Forscher demonstrieren unscharfe Erkennung von Android-Trojanern
Ein aktuelles Forschungsprojekt demonstriert, dass man bei der Schädlingserkennung auf Android-Geräten nicht zwangsläufig auf die Fingerabdrücke bekannter Trojaner angewiesen ist.
(Bild: DREBIN: Effective and Explainable Detection of Android Malware in Your Pocket)
Ein Forscher-Team der Uni Göttingen und Siemens CERT hat mit Drebin ein Konzept vorgestellt, bösartige Android-Apps durch statische Analyse anhand typischer Muster zu erkennen. Die Tests seien so ressourcenschonend, dass sie direkt auf dem Handy durchgeführt werden könnten. Trotzdem erreichten sie sehr gute Erkennungsraten bei niedriger Fehalarmquote, bilanzieren die Forscher ihr Projekt. Besonders stolz sind sie darauf, dass Drebin sogar eine nachvollziehbare Erklärung liefern kann, warum eine App als bösartig eingeschätzt wird.
Auf einem Smartphone sind schon wegen der eingeschränkten Ressourcen aufwändige Tests, wie sie Antiviren-Software für Windows standardmäßig durchführt, kaum möglich. Deshalb beschränken sich die meisten Virenschutzprogramme für Android auf einfache Signaturchecks, die jedoch nur bereits bekannte Schädlinge finden.
Das Programm von Daniel Arp, Michael Spreitzenbarth, Malte Hubner, Hugo Gascon und Konrad Rieck hingegen analysiert alle greifbaren Aspekte einer App, darunter die angeforderten Rechte, die im Manifest gelisteten Intents und im disassemblierten Code vorgefundene API-Aufrufe. Aus diesen Informationen baut Drebin einen multidimensionalen Vektor. Durch Maschinelles Lernen mit bekanntermaßen gutartigen und bösartigen Samples legt Drebin dann eine Trennung zwischen beiden Kategorien fest.
Fehlalarmquote von einem Prozent
Die Crux bei solchen Verfahren ist die Justierung für eine gute Erkennungsrate bei gleichzeitig niedriger Fehlalarmquote. Die Forscher arbeiteten mit einer tolerierbaren Fehlalarmquote von einem Prozent und erzielten damit erstaunlich gute Ergebnisse bei der Erkennung, die die der meisten vergleichbaren Verfahren und auch existierender Antiviren-Prgramme deutlich übertraf. Insbesondere konnten Variationen bereits bekannter Schädlinge sehr zuverlässig erkannt werden, die in einem reinen Signaturcheck durchrutschen würden.
Problematisch bleibt die Erkennung gänzlich neuer Schädlingsfamilien. Die erfordert ein erneutes Belernen des Systems und die Übertragung der neuen Parameter an den Scanner. Eine Erkennung von bösartigem Code, der erst zur Laufzeit nachgeladen wird, ist prinzipbedingt nicht möglich. Derzeit handelt es sich bei Drebin noch um ein reines Forschungsprojekt, das nicht für den Einsatz bei Endanwendern vorbereitet ist. Die Details beschreibt das Paper DREBIN: Effective and Explainable Detection of Android Malware in Your Pocket.
Keine Software aus unbekannten Quellen
Die wichtigste Empfehlung für Android-Nutzer, die sich keinem Virenrisiko aussetzen wollen, bleibt vorerst, die Installation von Software aus unbekannten Quellen abgeschaltet zu lassen. Konrad Rieck, einer der Drebin-Autoren, sieht die größte Gefahr nicht im Google Play Store, sondern vielmehr bei den Apps aus unbekannten Quellen. Wer deren Installation freigeschaltet hat, dem empfiehlt er allerdings dringend die Installation eines Virenschutzes auf seinem Android-Phone. "Die Gefahr droht dabei keineswegs nur aus chinesischen Märkten, sondern auch in anderen alternative Stores und Webseiten" erklärt er gegenüber heise Security.
Erschwerend kommt hinzu, dass diese Einstellung auch die Installation über beliebige Web-Seiten, Mails oder MMS-Nachrichten ermöglicht und somit ein breites Spielfeld für Social Enegineering eröffnet. Online-Banking-Trojaner etwa nutzen das gerne, um dem Anwender vom infizierten PC aus die Installation von erforderlichen Sicherheitserweiterungen zu avisieren, die dann in Wirklichkeit auch sein Smartphone infizieren. (ju)
