I ricercatori dell’Università dello Stato della Nord Carolina hanno trovato il modo per monitorare i malware Android. Ecco come
Si chiama Practical Root Exploit Containment (PREC) ed è uno strumento realizzato per scoprire codice Android maligno, compilato in linguaggio C. Non a caso i ricercatori hanno deciso di monitorare questo tipo di codice di programmazione che è quello più utilizzato per sviluppare app maligne per il sistema operativo mobile di Google. L’obiettivo di PREC è di cercare possibili exploit che le app possono sfruttare per prendere il controllo del sistema ed avere accesso all’intero device o a parti di esso. Tutto quello che che PREC può monitorare è pubblicato nel lavoro “PREC: Practical Root Exploit Containment for Android Devices”, disponibile qui.
Come funziona
PREC utilizza una tecnica conosciuta per identificare codice maligno, chiamata “anomaly detection”. Il rilevamento delle anomalie compara il comportamento previsto di un’applicazione con quello che viene attuato praticamente quando gira su un dispositivo, in termini di “interrogazioni al sistema”. Ovvero, il software riesce a capire se un’app fa davvero quello per cui è stata sviluppata o se si spinge oltre, ponendosi come un pericolo per gli utenti.
Il test
I ricercatori hanno provato un prototipo di PREC su 150 app Android. 140 di queste erano innocue mentre 10 contenevano exploit in grado di colpire il sistema. PREC, messo in azione sulle app installate su uno smartphone Galaxy Nexus, è riuscito ad individuare tutte le minacce con un numero minimo di “falsi allarmi”.
