Исследователи из Технологического института Джорджии, США, создали программный инструмент для обхода антивирусов, предназначенных для защиты ОС Android. Инструмент получил название AVPass. В ходе тестов, проведенных с помощью службы обнаружения вредоносного ПО VirusTotal, AVPass смог обмануть почти все из 58 антивирусов, которые участвовали в эксперименте. Исследователи планируют представить новинку на следующей неделе на конференции Black Hat USA 2017 в Лас-Вегасе, США.
По словам одного из авторов проекта, AVPass просто делает невидимым для антивируса вредоносное ПО, которое поступает в мобильное устройство. Технология, заложенная в AVPass, может работать и с другими ОС. В скором времени исследователи планируют протестировать свое изобретение на десктопной версии Windows.
AVPass состоит из нескольких компонентов. Один из них — функционал, предназначенный для проверки возможностей антивируса Android по обнаружению вредоносного ПО. Другой компонент — генератор вирусов, который создает множество вариаций одного образца. Также присутствует аналитическая система, она обрабатывает полученные результаты и использует эту информацию, чтобы обойти антивирус.
AVPass эксплуатирует методы внутреннего обнаружения и логику кода антивирусных систем. Для тестирования антивируса он отсылает фальшивые вариации фрагментов вредоносных кодов, чтобы не показывать весь образец на стадии проверки. Потом код модифицируется на основании данных о реакции антивируса на фрагменты.Всего два антивируса из 58 смогли защитить Android от хакерского инструмента AVPassПо словам Волоцки, чем более сложные у антивируса правила обнаружения вредоносного ПО, тем больше у него шансов выстоять. Но, как оказалось, у многих популярных антивирусов эти правила довольно просты. Чтобы обмануть слабую защиту, AVPass достаточно провести обфускацию одной функции.
По словам одного из авторов проекта, AVPass просто делает невидимым для антивируса вредоносное ПО, которое поступает в мобильное устройство. Технология, заложенная в AVPass, может работать и с другими ОС. В скором времени исследователи планируют протестировать свое изобретение на десктопной версии Windows.
AVPass состоит из нескольких компонентов. Один из них — функционал, предназначенный для проверки возможностей антивируса Android по обнаружению вредоносного ПО. Другой компонент — генератор вирусов, который создает множество вариаций одного образца. Также присутствует аналитическая система, она обрабатывает полученные результаты и использует эту информацию, чтобы обойти антивирус.
AVPass эксплуатирует методы внутреннего обнаружения и логику кода антивирусных систем. Для тестирования антивируса он отсылает фальшивые вариации фрагментов вредоносных кодов, чтобы не показывать весь образец на стадии проверки. Потом код модифицируется на основании данных о реакции антивируса на фрагменты.Всего два антивируса из 58 смогли защитить Android от хакерского инструмента AVPassПо словам Волоцки, чем более сложные у антивируса правила обнаружения вредоносного ПО, тем больше у него шансов выстоять. Но, как оказалось, у многих популярных антивирусов эти правила довольно просты. Чтобы обмануть слабую защиту, AVPass достаточно провести обфускацию одной функции.
