С кем обсудить вопрос мобильной угрозы как не с представителями антивирусной компании? Вот мы и решили попробовать провести небольшую-беседу интервью с вирусным аналитиком компании "Доктор Веб" Игорем Здобновым, тем более, что "Доктор Веб" уже некоторое время выпускают свое антивирусное приложение для Android.
Итак, для всех заинтересовавшихся - интервью под катом.
1. Какие вирусы под Android получили наибольшее распространение? Как они работают? На чем основан принцип их действия?
Все вирусы для Android можно разделить на несколько классов по их вредоносному поведению. Прежде всего, это наиболее распространенные троянцы, отправляющие СМС на платные номера. Речь о семействе Android.SmsSend. Во-вторых, вирусы, ворующие ТAN-коды. К примеру, Android.Panda. Также вирусы, отравляющие результаты поиска www.baidu.com — Android.ADRD.
Наконец, есть шпионское ПО, отправляющее координаты GPS телефона, СМС, историю звонков (Android.FlexiSpy, Andorid.Spy). И не стоит забывать о бэкдорах, предоставляющих возможность злоумышленнику ставить дополнительное вредоносное по на телефон жертвы (Android.Geinimi).
2. Какие страны являются основным источником заразы?
Прежде всего, Россия и Китай.
3. Насколько эффективны современные мобильные антивирусы? Какую степень защиты они могут предложить пользователю?
Современные антивирусы могут защитить пользователей только от известных угроз — это поединок брони и снаряда. Сейчас на рынке есть только один антивирус, в котором реализована уникальная технология, способная защитить пользователь от новых модификаций угроз. И этот антивирус — Dr.Web.
4. Как можно обезопасить себя от вирусной угрозы, кроме использования антивирусов?
Ставить приложения только из Android Market, хотя практика показала, что это не всегда спасает, т. к. и там могут быть вирусы. Внимательно смотреть на разрешения, которые требует приложение при установке.
5. Каковы, на ваш взгляд, причины появления мобильных вирусов для Android? Уязвимости системы? Малая грамотность населения в техническом плане? Какие-то недоработки Google?
Возможность ставить приложения из сторонних маркетов и низкая техническая грамотность населения — одни из ключевых факторов. Кроме того, у Google, вероятно, нет дополнительных механизмов проверки приложений.
6. Как обстоит дело с вирусами на других мобильных платформах по сравнению с Android?
Пока пальму первенства держат вирусы, написанные на Java, т. к. они могут исполняться на всех телефонах с поддержкой Java2ME. Далее по количеству угроз идет платформа Android, и на третьем месте Symbian.
7. Какие прогнозы по вирусной угрозе может сделать компания «Доктор Веб» на будущее? На ближайшее будущее?
Мы прогнозируем рост мобильных вирусов для Android, т. к. платформа активно развивается. Естественно, мы будем пристально следить за вирусной обстановкой и сообщать о новых угрозах, а также о том, как им противодействовать.
8. Что происходит с вирусными семплами Android-заразы, когда они попадают в лабораторию «Доктор Веб»?
Происходит то же самое, что и с обычными вирусами. Из apk извлекается вредоносных dex, он и анализируется. После анализа добавляется соответствующая запись в вирусную базу. Если это новое семейство вирусов — строится специальная запись для Origins Tracing.
9. Как часто появляются свежие вирусы под Android? Есть ли какие-то причины и зависимости для этого? Например, выход популярной игры или приложения, появление нового социального сервиса и т. д. Или что-то иное?
Точных зависимостей между выходом каких-то игр или популярных приложений нами установлено не было. Новые версии вирусов появляются, как правило, после добавления детекта в базы. Кроме того, существуют сайты, где вирусы могут генерировать автоматически.
10. Будет ли создан родительский контроль или какие-то иные дополнительные модули защиты для мобильной версии Dr.Web? С телефона можно запросто выходить во Всемирную сеть.
Мы планируем наращивать функционал нашего продукта. Например, совсем недавно появился модуль «Антивор», а в ближайшем обновлении пользователей нашего фильтра звонков и СМС ждет небольшое, но ожидаемое многими расширение функционала.
11. Что «Доктор Веб» думает о телефонах с рут-правами. Рут-доступ — лишняя лазейка для вирусов или же помощь для антивируса?
Рут-доступ, безусловно, дает большие возможности для создания приложений. Но если рассматривать объективно плюсы и минусы «рутованных» телефонов, минусов, конечно, больше. Главный минус — это во сто крат возрастающая опасность для целостности самой ОС Android, целостности и безопасности данных пользователя.
12. Существуют ли вирусы, заточенные под какую-то конкретную версию Android? Например, исключительно под телефонную линейку 2.х или же только под планшетную 3.ч.
Да, существуют! Первым был Android.DreamExploid — вирус, эксплуатирующий уязвимость в Android 2.x, повышающий привилегии до root. Позже появилась его версия для Android 3.
13. Много ли вирусов было найдено в официальном Гугл Маркете и какие?
На Android Market были найдены две разновидности Android.GoldDream. В марте этого года Google удалил 58 инфицированных приложений. Позже в мае было удалено 26 приложений, инфицированных облегченной версией Android.GoldDream.
14. Как давно «Доктор Веб» занимается выпуском своих продуктов для Android? Что к этому подтолкнуло?
Исследовав возможности и обнаружив потенциальные уязвимости в операционной системе, было принято решение по созданию антивирусного продукта Dr.Web для Android. Летом 2010 вышла первая публичная версия нашего продукта. По прошествии года мы видим, что сделали правильный шаг. Наших пользователей уже более одного миллиона. И это не просто люди, единожды скачавшие продукт и сразу удалившие его с аппарата, а именно более миллиона активных пользователей продукта.
15. В каких странах наиболее популярен мобильный Dr.Web, где его чаще всего скачивают?
Если Россия является родным рынком для компании «Доктор Веб» и наше лидерство здесь не является неожиданностью, то популярность на рынке Японии и активность японских пользователей для нас стала настоящим сюрпризом.
16. Как часто обновляются базы мобильной версии приложения?
Как только новая сигнатура добавляется в базу, она выходит на зоны обновления. От нескольких раз в день, до нескольких раз в неделю.
17. Реагирует ли Dr.Web на установку приложений с подозрительными разрешениями в системе? Планируется ли внедрение подобной проверки в будущем?
Работа пользователя должна быть комфортной, поэтому антивирус Dr.Web для Android придерживается золотого правила нашей компании: «Антивирус должен быть незаметен — поставил и забыл». Т. е. мы должны сообщить пользователю об обнаружении действительно опасного объекта, а не отвлекать его каждый раз, когда он устанавливает на свой девайс программы из Маркета. Для этого у нас реализованы уникальные механизмы детекта угроз, в частности Origins Tracing. Мы считаем, что такой подход гарантирует надежную защиту и осведомленность пользователя.