouncerの指紋をとる2つ目の簡単な方法を提供します。グーグルはハニーポットを備えた仮想電話の各インスタンスをセットアップし、マルウェアが最も得意とすること、つまり物を盗むように仕向けています。

猫バウンサーバウンサーフォンには2つの写真があります。レディーガガと猫の一人。これらの写真をリモートサーバーにアップロードしていることがアプリで検出された場合、Bouncerは迅速にドアを開けます。同様に、アプリが1つのMichelle.k.levin@gmail.comの単一のエントリを含む電話から連絡先情報を収集しようとすると、アプリも起動します。 Bouncerは、アプリが不正なテキストメッセージをプレミアムレートの番号に送信しようとした場合に備えて、SMSサービスも監視します。

これが厄介な脅威をスキャンする巧妙な方法であることは否定できませんが、Duo Securityが指摘しているように、攻撃者はBouncerを自分のゲームで簡単に倒すことができます。

バウンサーを壊す方法

Duo Securityは、Bouncerへの小さな進出から1つの重要な教訓を学びました。それは、内部の仕組みを誰も知らないときにのみ機能します。私が概説したように、MillerとOberheideはBouncer環境をフィンガープリントするいくつかの方法を見つけました。つまり、マルウェアの作成者は、Bouncerが検出されたときに、悪意のある動作を一定時間停止するモジュールを構築できる可能性があります。

それほど遠くに行かなくても、マルウェアの作成者はそれをクールにプレイすることで検出を回避できます。バウンサーはアプリを無期限に実行しません。実際、それは安全であると宣言する前に約5分間アップロードされた各アプリのみをスキャンします。悪意のあるユーザーは、スキャナーが現在存在しているように、スキャナーを回避するために、意図を短期間に隠しておく必要があります。

シェルあるいは、あなたの電話を悪用しようとしている怪しげな人々は、空飛ぶ色でバウンサーを通過する無害なアプリをロードすることができます。その後、Playストアのアップデートを介してコンポーネントを追加し、休止中の悪意のある機能を有効にすることができます。明らかにこれはロングコンですが、適切な見返りを得るには、価値があるかもしれません。

Duo Securityは、脆弱性にパッチを適用するためにGoogleと連絡を取っていると述べています。アプリを長期間スキャンしたり、デフォルトのアカウント情報を変更したりするなど、修正が簡単なものもあります。しかし、簡単に検出できる仮想化環境のように、攻撃に対して強化するのがより困難なものもあります。最良の解決策は、実際のデバイスでアプリを実行することですが、ロジスティクスではそれが不可能になる場合があります。

MillerとOberheideは今週後半にSummerConでハックの完全なデモを提供します。それまで、GoogleはBouncerの穴をふさぎ、マルウェアの新しい波から保護するために懸命に取り組んでいると思われます。

Copyright © 全著作権所有 | 2007es.com