Американские исследователи создали программный инструмент AVPass, который с успехом обходит антивирусы для Android. Инструмент генерирует фальшивые фрагменты вирусов и отсылает их на проверку антивирусу, собирая таки образом данные о его работе. Из 58 протестированных антивирусов проверку выдержали только два.

Исследователи из Технологического института Джорджии, США, создали программный инструмент для обхода антивирусов, предназначенных для защиты ОС Android. Инструмент получил название AVPass. В ходе тестов, проведенных с помощью службы обнаружения вредоносного ПО VirusTotal, AVPass смог обмануть почти все из 58 антивирусов, которые участвовали в эксперименте. 

По словам Макса Волоцки (Max Wolotsky), аспиранта Технологического института Джорджии и одного из авторов проекта, AVPass просто делает невидимым для антивируса вредоносное ПО, которое поступает в мобильное устройство. Технология, заложенная в AVPass, может работать и с другими ОС.

AVPass состоит из нескольких компонентов. Один из них — функционал, предназначенный для проверки возможностей антивируса Android по обнаружению вредоносного ПО. Другой компонент — генератор вирусов, который создает множество вариаций одного образца. Также присутствует аналитическая система, она обрабатывает полученные результаты и использует эту информацию, чтобы обойти антивирус.

AVPass эксплуатирует методы внутреннего обнаружения и логику кода антивирусных систем. Для тестирования антивируса он отсылает фальшивые вариации фрагментов вредоносных кодов, чтобы не показывать весь образец на стадии проверки. Потом код модифицируется на основании данных о реакции антивируса на фрагменты.

Всего два антивируса из 58 смогли защитить Android от хакерского инструмента AVPass

По словам Волоцки, чем более сложные у антивируса правила обнаружения вредоносного ПО, тем больше у него шансов выстоять. Но, как оказалось, у многих популярных антивирусов эти правила довольно просты. Чтобы обмануть слабую защиту, AVPass достаточно провести обфускацию одной функции.

Из антивирусов, против которых применяли AVPass, только AhnLab и WhiteArmour смогли в большинстве случаев его остановить. Остальные 56 антивирусов распознавали созданные им коды лишь в 6% случаев. Теоретически антивирусы для Android могут защититься от атаки AVPass разными способами — например, генерируя нулевые ответы, чтобы инструмент не мог собрать данные об их возможностях.