DroidMorp显示流行的安卓防病毒无法检测到克隆的恶意应用

一组学者发表的一项新研究发现，安卓系统的反病毒程序仍然容易受到不同排列的恶意软件的攻击，这可能会带来严重的风险，因为恶意参与者会改进工具集以更好地逃避分析

“恶意软件作者利用秘密突变（变形/混淆）来不断开发恶意软件克隆，阻止基于特征的检测器的检测，”研究人员说。“这次克隆攻击严重威胁到所有移动平台，尤其是Android。”

这项发现发表在上周的一项研究中，来自阿达纳科学技术大学、土耳其和伊斯兰堡巴基斯坦国立科学技术大学的研究人员。

与iOS不同，应用程序可以从Android设备上的第三方来源下载，这就增加了一种可能性，即无意中的用户可以安装未经验证且外观相似的应用程序，这些应用程序克隆了合法应用程序的功能，但旨在诱骗目标下载带有欺诈代码的应用程序，这些应用程序能够窃取敏感信息

为了测试和评估商用反恶意软件产品对这种攻击的抵御能力，研究人员开发了一个名为DroidMorp的工具，该工具允许通过将文件反编译为中间形式来“变形”，然后修改和编译以创建良性和恶意软件的克隆

在一项使用DroidMorph生成的1771个变形APK变体进行的测试中，研究人员发现17个领先的商业反恶意软件程序中有8个未能检测到任何克隆的应用程序，类变形的平均检测率为51.4%，方法变形的平均检测率为58.8%，在所有项目中观察到的身体变形率为54.1%

成功绕过的反恶意软件程序包括LineSecurity、MaxSecurity、DUSecurityLabs、AntivirusPro、360Security、SecuritySystems、GoSecurity和LAAntivirusLab

作为未来的工作，研究人员概述说，他们打算在不同的级别添加更多的混淆，并启用元数据信息的变形，例如嵌入APK文件中的权限，以降低检测率