В конце июля прошлого года российская софтверная компания «Доктор Веб» обнаружила несколько вредоносных приложений в магазине приложений «Google Play». Вредоносное ПО, загруженное на смартфон, без разрешения пользователя устанавливало дополнительные программы, которые отправляли дорогостоящие текстовые сообщения в премиум-сервисы.
Хотя «Доктор Веб», согласно собственному заявлению, сразу же проинформировал Google, вредоносные приложения все еще были доступны для загрузки в течение нескольких дней. По оценке «Доктор Веб», таким образом мошенническим образом использовалось до 25 000 смартфонов.Ученые-компьютерщики из немецкого Саарландского университета разработали программное обеспечение, которое может обнаруживать такие вредоносные приложения уже в магазине приложений. Программное обеспечение обнаруживает фрагменты кода, в которых приложение получает доступ к конфиденциальным данным и куда данные отправляются с мобильного устройства.
Если программное обеспечение обнаруживает соединение между таким «источником» и таким «приемником», оно сообщает об этом как о подозрительном поведении. Чтобы привести пример такой злонамеренной комбинации источника и приемника, Эрик Дерр объясняет: «Ваша адресная книга прочитана; сотни инструкций позже и без вашего разрешения отправляется SMS или посещается веб-сайт».
Дерр является докторантом Высшей школы компьютерных наук и проводит исследования в Центре ИТ-безопасности, конфиденциальности и подотчетности (CISPA), который находится всего в нескольких метрах от него.Чтобы определить функциональную связь между источником и приемником, компьютерщики из Саарбрюккена используют новые методы анализа информационных потоков. В качестве входных данных они предоставляют подозрительные комбинации обращений к интерфейсу прикладного программирования. Поскольку программное обеспечение требует большой вычислительной мощности и хранилища, оно запускается на отдельном сервере. «На данный момент мы протестировали с ним до 3000 приложений.
Программное обеспечение анализирует их достаточно быстро, чтобы этот подход можно было использовать на практике», — говорит Дерр.