大学の研究者チームが、Android アプリ上の悪質なアプリケーションを検出する新しい方法を考案し、デモンストレーションとして、ゼロデイ脆弱性を悪用するソフトウェアを 20 件も含む 127,429 件の怪しいソフトウェアを発見しました。
MassVetと名付けられたこの計画は、カイ・チェン氏、ペン・ワン氏、ヨンジュン・リー氏、シャオフェン・ワン氏、インディアナ大学のナン・チャン氏、ペンシルベニア州立大学のヘチン・ファン氏とペン・リウ氏、そして中国科学院のウェイ・ゾウ氏の8人の研究者の発案によるものである。
MassVet は論文 [ 10 秒で未知の悪意を見つける: Google Play 規模の新しい脅威の大量審査pdf] で、同社のシステムは古い署名スキャンを破棄し、代わりに正当な Android フレームワークと比較して悪意のあるものを特定すると説明しています。
作者らは、このツールは誤検出率が低く、10 秒以内に悪意のあるアプリを識別できると自慢しているが、現在の審査メカニズムはひどいと付け加えている。
既存の検出メカニズムは、多くの場合、高負荷なプログラム解析技術を用いますが、私たちのアプローチは、提出されたアプリを既に市場に出回っているすべてのアプリと比較するだけです。類似したUI構造を持つアプリ間の差異(再パッケージ化の可能性を示唆)と、一見無関係に見えるアプリ間の共通性に焦点を当てています。公開ライブラリやその他の正当なコード再利用が削除されると、このような差異/共通プログラムコンポーネントは非常に疑わしいものになります。この分析は、そのシンプルで静的な性質と、ビューとコードの違いや類似点をクラウドベースで高速に検索できる機能投影技術によってスケーラブルになっています。
象牙の塔の知性の集まりは、ゼロデイマルウェアについて、動的な疑わしいコードをロードして実行するものが 3 つ、不正に写真を撮るものが 1 つ、他のアプリのブートシーケンスを変更するものが 1 つ、SIM カード、シリアル番号、電話番号などのユーザーの機密データを盗むものが 7 つ、アドウェアを吐き出すものがいくつかあると述べています。
「これらの活動の存在から、これらは実際にはゼロデイマルウェアである可能性が高いと考えられる」と研究者らは述べている。
しかし、スパイクドゼロデイマルウェアVX開発者たちは、自分たちの仕事の終焉を嘆く必要はありません。調査チームによると、Googleは4分の1以上の確率でプレイヤーを禁止するだけで、ペイロードは禁止せず、他のネットスカムが同じ悪意あるコードを実行できるようにしています。中には、悪質なアプリが同じ名前の使用を禁止されるだけの、驚くべき事例もあります。
もう一つの興味深い発見は、これらの開発者の一部が、削除された後も同一または類似の悪質アプリを再アップロードしていたことです。実際、再表示された2,125個のアプリのうち、マルウェアであることが確認された604個(28.4%)は、同じMD5と名前で、変更なくPlayストアに表示されていました。さらに、これらの開発者は、マルウェアと同じ悪質コード(マルウェアと同じ)を持つアプリを、異なる名前で829個も公開していました。既知の悪質ペイロードを含むアプリが依然として紛れ込んでいたという事実は、Googleが既知のマルウェアに対してさえ十分な注意を払っていない可能性を示唆しています。
チームのプラットフォームは、プログラミングで使用される既存の比較アルゴリズムに加えて、相違点と類似点の比較メカニズムを使用します。
MassVet は 33 の Android アプリストアから 120 万以上のアプリをクロールし、127,429 個のマルウェア アプリを発見し、人気のオンライン分析マシンである Virus Total を含む 54 のウイルス対策スキャナーをすべて上回ったと研究者らは主張している。
そのうち 30,552 個の悪質アプリが Google Play にホストされています。
学術軍によれば、一部の悪質なアプリはAndroidデバイスに何百万回もインストールされたが、MassVetによって検出された34,026件はすべてのウイルス対策エンジンで検出されなかったという。
過去 14 か月間にアップロードされた 400 個以上のアプリは 100 万回以上インストールされ、5,000 個のアプリはそれぞれ約 1 万回インストールされ、「数億台のモバイル デバイスに影響を与えています」。®
