Większość mobilnych antywirusów jest po prostu… kiepska? Test 57 aplikacji

15 listopada, 2016

Spóźniliśmy się o rok, ale co tam. Niezależni badacze z Iswatlab (i osoby powiązane z Uniwersytetem Sannio we Włoszech) opublikowali swoje badania 57 mobilnych aplikacji antywirusów. Test przewidywał zbadanie skuteczności tych wszystkich programów na zestawie 5560 plików szkodliwego oprogramowania, przy czym w drugiej fazie detekcji kolekcji wirusów, te same próbki malware poddawano lekkiej modyfikacji. Wyniki dla niektórych producentów oprogramowania antywirusowego okazały się katastrofalne.

Aby poddać modyfikacji kolekcję próbek, opracowano autorskie narzędzie napisane w Javie o nazwie “Malware Washing Machine”, które dostępne jest do pobrania tutaj. Modyfikacje złośliwych aplikacji na Androida obejmowały metody:

  • Disassembling & Reassembling.
  • Repacking.
  • Changing package name.
  • Identifier Renaming.
  • Data Encoding.
  • Call indirections.
  • Code Reordering.
  • Junk Code Insertion.
  • Composite Transformations.

Testerzy, aby upewnić się, że wszystkie złośliwe APK przed, jak i po modyfikacji zachowały swoje złośliwe cechy szczególne, weryfikowali bezpieczeństwo kolekcji próbek z wykorzystaniem serwisu VirusTotal.

Poniższa tabela przedstawia ilość wykrytych mobilnych szkodników z 5560 wirusów. Kolumna zaznaczona na czerwono to wykryte szkodliwe oprogramowanie już po modyfikacji. Kolumna środkowa wskazuje na ilość wykrytych plików APK.

test av mobile
Na pierwszy rzut oka wyniki mogą być szokujące.
test av mobile2
Zależność pomiędzy detekcją niemodyfikowanych malware, a tych już zmodyfikowanych (po prawej).

Test ten dowodzi jeszcze jedno — większość producentów AV nie radzi sobie z wykrywaniem wirusów na platformie mobilnej Android w oparciu o mechanizmy behawioralne.

My wiemy jedno — wyniki testów zależą przede wszystkim od zastosowanej metodologii oraz próbek. Przykładowo, testowane programy w teście A na zestawie próbek B1 uzyskają inne wyniki w tym samym teście A, ale przy wykorzystaniu zestawu próbek B2. Z kolei stosując ten sam zestaw malware B1 i B2 w teście A, ale już z zastosowaniem innej metodologii uzyskamy jeszcze inne wyniki.

Co to oznacza dla użytkownika końcowego? 

A no tylko to, że antywirus X osiągnął bardzo dobre wyniki przy zastosowaniu takiej a nie innej metodologii oraz tego zestawu wirusów. 

Więc o tym w tym wszystkim chodzi?

Zawsze to powtarzamy w naszych testach:

Testy AVLab są niezależne i odbywają się w warunkach zbliżonych do rzeczywistości. Nie należy kierować się naszymi wynikami, jako ostateczną decyzją w wyborze aplikacji bezpieczeństwa.

W celu dokonania ostatecznego wyboru, sugerujemy zapoznać się także z testami innych niezależnych laboratoriów, które korzystają z różnych metod i technik testowania oprogramowania. Ponadto, decyzje w wyborze zależą od osobistych preferencji, dostępności niezbędnych funkcji, skuteczności, wykrywalności, wpływu na wydajność systemu, wyglądu interfejsu, ceny, łatwości użytkowania, kompatybilności, języka, wsparcia technicznego i wielu innych cech.

Słowo (lub raczej „zdanie”) klucz to:

W celu dokonania ostatecznego wyboru, sugerujemy zapoznać się także z testami innych niezależnych laboratoriów, które korzystają z różnych metod i technik testowania oprogramowania.

Czyli: analizując wyniki z danego testu dla oprogramowania X, należy mieć na uwadze także inne testy oraz osiągane wyniki przez oprogramowanie X w dłuższej perspektywie czasu.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Kliknij na gwiazdkę, aby zagłosować!

Średnia ocena: 0 / 5. Liczba głosów: 0

Jak na razie nikt nie podzielił się opinią.

guest
3 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]