Investigadores de la Universidad de Carolina del Norte desarrollaron una herramienta para detectar y contener malware que intenta ejecutar exploits en dispositivos Android.

La herramienta mejora las técnicas previas al dirigirse al código escrito en el lenguaje de programación C, comunmente utilizado para crear código malicioso (malware), pese a que la mayoría de las aplicaciones de Android estan escritas en el lenguaje de programación JAVA.

Los exploits  toman las funciones de administración (root) de algún sistema operativo como Android. Un exploit de root exitoso proporciona a los atacantes el control sin restricciones del teléfono del usuario.

La nueva herramienta se hace llamar "Practical Root Exploit Containment" (PREC) la cual refina la técnica llamada "Anomaly Detection". Esta técnica compara el comportamiento de la descarga de una aplicación para smartphone (app) como Angry Birds, con una base de datos que indica el comportamiento que la aplicación debería de tener.

Cuando se detectan desviaciones de comportamiento, PREC las analiza para determinar si es un malware o si no hará ningún daño "falsos positivos". Si PREC determina que la aplicación intenta ejecutar un exploit de root, contiene el código malicioso, evitando que sea ejecutado.

"La detección de anomalías no es algo nuevo y ha tenido problemas a lo largo del tiempo, reportando falsos positivos", mencionó el Dr. Will Enck, asistente de profesor de ciencias de cómputo del estado de Carolina del Norte y coautor del documento sobre el trabajo. "Lo que hace diferente a nuestro enfoque es que estamos tomando en cuenta únicamente código en C, los exploits de root para Android, en su mayoría (si no es que en todos los casos) están escritos en ese lenguaje".

"Usar este enfoque significó reducir drásticamente el número de falsos positivos", mencionó el Dr. Helen Gu, un asociado del profesor de ciencias de la computación del estado de Carolina del Norte y también coautor del trabajo. "Ésto reduce las perturbaciones para los usuarios y hace la detección de anomalías más prácticas."

Los investigadores esperan trabajar con distribuidores de apps, como Google Play, para establecer una base de datos del comportamiento normal de una app.

La mayoría de los distribuidores de apps protegen sus productos del malware, pero los programadores de malware han desarrollado técnicas para evadir la detección, escondiendo el malware hasta que los usuarios hayan descargado y ejecutado la app en sus smartphones.

El equipo de investigación de Carolina del Norte quiere aprovechar las protecciones de los distribuidores de apps, reforzándolas al crear una base de datos para el comportamiento normal de cada app, lo que podría hacer que los proveedores incorporen el software PREC al proceso de validación de aplicaciones. El software podría tomar los datos del comportamiento de la app y crear una base de datos externa, pero no podría afectar el proceso de selección.

"De hecho, hemos implementado el sistema PREC y lo hemos probado en dispositivos reales Android", mencionó Gu. "Actualmente estamos buscando asociados en la industria para desplegar PREC, para que así podamos proteger a los usuarios de los exploits Android."