Scanners de virus para Android son burlados con facilidad

Scanners de virus para Android son burlados con facilidad

Investigadores de la universidad de Northwestern y de la Universidad Estatal de Carolina del Norte descubrieron que al usar medios triviales, los programas antivirus para Android pueden ser sobrepasados.

Android-Antivirus

Para su investigación, los investigadores desarrollaronDroidChameleon, una herramienta que modifica aplicaciones malwarede varias maneras para evitar que dichas aplicaciones sean detectadas. La mayor parte de los diez scanners que probaron basaba su funcionamiento en al análisis de firmas digitales. En algunos casos, era suficiente con solo cambiar los metadatos referentes al nombre del paquete para que elmalware fuera tomado como inofensivo por los scanners de virus. Varios scanners podían ser burlados al crear nuevos paquetes de instalación al momento de desempaquetar el malware. En otros casos, los investigadores tuvieron éxito al encriptar partes de la aplicación o al redireccionar llamadas de funciones.

Su conclusión es clara: los diez programas antivirus podían ser esquivados de una manera u otra. Muchos de los métodos que los investigadores usaron durante mucho tiempo fueron una práctica común entre elmalware que afecta a Window, y algunos incluso se utilizaron para la implementación de malware en el pasado. Entre los scanners que fueron probados se incluyen programas de AVG, Dr. Web, ESET, ESTSoft, Kaspersky, Lookout, Symantec, Trend Micro, Webroot Zoner.

Sin embargo, los investigadores también dieron algunas buenas noticias: durante el periodo de prueba de Febrero de 2012 a Febrero de 2013, los candidatos mejoraron sensatamente. Mientras que losscanners inicialmente fallaron el 45% del total de pruebas realizadas con malware ligeramente modificado, un año después, sólo fallaron el 16% los investigadores atribuyen este hecho al incremento del uso del emparejamiento basado en el contenido (content-based matching).

Los hallazgos de los investigadores son una razón más para que los usuarios no permitan la instalación de aplicaciones desde fuentes desconocidas (fenómeno también conocido como sideloading) en primer lugar. La mayoría de los programas maliciosos se encuentran en áreas fuera del catálogo oficial de descargas de Google Play en los intercambios peer to peer, en foros y en portales alternativos de aplicaciones. Ya que Google al menos inspecciona las aplicaciones superficialmente antes de agregarlas a la tienda, y en caso de quejas las removerá, se puede decir que los usuarios de Google Play están todavía navegando en aguas relativamente tranquilas.

 

[Vía]