2 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Огромная подборка для исследования безопасности Android-приложений

Содержание

Обзор приложений на Android для вашей безопасности

Современный мобильный телефон справляется со множеством задач. Он способен связать нас с друзьями, найти любую информацию, развлечь интересными играми и музыкой. Но кроме этого, смартфон может быть использован для обеспечения безопасности. Из нашего обзора вы узнаете о нескольких программах, которые смогут выручить вас и членов вашей семьи в сложной или даже опасной ситуации.

Family Locator

Эта программа является одной из самых функциональных в своей категории. Она рассчитана на использование всеми членами семьи и предоставляет полную информацию о передвижениях каждого из них. Есть возможность получать уведомления о прибытии члена семьи в заданную точку или, наоборот, о его выходе из заданной вами области. Это удобно, например, для родителей, которые всегда хотят знать о местонахождении своих детей.

Если пользователь Family Locator попадает в чрезвычайную ситуацию, то он сможет воспользоваться специальной тревожной кнопкой, которая автоматически сообщит ваши GPS-координаты всем членам вашего круга через SMS, звонком и по электронной почте.

bSafe

Приложение bSafe во многом похоже на предыдущее, но вместе с тем имеет и ряд отличий. Здесь точно так же можно создать защищённую личную сеть для связи с родственниками и друзьями, а также для быстрого оповещения о своём местоположении. Кроме этого, вы можете включить таймер, который через заданное вами время автоматически подаст сигнал о помощи избранным контактам или включит сигнал сирены. Многим понравится функция ложного звонка, которая поможет избежать нежелательных бесед или улизнуть со скучного свидания.

Personal Safety

Фирма McAfee давно не новичок в разработке программного обеспечения, поэтому от её продуктов всегда ожидаешь надёжности и качества. Бесплатное приложение McAfee Personal Safety полностью оправдывает эти ожидания и хоть не содержит каких-либо выдающихся функций, но со своими основными обязанностями справляется на отлично. С его помощью вы сможете отслеживать на карте перемещения членов вашей семьи, передавать и получать уведомления о достижении заданного места, общаться с семьёй и друзьями во встроенном чате, подавать сигнал об опасности с информацией о своём местоположении.

GetHomeSafe

GetHomeSafe пригодится всем людям, которые хотят не только благополучно добраться из точки А в точку Б, но и известить об этом своих друзей. Работает оно по очень простому алгоритму: вы выделяете на карте место, в которое планируете добраться, и время, которое предположительно вам для этого понадобится. Приложение отслеживает ваше местоположение и в том случае, если через указанное время вы так и не появились в заданной точке, рассылает по заранее определённому списку контактов тревожное сообщение. Отличный способ быть уверенным, что ваша девушка добралась после работы до дома, ребёнок пошёл на тренировку, а друг успешно закончил свой велопробег.

Shake2Safety

Последняя программа из этого обзора — самая простая, так как умеет только отправлять тревожное сообщение. Но делает это довольно интересно: в случае опасности вам достаточно несколько раз нажать на кнопку питания или же просто потрясти смартфон, чтобы по заданным предварительно адресам отправился сигнал о помощи с указанием вашего текущего местоположения. Для исключения ложных срабатываний чувствительность к встряхиванию регулируется в настройках программы.

А вам приходилось когда-либо пользоваться подобными программами? Может быть, они даже выручили однажды вас или ваших знакомых?

5 лучших приложений мобильный безопасности на Android


Вопрос безопасности на мобильной платформе Android является не самым простым. Ведутся споры относительно того, нужны ли на смартфонах антивирусы. Нужно принимать во внимание, устанавливает ли пользователь приложения из-за пределов официального магазина Play Store, однако нет никаких сомнений в том, что за последние годы вопрос вредоносных приложений на Android стал более острым. К счастью, антивирусы также становятся всё лучше и не отстают от новых угроз, так что выбор имеется довольно обширный.

Большинство приложений безопасности на Android представляют собой комплексные пакеты, которые включают в себя ряд инструментов, от фильтра контактов до удалённой блокировки или стирания данных. Ниже будут рассмотрены пять приложений безопасности на Android и их возможности. Обзор ведётся с потребительской точки зрения, так что бесплатные программы являются бесплатными только для личного использования, а не на коммерческой основе на предприятиях.

    Avast Antivirus & Security

    Это по-настоящему бесплатное приложение предлагает впечатляющий набор инструментов. Здесь есть антивирусная защита, ведётся сканирование приложений и предоставляется подробная информация о том, что они делают, есть веб-щит со сканированием адресов на предмет наличия вредоносного кода на страницах.

    Есть разнообразные дополнительные инструменты, включая блокировщик звонков из чёрного списка, блокировку приложений пин-кодом, сканирование Wi-Fi для повышения безопасности и скорости. К сожалению, блокировка приложений ограничена всего двумя программами, если не приобрести платную версию Pro, которая также устраняет рекламу и даёт доступ к технической поддержке из приложения.

    Если выполнен рут устройства, имеется брандмауэр, который позволяет управлять сетевым трафиком. Можно блокировать определённым приложениям доступ к Wi-Fi или сети, что поможет усилить безопасность и сэкономить заряд аккумулятора.

    Согласно результатам последнего тестирования независимого института AV-Test в ноябре, в котором приняли участие 26 приложений на Android, Avast показывает высокий уровень обнаружения угроз, а именно 99,9%. Если рассматривать угрозы последних четырёх недель, результат вырастает до 100%. В результате приложение находится в верхней части рейтинга по уровню обнаружения вредоносного программного обеспечения, а вместе с расширенной функциональностью программа становится ещё привлекательнее. Она не сильно замедляет операционную систему и не расходует много энергии, также не было ложных срабатываний.

    Бесплатная версия этого приложения предлагает качественные функции, защищает от угроз интернета и обеспечивает дополнительную защиту на устройствах с рутом. Если вы хотите уберечься от вредоносных программ и смело работать в браузере, попробуйте Avast.

    Sophos Free Antivirus and Security

    Существует много качественных приложений для обеспечения безопасности на Android, но трудно найти функциональное, бесплатное с уровнем обнаружения вредоносного ПО в реальном времени 100%.

    Sophos Free Antivirus and Security на протяжении многих месяцев был лидером, постоянно показывая уровень обнаружения 100% в тестах AV-Test. Программа не демонстрируют ложных срабатываний, предлагает надёжное сканирование при установке приложений, уже установленных приложений и флеш-памяти.

    Также пользователи получают внушительный пакет дополнительных возможностей, включая защиту от потери или кражи устройства, возможность стирания данных, блокировки, обнаружения и т.д. при помощи СМС. Есть веб-фильтр, защита приложений паролем, блокировка спама, советы по конфиденциальности и безопасности и другие инструменты.

    Это не самое привлекательное внешнее приложение в данном списке, но оно работает как нужно, минимально влияет на скорость работы смартфонов и расход энергии. Приложение полностью бесплатное и без рекламы.

    Некоторым пользователям не нужны сложные приложения и достаточно простейших варианты для защиты от вирусов. Если вам не требуются инструменты защиты от кражи, защита цифровой личности и прочие избыточные возможности множества приложений, вам подойдёт программа AVL.

    Она набирает 99,8% в рейтинге защиты в реальном времени, поднимаясь до 100% при рассмотрении вирусов последних четырех недель, ложные срабатывания отсутствуют. Тестирование показало хорошую скорость работы и без лишнего влияния на интерфейс операционной системы или продолжительность автономной работы. AVL умеет сканировать файлы множества форматов помимо APK, приложение разработано с прицелом на скорость и эффективность. Если оно вам нравится, но вы хотите получить больше возможностей, имеется вариант приложения AVL Pro.

    Avira Antivirus Security

    С постоянно высоким уровнем обнаружения угроз и отсутствием ложных срабатываний можно смело доверять бесплатной версии Avira свой смартфон или планшет на Android. Программа мало грузит систему и обладает быстрым минималистичным дизайном, который хорошо вписывается во внешний вид платформы Android.

    Avira позволяет сканировать приложения в поиске возможных проблем. Программа автоматически сканирует новые приложения и обновления для них. Она слегка упала в плане обнаружения вредоносного кода в результатах AV-Test, показав уровень 98,9% в реальном времени и 99,8% при обнаружении угроз последних четырех недель, зато у программы есть ряд дополнительных возможностей. Предлагаются инструменты защиты от воров, которые помогут дистанционно найти устройство, заблокировать его, стереть данные или активировать звонок. Есть инструмент защиты цифровой личности, который скажет, если ваш почтовый ящик или почту друзей взломали. Есть несколько вариантов чёрного списка, так что можно избавиться от ненужных звонков и спама.

    Существует премиальная версия с функцией антифишинга, более частыми обновлениями и улучшенной поддержкой, но и базовой версии для большинства пользователей будет достаточно.

    Trend Micro Security & Antivirus

    В последние два года средний уровень обнаружения вредоносного программного обеспечения у этого приложение был 99,9%. Это делает Trend Micro достойным выбором для устройств на Android. В последнем тестировании программа показала 99,8% обнаружения в реальном времени и 100% при поиске вирусов последних четырёх недель. Ложные срабатывания отсутствовали, влияние на скорость и продолжительность работы устройства было минимальным.

    Пользователь вместе с бесплатной версии программы получает ряд разнообразных инструментов. Есть защита от фишинговых сайтов, сканер конфиденциальности для Facebook и инструменты для повышения автономности работы и экономии памяти. Функция под названием Just-a-Phone закрывает ненужные фоновые процессы.

    Читать еще:  Как удалить рут права с андроида полностью

    В течение длящегося семь дней пробного периода можно попробовать премиальные функции, в число которых входят блокировка и очистка вредоносного ПО, инструмент Антивор, блокировка приложений, фильтр звонков и другие. Позже они стоят $36 в год, что довольно много, поскольку бесплатная версия сама по себе даёт немало.

    В последнем ноябрьском тестировании только 4 из 26 приложений смогли показать 100% обнаружения в реальном времени, 8 из 26 показали 100% при поиске вирусов последних четырёх недель. В наш список не вошли Eset Mobile Security & Antivirus и 360 Mobile Security , поскольку уровень обнаружения у программ упал.

    Среди крупных имен привлекают внимание Kaspersky и Norton , но их возможности не оправдывают цену. То же самое можно сказать про отличную программу Bitdefender Mobile Security & Antivirus . Bitdefender и Norton набрали в ноябрьских тестах 100%, однако бесплатный у них только пробный период, а потом нужно покупать подписку на год.

    Принципы обнаружения вредоносных приложений для Android

    Dragokas

    Very kind Developer

    Принципы обнаружения вредоносных приложений для Android

    В статье рассматриваются основные принципы обнаружения и анализа предположительно вредоносных программ в операционной системе Android, широко используемой в смартфонах и планшетах. Перечислены основные инструменты, используемые экспертами для анализа приложений для Android.

    1. Введение
    2. Общая характеристика вредоносных приложений для Android
    3. Обнаружение вредоносных приложений для Android
    4. Методы противодействия криминалистическому исследованию и способы борьбы с ними
    5. Анализ следов предположительно вредоносных программ
    6. Выводы

    Мобильные устройства хранят огромное количество важной персональной информации, включая платежную, что делает их привлекательными для киберпреступников. Развитие мобильных ОС, например iOS и Android, а также техническая эволюция смартфонов и планшетов привели к росту популярности последних. Результатом высокого спроса, а также множества уязвимостей операционной системы и отсутствия средств антивирусной защиты стал интерес киберпреступников к разработке или покупке приложений, реализующих вредоносные функции на мобильных платформах. Это, в свою очередь, поставило перед специалистами в области судебной компьютерной (компьютерно-технической) экспертизы новые задачи.

    Общая характеристика вредоносных приложений для Android

    Для написания большинства приложений, работающих в ОС Android, используется язык программирования Java. Выполняются программы в системе посредством AndroidRuntime начиная с версии 4.4.

    Для того чтобы проводить анализ приложений, эксперту необходимо понять их формат. Рассматриваемые приложения хранятся в памяти мобильного устройства в формате APK, причем приложение сначала компилируется, а уже после упаковывается в APK-файл вместе со всеми составляющими. Указанный файл представляет собой ZIP-архив, включающий байт-коды, ресурсы, сертификаты и manifest-файл. После установки APK-файл копируется в соответствующее место файловой системы. Для системных приложений это обычно /system/app, для пользовательских — /data/app.

    С криминалистической точки зрения APK-файл содержит три наиболее важных части: сигнатура, байт-код и ресурсы.

    Сигнатура содержит контрольную сумму APK-файла, которая может быть использована экспертом, чтобы установить, не повреждено ли приложение. Кроме того, эксперт может собирать сигнатуры программ, в том числе предположительно вредоносных, и использовать для их быстрой идентификации в памяти исследуемого носителя цифровой информации.

    Исполняемая часть приложения хранится в файле classes.dex, размещенном в архиве (APK-файл), и содержит все его скомпилированные классы, представленные в виде байт-кодов. Необходимо отметить, что байт-код здесь преобразован в инструкции для виртуальной машины AndroidRuntime, так как последняя, в отличие от виртуальной машины Java, основана на регистрах. Также APK-файл может содержать заранее скомпилированный код (каталог lib).

    В качестве ресурсов выступают части приложения, не требующие исполнения, например компоненты пользовательского интерфейса. Наиболее важной частью ресурсов, с точки зрения криминалистического исследования, является файл AndroidManifest.xml. Указанный файл содержит сведения о разрешениях, запрашиваемых приложением при установке. Так, некоторые приложения, чтобы получить доступ с защищенным API ОС Android, запрашивают разрешение на доступ к чтению сообщений, контактам и т. д. Анализ рассматриваемого файла является важнейшим шагом для обнаружения вредоносных функций того или иного приложения.

    Обнаружение вредоносных приложений для Android

    Несмотря на то, что существуют специализированные приложения, предназначенные для обнаружения вредоносных программ, это не решает рассматриваемой проблемы цифровой криминалистики. Кроме того, в ходе криминалистического исследования эксперту необходимо не просто обнаружить потенциальный вредонос, но и проанализировать его код, а также произвести реконструкцию его действий.

    Чтобы обнаружить потенциально вредоносные приложения, эксперт может использовать контрольные суммы. База данных (БД) контрольных сумм может быть собрана на основе данных, представленных, например, в Google Play. Тот факт, что контрольная сумма приложения не соответствует ни одной из имеющихся в БД, может указывать на то, что приложение является вредоносным. Разумеется, для однозначного вывода данной информации недостаточно: требуется более глубокий анализ.

    Необходимость в получении разрешений — уникальная черта программного обеспечения ОС Android. Необходимо отметить, что приложению достаточно получить права единожды — при инсталляции. Многие пользователи игнорируют данный запрос, что и приводит к тому, что кажущееся безобидным на первый взгляд приложение получает все необходимые ему права. Подозрительные разрешения — один из главных признаков, характеризующих приложение как вредоносное.

    Методы противодействия криминалистическому исследованию и способы борьбы с ними

    Специалисты выделяют четыре наиболее распространенных способа противодействия криминалистическому исследованию предположительно вредоносных приложений в ОС Android: обфускация, шифрование символьных строк, противодействие декомпилятору и проверка окружения.

    Обфускация позволяет разработчикам, сохранив функциональность программы, привести ее код к такому виду, что его анализ и понимание алгоритмов работы будет затруднено.

    Перед тем как производить деобфускацию кода, эксперту необходимо произвести декомпиляцию предположительно вредоносной программы. К сожалению, на современном этапе развития декомпиляторы не могут разбирать программы идеально. Полученный с их помощью код отличается наличием ошибок и неполнотой. Тем не менее байт-код, несмотря на свою сложность, всегда точен. Из этого следует, что в ходе анализа предположительно вредоносных программ эксперт должен опираться не только на декомпилированный исходный код, но и на байт-код.

    Для того чтобы извлечь байт-код (в .dex формате) из APK-файла, эксперт может воспользоваться, например, ApkTool. Для декомпиляции байт-кода в исходный код Java и последующего анализа может быть использована связка программных продуктов, состоящая, например, из Dex2Jar (декомпиляция) и JD-GUI (анализ). Полученный в результате декомпиляции исходный код Java нуждается в редактировании: может возникнуть необходимость удалить пустые классы, поправить ошибки, осуществить переименования методов, классов и их объектов и т. д.

    Символьные строки, содержащиеся в предположительно вредоносной программе, являются важнейшим источником криминалистически значимой информации. Для реализации шифрования символьных строк разработчиками используются как сравнительно простые алгоритмы, такие как XOR, Base64 и ROT13 (включая его вариации, например, ROT15), так и продвинутые криптографические стандарты, например DES и AES.

    Так, идентификация символьных строк, зашифрованных применением алгоритма XOR, может быть осуществлена экспертом посредством программного продукта XORSearch разработки Дидье Стивенса.

    Необходимо отметить, что злоумышленниками применяются различные методы, позволяющие избежать детектирования рассматриваемого алгоритма. Например, шифрование с применением XOR осуществляется в два этапа: сначала с использованием одного значения, затем — другого.

    Существует огромное количество программ и онлайн-сервисов, позволяющих привести строки, закодированные Base64, в читаемый вид. Несмотря на то, что обойти подобное шифрование достаточно просто, эксперт все же может столкнуться с трудностями. Например, создатели вредоноса могут изменить последовательность символов в алфавите Base64, что помешает работе стандартных декодировщиков.

    ROT13 — наиболее простой алгоритм из трех рассматриваемых. Но существуют и его модификации, способные усложнить декодирование. Так разработчиками вредоносного программного обеспечения может использоваться модификация этого алгоритма, например ROT15, которая осуществляет сдвиг не на 13 позиций, а на 15.

    Некоторые вредоносные программы написаны таким образом, что их функционирование возможно только на определенных типах мобильных устройств. Приложением осуществляется проверка как свойств системы, так и международного идентификатора мобильного абонента (IMSI). Таким образом, программа не выполняется, если устройство или эмулятор не проходит проверку, что затрудняет проведение динамического анализа.

    Обойти рассматриваемую меру противодействия криминалистическому анализу можно, модифицировав код обнаруженной предположительно вредоносной программы.

    Анализ следов предположительно вредоносных программ

    Исследователи различают два типа анализа предположительно вредоносных программ: динамический и статический.

    В рамках динамического анализа предположительно вредоносной программы, который иногда называют поведенческим, рассматриваются особенности ее поведения, в частности, как она взаимодействует с системой, какие данные собирает, какие сетевые соединения устанавливает и т. д.

    Для проведения динамического (поведенческого) анализа экспертом может быть использован, например, программный продукт DroidBox. Он позволяет собрать следующую информацию о программе и ее деятельности в системе:

    • хеш-сумма APK-файла (алгоритмы MD5, SHA-1 и SHA-256);
    • сведения о полученных и отправленных по сети данных;
    • сведения об операциях чтения и записи файлов;
    • сведения о запущенных службах и загруженных классах;
    • сведения о сборе и отправке пользовательских данных;
    • сведения о разрешениях, которые получило приложение;
    • сведения о криптографических операциях, осуществляемых приложением с использованием Android API;
    • сведения об отправляемых SMS-сообщениях и осуществляемых вызовах.

    По результатам эксперт получит для анализа набор файлов в формате JSON, содержащих указанные сведения.

    Необходимо отметить, что рассматриваемый программный продукт предназначен для работы в операционных системах Linux и Mac OS X. Однако большинство экспертов используют рабочие станции под управлением операционной системы семейства Windows. Решением данной проблемы может послужить создание виртуальной машины и установка соответствующей операционной системы или использование уже готового дистрибутива, например Santoku Linux.

    В рамках статического анализа предположительно вредоносной программы производится анализ ее кода. Главной задачей рассматриваемого типа анализа является выделение части кода, ответственной за предположительно вредоносные действия исследуемой программы.

    Существует два наиболее распространенных способа проведения статического анализа, а именно с использованием ApkTool или Dex2Jar и JD-GUI.

    ApkTool позволяет произвести дизассемблирование предположительно вредоносной программы. В результате эксперт получит несколько файлов и каталогов, в том числе:

    • файл Android Manifest, который содержит сведения о разрешениях, запрашиваемых приложением, а также о точках входа;
    • каталог res, который содержит XML-файлы, описывающие макет приложения, а также необходимые ему графические файлы и т. д.;
    • каталог smali, содержащий файлы .smali (операционный код), которые могут быть проанализированы посредством текстового редактора с подсветкой синтаксиса, например, Notepad++.

    Чтобы воспользоваться Dex2Jar, эксперту необходимо предварительно распаковать предположительно вредоносный APK-файл, после чего посредством рассматриваемого программного продукта преобразовать файл classes.dex (байт-код) в classes.dex.dex2jar.jar (java-код). Анализ полученного файла, содержащего исходный код Java, может быть произведен посредством программного продукта JD-GUI.

    Читать еще:  Xiaomi Mi Power Bank 2C 20000 — внешний аккумулятор, который удовлетворит потребности каждого

    Рисунок 1. Этапы обнаружения и анализа следов предположительно вредоносного поведения программ в ОС Android

    Авторы:
    Скулкин Олег Владимирович
    Михайлов Игорь Юрьевич
    Нестеров Антон Дмитриевич

    Безопасные сайты для скачивания Android-приложений

    В магазине приложений от Google довольно много разного рода программ. Но случается так, что программа, которая вам нужна, недоступна в магазине Google Play по той или иной причине. При этом, если вы зайдете в любой поисковик, он выдаст вам кучу веб-ресурсов, на которых можно скачать заветное приложение. Только вот там (сюрприз-сюрприз) вас могут поджидать вирусы и программы-шпионы. Что же делать? В первую очередь, не паниковать и прочитать нашу статью. Ведь существуют годами проверенные ресурсы для скачивания Android-приложений.

    APKMirror

    APKMirror является одним из самых популярных сайтов для скачивания файлов APK (это формат файлов, в который запаковываются приложения для операционной системы Android). Сайт принадлежит той же команде, что и отвечает за широко известный ресурс Android Police. Команда сайта часто предоставляет важную и интересную информацию из мира Android. Точно также, как и мы в нашем новостном Телеграм-канале.

    С точки зрения безопасности, APKMirror предоставляет вам некоторые гарантии:

    • Сотрудники лично проверяют все загруженные на сайт файлы до публикации.
    • Сайт сопоставляет криптографические подписи для новых версий приложений с предыдущими версиями (чтобы убедиться, что их подписали настоящие разработчики).
    • Совершенно новые приложения сопоставляются с другими приложениями от того же разработчика, чтобы проверить их законность.
    • Новые приложения от новых разработчиков проходят еще более тщательную проверку для того, чтобы не допустить проникновения вирусов на свою платформу.

    Суть в том, что если APKMirror не сможет проверить подлинность файла APK, файл не будет опубликован. Из-за этого вы не найдете на сайте никаких модифицированных, пиратских и прочих приложений сомнительного качества. Если приложение, которое вы устанавливаете из APKMirror, получает обновление от Google Play после его установки на вашем устройстве, оно и дальше будет работать с Google Play, получая апдейты.

    APKPure

    APKPure — это основной конкурент APKMirror, возможно. Эти два сайта были запущены примерно в одно и то же время. Как и APKMirror, сайт имеет строгие правила по обеспечению безопасности, чтобы убедиться, что все загруженные APK-файлы безопасны и не содержат вирусов. APKPure проверяет законность всех приложений перед публикацией с помощью специальной программы. Также проверке подвергаются и все криптографические подписи для новых версий приложений, а полностью новые приложения сопоставляются с другим программным обеспечением от того же разработчика.

    В общем то, тут все почти также, как и с предыдущим ресурсом за исключением одного: APKPure имеет собственное приложение для Android. И вам нужно загрузить приложение, чтобы устанавливать АРК-файлы. Это приложение выступает в качестве альтернативы Google Play.

    APK Store

    По правде говоря, первых двух ресурсов вам должно хватить с лихвой. Но это не значит, что они должны вас полностью устраивать. Поэтому вы можете попробовать APK Store. Ресурс тоже выступает как замена магазину от Google. Все АРК-файлы тут «вытащены» из магазина Google Play, так что вы можете быть уверены в их безопасности. Как и на других ресурсах в нашем списке, тут существует несколько степеней защиты от проникновения нежелательных программ.

    Aptoide

    Aptoide — еще один гигант мира загрузки предоставления сторонних APK-файлов. Ресурс имеет более 200 миллионов пользователей и в общем шесть миллиардов загрузок. Как и APKPure, сайт предлагает установить приложение для Android, которое позволяет получить доступ к магазину и загружать APK-файлы непосредственно на ваше Android-устройство. Интересный факт: компания была одной из первых, кто принял технологию блокчейн и работу с криптовалютой.

    Ох уж этот многострадальный Google Pixel 4a! Вроде и аппарат должен быть неплохой, и время для выхода выбрано максимально правильно, но что-то всегда не ладится. Сразу вспоминается зарядка AirPower, о которой весь Интернет гудел больше года и которая в итоге так и не вышла. Мне новый бюджетный Google Pixel интересен, но судя по последней информации, его придется еще немного подождать. Изначально он должен был появится на конференции Google I/O, после ее отмены заговорили про более ранний срок, потом про май, потом про июнь, теперь называются новые сроки. Но сколько же в итоге его можно ждать и появится ли он вообще? Ведь откладывать бесконечно нельзя, есть еще один фактор, который торопит команду создателей.

    Несмотря на то что есть обширная категория пользователей, которые считают Android самой функциональной мобильной ОС, если разобраться, то становится ясно, что без вспомогательного ПО и сервисов – это просто сосуд, требующий наполнения. Google понимает это как никто другой и даже сделала данную особенность своей платформы её фишкой. Во-первых, так удобнее обновлять совместимые устройства, а, во-вторых, так можно зарабатывать, продавая доступ к своим службам производителям за деньги. Ну, а почему бы и нет, если сервисы и правда крутые?

    Google никогда не была особенно расторопной в вопросах обновления своих приложений и сервисов. Как правило, в компании предпочитают распространять апдейты постепенно, чтобы, в случае обнаружения каких-либо проблем, иметь возможность отозвать их ещё на ранней стадии. Это давнишнее правило, которое поддерживает ощущение стабильности всех обновлений, которые выпускает поисковый гигант. Однако бывают такие обновления, которые просто нельзя распространять постепенно, а необходимо срочно выкатить для всех и сразу. Конечно же, это система отслеживания больных коронавирусом.

    Принципы обнаружения вредоносных приложений для Android

    В статье рассматриваются основные принципы обнаружения и анализа предположительно вредоносных программ в операционной системе Android, широко используемой в смартфонах и планшетах. Перечислены основные инструменты, используемые экспертами для анализа приложений для Android.

    Введение

    Мобильные устройства хранят огромное количество важной персональной информации, включая платежную, что делает их привлекательными для киберпреступников. Развитие мобильных ОС, например iOS и Android, а также техническая эволюция смартфонов и планшетов привели к росту популярности последних. Результатом высокого спроса, а также множества уязвимостей операционной системы и отсутствия средств антивирусной защиты стал интерес киберпреступников к разработке или покупке приложений, реализующих вредоносные функции на мобильных платформах. Это, в свою очередь, поставило перед специалистами в области судебной компьютерной (компьютерно-технической) экспертизы новые задачи.

    Общая характеристика вредоносных приложений для Android

    Для написания большинства приложений, работающих в ОС Android, используется язык программирования Java. Выполняются программы в системе посредством AndroidRuntime начиная с версии 4.4.

    Для того чтобы проводить анализ приложений, эксперту необходимо понять их формат. Рассматриваемые приложения хранятся в памяти мобильного устройства в формате APK, причем приложение сначала компилируется, а уже после упаковывается в APK-файл вместе со всеми составляющими. Указанный файл представляет собой ZIP-архив, включающий байт-коды, ресурсы, сертификаты и manifest-файл. После установки APK-файл копируется в соответствующее место файловой системы. Для системных приложений это обычно /system/app, для пользовательских — /data/app.

    С криминалистической точки зрения APK-файл содержит три наиболее важных части: сигнатура, байт-код и ресурсы.

    Сигнатура содержит контрольную сумму APK-файла, которая может быть использована экспертом, чтобы установить, не повреждено ли приложение. Кроме того, эксперт может собирать сигнатуры программ, в том числе предположительно вредоносных, и использовать для их быстрой идентификации в памяти исследуемого носителя цифровой информации.

    Исполняемая часть приложения хранится в файле classes.dex, размещенном в архиве (APK-файл), и содержит все его скомпилированные классы, представленные в виде байт-кодов. Необходимо отметить, что байт-код здесь преобразован в инструкции для виртуальной машины AndroidRuntime, так как последняя, в отличие от виртуальной машины Java, основана на регистрах. Также APK-файл может содержать заранее скомпилированный код (каталог lib).

    В качестве ресурсов выступают части приложения, не требующие исполнения, например компоненты пользовательского интерфейса. Наиболее важной частью ресурсов, с точки зрения криминалистического исследования, является файл AndroidManifest.xml. Указанный файл содержит сведения о разрешениях, запрашиваемых приложением при установке. Так, некоторые приложения, чтобы получить доступ с защищенным API ОС Android, запрашивают разрешение на доступ к чтению сообщений, контактам и т. д. Анализ рассматриваемого файла является важнейшим шагом для обнаружения вредоносных функций того или иного приложения.

    Обнаружение вредоносных приложений для Android

    Несмотря на то, что существуют специализированные приложения, предназначенные для обнаружения вредоносных программ, это не решает рассматриваемой проблемы цифровой криминалистики. Кроме того, в ходе криминалистического исследования эксперту необходимо не просто обнаружить потенциальный вредонос, но и проанализировать его код, а также произвести реконструкцию его действий.

    Чтобы обнаружить потенциально вредоносные приложения, эксперт может использовать контрольные суммы. База данных (БД) контрольных сумм может быть собрана на основе данных, представленных, например, в Google Play. Тот факт, что контрольная сумма приложения не соответствует ни одной из имеющихся в БД, может указывать на то, что приложение является вредоносным. Разумеется, для однозначного вывода данной информации недостаточно: требуется более глубокий анализ.

    Необходимость в получении разрешений — уникальная черта программного обеспечения ОС Android. Необходимо отметить, что приложению достаточно получить права единожды — при инсталляции. Многие пользователи игнорируют данный запрос, что и приводит к тому, что кажущееся безобидным на первый взгляд приложение получает все необходимые ему права. Подозрительные разрешения — один из главных признаков, характеризующих приложение как вредоносное.

    Методы противодействия криминалистическому исследованию и способы борьбы с ними

    Специалисты выделяют четыре наиболее распространенных способа противодействия криминалистическому исследованию предположительно вредоносных приложений в ОС Android: обфускация, шифрование символьных строк, противодействие декомпилятору и проверка окружения.

    Обфускация позволяет разработчикам, сохранив функциональность программы, привести ее код к такому виду, что его анализ и понимание алгоритмов работы будет затруднено.

    Перед тем как производить деобфускацию кода, эксперту необходимо произвести декомпиляцию предположительно вредоносной программы. К сожалению, на современном этапе развития декомпиляторы не могут разбирать программы идеально. Полученный с их помощью код отличается наличием ошибок и неполнотой. Тем не менее байт-код, несмотря на свою сложность, всегда точен. Из этого следует, что в ходе анализа предположительно вредоносных программ эксперт должен опираться не только на декомпилированный исходный код, но и на байт-код.

    Читать еще:  Ошибка при получении данных с сервера DF-DFERH-01 в Play Market как исправить

    Для того чтобы извлечь байт-код (в .dex формате) из APK-файла, эксперт может воспользоваться, например, ApkTool. Для декомпиляции байт-кода в исходный код Java и последующего анализа может быть использована связка программных продуктов, состоящая, например, из Dex2Jar (декомпиляция) и JD-GUI (анализ). Полученный в результате декомпиляции исходный код Java нуждается в редактировании: может возникнуть необходимость удалить пустые классы, поправить ошибки, осуществить переименования методов, классов и их объектов и т. д.

    Символьные строки, содержащиеся в предположительно вредоносной программе, являются важнейшим источником криминалистически значимой информации. Для реализации шифрования символьных строк разработчиками используются как сравнительно простые алгоритмы, такие как XOR, Base64 и ROT13 (включая его вариации, например, ROT15), так и продвинутые криптографические стандарты, например DES и AES.

    Так, идентификация символьных строк, зашифрованных применением алгоритма XOR, может быть осуществлена экспертом посредством программного продукта XORSearch разработки Дидье Стивенса.

    Необходимо отметить, что злоумышленниками применяются различные методы, позволяющие избежать детектирования рассматриваемого алгоритма. Например, шифрование с применением XOR осуществляется в два этапа: сначала с использованием одного значения, затем — другого.

    Существует огромное количество программ и онлайн-сервисов, позволяющих привести строки, закодированные Base64, в читаемый вид. Несмотря на то, что обойти подобное шифрование достаточно просто, эксперт все же может столкнуться с трудностями. Например, создатели вредоноса могут изменить последовательность символов в алфавите Base64, что помешает работе стандартных декодировщиков.

    ROT13 — наиболее простой алгоритм из трех рассматриваемых. Но существуют и его модификации, способные усложнить декодирование. Так разработчиками вредоносного программного обеспечения может использоваться модификация этого алгоритма, например ROT15, которая осуществляет сдвиг не на 13 позиций, а на 15.

    Некоторые вредоносные программы написаны таким образом, что их функционирование возможно только на определенных типах мобильных устройств. Приложением осуществляется проверка как свойств системы, так и международного идентификатора мобильного абонента (IMSI). Таким образом, программа не выполняется, если устройство или эмулятор не проходит проверку, что затрудняет проведение динамического анализа.

    Обойти рассматриваемую меру противодействия криминалистическому анализу можно, модифицировав код обнаруженной предположительно вредоносной программы.

    Анализ следов предположительно вредоносных программ

    Исследователи различают два типа анализа предположительно вредоносных программ: динамический и статический.

    В рамках динамического анализа предположительно вредоносной программы, который иногда называют поведенческим, рассматриваются особенности ее поведения, в частности, как она взаимодействует с системой, какие данные собирает, какие сетевые соединения устанавливает и т. д.

    Для проведения динамического (поведенческого) анализа экспертом может быть использован, например, программный продукт DroidBox. Он позволяет собрать следующую информацию о программе и ее деятельности в системе:

    • хеш-сумма APK-файла (алгоритмы MD5, SHA-1 и SHA-256);
    • сведения о полученных и отправленных по сети данных;
    • сведения об операциях чтения и записи файлов;
    • сведения о запущенных службах и загруженных классах;
    • сведения о сборе и отправке пользовательских данных;
    • сведения о разрешениях, которые получило приложение;
    • сведения о криптографических операциях, осуществляемых приложением с использованием Android API;
    • сведения об отправляемых SMS-сообщениях и осуществляемых вызовах.

    По результатам эксперт получит для анализа набор файлов в формате JSON, содержащих указанные сведения.

    Необходимо отметить, что рассматриваемый программный продукт предназначен для работы в операционных системах Linux и Mac OS X. Однако большинство экспертов используют рабочие станции под управлением операционной системы семейства Windows. Решением данной проблемы может послужить создание виртуальной машины и установка соответствующей операционной системы или использование уже готового дистрибутива, например Santoku Linux.

    В рамках статического анализа предположительно вредоносной программы производится анализ ее кода. Главной задачей рассматриваемого типа анализа является выделение части кода, ответственной за предположительно вредоносные действия исследуемой программы.

    Существует два наиболее распространенных способа проведения статического анализа, а именно с использованием ApkTool или Dex2Jar и JD-GUI.

    ApkTool позволяет произвести дизассемблирование предположительно вредоносной программы. В результате эксперт получит несколько файлов и каталогов, в том числе:

    • файл Android Manifest, который содержит сведения о разрешениях, запрашиваемых приложением, а также о точках входа;
    • каталог res, который содержит XML-файлы, описывающие макет приложения, а также необходимые ему графические файлы и т. д.;
    • каталог smali, содержащий файлы .smali (операционный код), которые могут быть проанализированы посредством текстового редактора с подсветкой синтаксиса, например, Notepad++.

    Чтобы воспользоваться Dex2Jar, эксперту необходимо предварительно распаковать предположительно вредоносный APK-файл, после чего посредством рассматриваемого программного продукта преобразовать файл classes.dex (байт-код) в classes.dex.dex2jar.jar (java-код). Анализ полученного файла, содержащего исходный код Java, может быть произведен посредством программного продукта JD-GUI.

    Рисунок 1. Этапы обнаружения и анализа следов предположительно вредоносного поведения программ в ОС Android

    Выводы

    В данной статье мы рассмотрели основные принципы обнаружения и анализа предположительно вредоносных программ в операционной системе Android. Также были рассмотрены основные инструменты, используемые экспертами для анализа приложений в этой операционной системе. В последующих статьях мы более подробно остановимся на способах и средствах, которые могут быть использованы для анализа предположительно вредоносных программ, а также приведем примеры подобного анализа.

    Приложения на смартфонах Android, которые желательно удалить: список

    Список подозрительных Android-приложений, которые нужно удалить со своего смартфона

    Без приложений современный смартфон, по сути, является простой звонилкой без интересных дополнительных функций, полезных или развлекательных. Пользоваться таким устройством нелогично. Особенно это касается топовых гаджетов, в которых производителем устанавливается множество необычных датчиков, так много возможностей пользователь может потерять.

    Но есть проблема: устанавливать себе на телефон утилиты без предварительного изучения фактора безопасности тоже нельзя. Особенно эта тема касается приложений, распространяемых через Google Play Store для Android. Хакеры не дремлют и постоянно внедряют новые вредоносные ПО в безобидные на первый взгляд устройства.

    Вроде бы, и сказано о мерах защиты своих данных от преступников разных мастей немало, есть и официальные разъяснения Google о защите данных и телефона при пользовании их сервисом: support.google.com , но в итоге это помогает не очень сильно. Устройства как заражались, так и продолжают заражаться, данные с кредиток, деньги, личная информация как уходили, так и продолжают уходить на сторону.

    Для того чтобы хоть немного минимизировать риски для конечного юзера, мы опубликуем список очень популярных программ, которые вы ни в коем случае не должны скачивать на свое устройство под управлением Android.

    Отчет по наиболее опасным приложениям для пользователей Android

    Согласно новому отчету от VPNpro , под подозрение попала китайская компания Shenzhen Hawk, которая, по мнению специалистов, запустила 24 приложения в Google Play Store. В общей сложности пользователями было произведено 382 миллиона загрузок. И это проблема, считают в VPNpro.

    Несмотря на то что не все эти приложения из опубликованного списка были одинаково вредоносными, некоторые из них делали подозрительные запросы на Android-устройства владельцев.

    Например, приложение антивирусного сканера из Китая запрашивало доступ к камере на устройстве. Зачем оно это делало, если задача у утилиты совершенно иная – сканировать файлы для поиска уязвимостей?

    В итоге мы видим такую картину:

    Из 24 очень подозрительных приложений, попавших в отчет, шесть запрашивают доступ к камере пользователя и два – к самому телефону, что означает – программы без ведома пользователя могут самостоятельно совершать звонки. 15 приложений могут получать доступ к GPS-местоположению пользователя и считывать данные с внешних устройств хранения данных, а 14 – собирать и отправлять данные о телефоне и сети пользователя. Одно из приложений может записывать аудио на устройстве или на собственных серверах, другое – получать доступ к контактам пользователя.

    После установки эти приложения могут взаимодействовать с внешним сервером под управлением разработчиков ПО. Серверы, по данным экспертов, находятся в Китае, и по крайней мере одно из приложений из списка – Weather Forecast, – по сообщениям, отправляло на подозрительные серверы данные пользователей.

    Например, при получении сведений о местоположении устройства их пользовательские данные продаются рекламодателям, которые затем смогут персонализировать нежелательные объявления для них. Неприятно, конечно, но это меньшее из зол!

    Хуже всего то, что приложения могут загружать на устройства дополнительные вредоносные программы, которые способны уже добраться до паролей и получить доступ, например, к банковской информации.

    Список опасных приложений, о которых идет речь:

    Непременно проверьте наличие опасных приложений на вашем смартфоне. Просто пролистайте установленные приложения на смартфоне и сравните с этим списком (приложения, ранжированные в порядке количества загрузок, в миллионах):

    Sound Recorder (100M)

    Super Cleaner (100M)

    Virus Cleaner 2019 (100M)

    File Manager (50M)

    Joy Launcher (10M)

    Turbo Browser (10M)

    Weather Forecast (10M)

    Candy Selfie Camera (10M)

    Hi VPN, Free VPN (10M)

    Candy Gallery (10M)

    Calendar Lite (5M)

    Super Battery (5M)

    Hi Security 2019 (5M)

    Private Browser (500,000)

    Hi VPN Pro (500,000)

    Word Crossy! (100,000)

    Soccer Pinball (10,000)

    Laser Break (10,000)

    Если одно или несколько приложений все же найдено на смартфоне, проверьте, кто является его разработчиком:

    Alcatel Innovation Lab

    Если разработчик есть в списке, немедленно удаляйте приложение! Проверка не займет больше пары минут, но зато вы обезопасите себя от возможных серьезных проблем. Кому нравится, когда за ним следят?

    Google уже удалил все 24 приложения, о которых идет речь, из магазина Google Play, больше они недоступны для скачки, но с устройства их придется удалять самостоятельно, вручную.

    Как понять, что приложение рискованное для использования?

    На этот вопрос нет однозначного ответа, вполне возможно, что приложение на самом деле нуждается в более глубоком доступе для работы (например, ему нужно ваше местоположение или доступ к вашей камере). Но в случаях если антивирусное приложение хочет получить разрешение на запись звука с вашего устройства или игра пасьянс требует доступа к вашему местоположению и календарю, как минимум не разрешайте ему делать это, а лучше удалите его с устройства.

    И раз уж мы затронули тему, возможно, для улучшения качества отслеживания и работы со смартфоном стоит задуматься об установке утилиты Permission Manager или схожих вариантов.

    Через нее вы сможете увидеть, какие приложения имеют доступ к различным элементам телефона.

    Но прежде всего, как мы говорили и ранее, здравый смысл!

    Ссылка на основную публикацию
    Статьи c упоминанием слов:
    Adblock
    detector