Un groupe de chercheurs universitaires a créé un outil qui peut être utilisé pour cloner des logiciels malveillants Android et tester la résilience de ces nouvelles variantes contre la détection anti-malware.

Appelé DroidMorph, l’outil permet le clonage d’applications malveillantes et bénignes en apportant des modifications à différents niveaux d’abstraction. Des tests sur 17 moteurs anti-malware commerciaux ont montré que la moitié ne détectent pas les clones.

Implémenté au-dessus de Soot Framework, l’outil fournit toutes les fonctionnalités nécessaires pour la génération de bytecode Android, ainsi que pour sa modification et son analyse. L’outil décompile l’APK, effectue le morphing, puis recompile le code modifié et signe l’APK.

Des chercheurs de l’Université des sciences et technologies d’Adana en Turquie et de l’Université nationale des sciences et technologies du Pakistan ont travaillé avec un total de 848 échantillons appartenant à sept familles de logiciels malveillants Android, à savoir AnserverBot, BaseBridge, DroidKungFu3, DroidKungFu4, DroidDream, DroidDreamLight et Geinimi.

Ils ont utilisé DroidMorph pour générer un total de 1 771 variantes de ces familles de logiciels malveillants, puis les ont testés pour la détection par rapport à 17 moteurs anti-programmes malveillants dans VirusTotal. Les résultats ont montré que 8 d’entre eux n’étaient en mesure de détecter aucun des APK transformés.

DroidMorph, expliquent les universitaires, implémente le morphing à trois niveaux d’abstraction différents, à savoir le corps, la classe et la méthode. Parmi ceux-ci, le morphing de classe avait le taux de détection moyen le plus bas, principalement parce qu’il a plus de variantes que tous les morphing.

Les chercheurs notent également que leur outil n’implémente que des obscurcissements triviaux et non triviaux de base et qu’il nécessite un travail supplémentaire pour améliorer le morphing à différents niveaux et réduire encore les taux de détection anti-malware. Le morphing des méta-informations intégrées dans l’APK sera également ajouté.

« Le nombre de clones de logiciels malveillants Android est en augmentation et pour arrêter cela…