Читаем Цифровой журнал «Компьютерра» № 173 полностью

Апрельский скандал получил продолжение. Недавно специалистами компании Webroot на Google Play был обнаружен очередной троян, распространяемый под видом программы управления шрифтами. Во всех случаях пострадавшие либо не пользовались антивирусами, либо последние оказались неэффективны. Почему?

Незадолго до инцидента исследователи из Северо-Западного университета (штат Иллинойс) выяснили, что многие антивирусы для ОС Android легко одурачить.

В своей работе авторы исследования использовали различные техники модификации приложений, затрудняющие анализ их кода, но не приводящих к потере функциональности.

Абсолютно все участвовавшие в тестировании антивирусы для мобильных устройств перестали определять известные им вредоносные компоненты после глубокой модификации последних. Обфускация кода включала шифрование, перенаправление вызовов и вставку мусорных фрагментов. Такая обработка требует довольно высокой квалификации и нечасто встречается в реальной жизни. Провал антивирусов в данном случае ожидаем, но неприятно удивляет другое.

Известные угрозы в эксперименте переставали детектироваться даже после таких тривиальных процедур, как переименование установочного пакета и изменение полей метаданных. В случае с рут-эксплоитом DroidDream и SMS-трояном FakePlayer сложные методы часто оказывались излишними. Антивирусы Lookout, Trend Micro и Zoner «ослеплялись» при любой технике обмана.

Причина такой мрачной картины в том, что эти и многие другие антивирусы ограничиваются исключительно сигнатурным анализом. Если нет точного совпадения с записью в базе данных, то файл признаётся «чистым».

Сегодня полноценный антивирус должен состоять как минимум из двух главных модулей: сканера по запросу с функцией эвристического анализа и компонента резидентного мониторинга.

Первый модуль выполняет сканирование только по команде пользователя и пригоден лишь для выявления уже проникшего на смартфон или планшет вредоносного кода. Второй компонент всегда находится в оперативной памяти и контролирует изменения файловой системы постоянно. Пользователь расплачивается за это некоторым снижением быстродействия и времени автономной работы устройства.

По результатам последних тестов, многие защитные программы оказались практически бесполезными. Реализация AegisLab Antivirus Free 2.0, VIRUSfighter FREE Antivirus 2.1 и Ikarus Mobile Security 2013 такова, что они пропускают большинство угроз, создавая ложное чувство защищённости.

Между тем, чтобы обезопасить свой смартфон или планшет, не обязательно покупать дорогой антивирус. Существуют бесплатные решения, доказавшие свою эффективность. Рассмотрим их поближе.

Во время проверки окно приложения выглядит малоинформативно. Отображается общий ход операции в процентах, анализируемый в данный момент файл и суммарные результаты по окончании проверки. Сканирование выполняется быстро и без ущерба качеству (высшая оценка AV-Test.org по критерию эффективности).

Настроек сканирования практически нет. Присутствует только возможность включить в область проверки карту памяти или ограничиться встроенной памятью устройства.

Программа работает также и в фоне, проверяя устанавливаемые приложения. Для обмена статистической информацией и быстрого реагирования на новые угрозы используется сеть Norton Comminity Watch. К ней предлагают присоединиться при первом запуске приложения. После установки Norton Mobile Security Lite занимает 13,5 МБ.

В полной версии предлагается расширенная функция защиты устройства от кражи посредством веб-сервиса или SMS-сообщений. Появляется возможность заблокировать гаджет, удалить данные, включить сирену или выполнить скрытую съёмку. Чтобы использовать управление через SMS, необходимо войти в свой Norton-аккаунт (или создать его).

Платная версия также позволяет блокировать нежелательные вызовы, создавать резервные копии контактов и восстанавливать их на любом устройстве. Впрочем, последнее можно сделать и с помощью обычных сервисов Google.