Detección de malware en Android es impulsada por una investigación universitaria



Los investigadores de la Universidad Estatal de Carolina del Norte han descubierto una manera de monitorear en busca de malware en Android con muy pocos gastos generales

Con los teléfonos inteligentes y las tabletas cada vez más en riesgo por el malware, los investigadores de la Universidad Estatal de Carolina del Norte han desarrollado un nuevo y potencialmente mejor manera de detectarlos en los dispositivos Android.

La herramienta que han desarrollado, llamado PREC (Root Práctico Exploit contention), está capacitado para descubrir el código malicioso escrito en el lenguaje de programación C, el lenguaje en el que se escribe el código más peligroso para Android.

PREC busca los ataques desde la raíz, en la que se permite el acceso de administración del sistema para el acceso de los programa que utilizan el dispositivo, por el cual un hacker malintencionado puede utilizar para su proposito.

Los investigadores detallan su trabajo, en el documento " PREC: Practical Root Exploit Containment for Android Devices ", presentado en la Association for Computing Machinery's Conference on Data and Application Security and Privacy, que se ha celebrado esta semana en San Antonio, Texas.

PREC utiliza una técnica bien conocida para la identificación de código malicioso, llamado detección de anomalías. La detección de anomalías compara el comportamiento que se espera que haga una aplicación con la forma en que se comporta realmente cuando se está ejecutando en un dispositivo, en términos de llamadas que hace al sistema.

PREC es único, ya que permite identificar las llamadas realizadas al código nativo de C a partir de un programa en Java, y comprueba si este tipo de acciones encajan en el perfil de la aplicación en su uso típico. La mayor parte de programas de software para Android están escritos en Java, por lo que otros detectores experimentales de anomalías se han centrado en él.

"Hemos observado que la mayoría de los exploits existentes están elaborados en código C," dijo Helen Gu, profesor asociado de ciencias informáticas en el NCSU que estuvo involucrado en el proyecto. "Es difícil, si no imposible, lanzar exploits en código Java, ya que tiene que pasar por una máquina virtual."

Con este enfoque, PREC ha sido capaz de reducir el número de identificaciones falsas por orden de magnitud, en comparación con otros detectores de anomalías. Centrándose en el código nativo de C da a PREC un modelo más preciso de cómo los ataques serían diferentes en las operaciones estándar.

Los investigadores probaron un prototipo contra 150 aplicaciones para Android, de los cuales 140 fueron benignos y 10 exploits de root encontrados. Los experimentos se realizaron en un Nexus Google Galaxy y en un emulador. PREC fue capaz de identificar todos los root exploits con un número mínimo de falsos positivos.

Lo que los investigadores esperan hacer es convencer a las tiendas de aplicaciones, como la de Google Play Store, para crear una base de datos que describa las características de rendimiento típicas de todas sus aplicaciones. Luego, cuando un usuario descarga una nueva aplicación, el dispositivo Android también puede descargar el perfil de ejecución PREC para esa aplicación, y utilizar ese perfil para monitorear cualquier actividad inusual proveniente de la aplicación.
Mientras que los operadores del mercado de aplicaciones como Apple o Google muestran en su escritorio las aplicaciones enviadas a sus tiendas, los programadores de malware han aprendido a esconder su código dentro de una aplicación para que no se ejecute hasta que el programa haya sido descargado, dijo Gu.

Los investigadores eligieron Android sobre iOS de Apple debido a que el kernel de Android, que es de Linux, es de código abierto, mientras que Apple tiene el kernel para iOS cerrado. Siendo PREC elaborado como un módulo que puede ser compilado en el kernel.

PREC no es el único detector de malware para Android basado en la detección de anomalías que los investigadores han creado. Crowdroid utiliza un modelo de crowdsourcing para determinar las rutinas de comportamiento de las aplicaciones, y Paranoid Android descarga algunas de las funciones de detección para servidores.

Dos de esos detectores requieren más potencia de procesamiento en el dispositivo movil, comparados a PREC, según los investigadores de la NCSU. Ejecutando PREC típicamente incurre en alrededor del 3 por ciento arriba sobre el sistema, en comparación con la sobrecarga de 15 a 30 por ciento incurrida por Crowdroid y Android.

IBM, Google, la National Science Foundation de Estados Unidos y el ejército de Estados Unidos financian la investigación.

Fuente: infoworld