Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Вирусы есть? А если найду?

459 views

Published on

Ведущий: Ольга Зиненко

Уральский центр систем безопасности проводит независимое тестирование мобильных антивирусов, разработанных для платформы Android (в том числе Dr.Web, Kaspersky, Norton, ESET). Доклад посвящен результатам исследования. Показатели, которые оцениваются в первую очередь: выполнение заявленных функций, уровень защиты, возможности обхода, наличие уязвимостей, полезность и значимость дополнительных функций.

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Вирусы есть? А если найду?

  1. 1.  Чтение смс  Отправка смс  Удаление смс  Шифрование данных  Блокировка телефона (cat.apk)
  2. 2. (cat.apk) ПерехватывающаяАктивная Фоновая 1. Ждет, когда придет сообщение 2. Парсит на нужные поля 3. Отправляет в командный центр Запускает фоновую часть Выполняет одну из функций: o Чтение всех смс o Отправка смс o Удалить смс o Зашифровать o Расшифровать o Заблокировать телефон o Разблокировать телефон
  3. 3. Перехватывающая Активная Фоновая (cat.apk)
  4. 4. 2 из 56
  5. 5. 2 из 56 21 из 56
  6. 6. 2 из 19 обнаружили угрозу в cat.apk 17 из 19 не выявили угроз в cat.apk
  7. 7. 6 из 19 обнаружили угрозу в cat.apk 13 из 19 не выявили угроз в cat.apk
  8. 8.  Переименовывает имена методов и некоторых классов  Удаляет всю отладочную информацию  Не трогает AndroidManifest.xml  Шифрует строки  Переименовывает имена свойств, методов и некоторых классов  Частично удаляет отладочную информацию  Не трогает AndroidManifest.xml
  9. 9. Clean Proguard Alatori Cat.apk 26 17 10 Dendroid 35 31 24 Dendroid- modify 28 28 21 Clean Proguard Alatori Cat.apk 6 4 4 Dendroid 12 11 9 Dendroid- modify 10 9 5 virustotal Мобильные антивирусы
  10. 10. Добавление в код каждого класса дополнительного метода Код метода1 .method public SparkLog(Ljava/lang/String;)V const-string v0, "SparkLog" invoke-static {v0, p0}, Lcom/lohan/lohanLog;- >Log(Ljava/lang/String;Ljava/lang/String;)V .end method Код метода2 Изменение имен методов классов .method private capitalize(Ljava/lang/String;)Ljava/lang/String; .method private capitalizeabc123(Ljava/lang/String;)Ljava/lang/String; .method private capitalize(Ljava/lang/String;)Ljava/lang/String; goto :CFGGoto2 :CFGGoto1 Код метода :CFGGoto2 goto :CFGGoto1 .end method Изменение потока выполнения .method private capitalize(Ljava/lang/String;)Ljava/lang/String; Код метода .end method Шифрование строк кода const-string v5, "http.protocol.content-charset" const-string v5, "rddz.zbydymyv.myxdoxd-mrkbcod" invoke-static {v5}, Lcom/mzhengDS;- >DecryptString(Ljava/lang/String;)Ljava/lang/String; move-result-object v5 ADAM и его методы обфускации До После Код метода1 Код метода2
  11. 11. virustotal Clean ADAM Cat.apk 26 18 Dendroid 35 25 Dendroid- modify 28 17 Clean ADAM Cat.apk 6 3 Kaspersky LookOut AVAST Dendroid 12 11 Dendroid- modify 10 9 Мобильные антивирусы
  12. 12. ② Шифрует имена пакетов и классов ④ Удаляет отладочную информацию ① Работает с байт-кодом Фрагмент AndroidManifest.xml после обфускации ⑤ Создает новую структуру папок (пакетов) и новый AndroidManifest.xml ③ Шифрует строки
  13. 13. Clean Eva Cat.apk 6 1 AVAST Dendroid 12 11 Clean Eva Cat.apk 26 3 Dendroid 35 12 virustotal Мобильные антивирусы
  14. 14. clean repack Alatori + ADAM Proguard + ADAM Eva Eva + ADAM Eva + ADAM + Allatori Eva + ADAM + Proguard Cat.apk 26 5 5 4 3 3 2 Ahnlab-V3 ESET-NOD 1 Ahnlab-V3 Dendroid 35 22 23 24 24 25 12 11 Dendroid- modify 28 15 16 24 24 17 10 4
  15. 15. clean repack ADAM Eva сat.apk 6 4 3 Kaspersky LookOut AVAST 1 AVAST whatsapp 0 2 LookOut AVAST 2 LookOut AVAST 2 LookOut AVAST

×