Practical Root Exploit Containment, nueva técnica de detección de malware para Android
El creciente riesgo que afrontan los teléfonos inteligentes y los tablets Android de ser atacados por malware ha llevado a un grupo de investigadores de la Universidad Estatal de Carolina del Norte a desarrollar una forma nueva, y potencialmente mejor, de detectar presencias hostiles en dispositivos Android.
Se trata de una nueva herramienta, denominada Practical Root Exploit Containment (PREC), destinada a descubrir código pirata escrito en lenguaje de programación C, el preferido para escribir código malicioso para Android.
PREC busca los ataques raíz, en los cuales un programa consigue derechos de acceso a la administración del sistema para controlar el dispositivo completamente y realizar acciones malintencionadas.
Y lo hace con una técnica bien conocida en identificación de código malicioso, llamada detección de anomalías. Esta práctica permite detectar cambios de comportamiento de una aplicación, con respecto a su ejecución habitual en un dispositivo, en función de las llamadas que hace al sistema.
PREC es única, en cuanto a la identificación de llamadas realizadas al código C nativo desde un programa Java y en la comprobación de si estas acciones encajan en el perfil de uso típico de esta aplicación.
La mayor parte de programas de software para Android están escritos en Java, por lo que otros detectores de anomalías experimentales se han centrado en él. Sin embargo, los investigadores de la Universidad de Carolina del Norte aseguran que "hemos observado que la mayoría de los ataques se producen contra código C y es difícil, si no imposible, lanzar ataques contra código Java, ya que tiene que pasar por la máquina virtual", apunta Helen Gu, profesora asociada en la citada universidad.
Con este nuevo enfoque, PREC ha logrado reducir el número de identificaciones falsas, lo que resulta en un nivel de detección mucho mayor que el de otros métodos.
Ahora, los investigadores esperan convencer a las tiendas de aplicaciones, tipo Google Play, para crear una base de datos que describa las características de rendimiento típicas de todas sus aplicaciones y podrían utilizar PREC para construir estas evaluaciones. Luego, cuando un usuario descargue una nueva aplicación, el dispositivo Android también podrá descargar el perfil de ejecución PREC para esa aplicación, y utilizarlo para detectar cualquier actividad inusual causada por esa aplicación, destacan los autores del proyecto.
Los piratas han aprendido a enterrar su código malware dentro de una aplicación, para que no se ejecute hasta que el programa ha sido descargado, por lo que este nuevo sistema de detección de anomalías puede resultar de gran utilidad.
IBM, Google, la Fundación Nacional de Ciencia de EE.UU. y el Ejército de EE.UU. han financiado conjuntamente este proyecto de investigación.
