Android Sandbox realiza análisis estáticos y dinámicos para detectar automáticamente aplicaciones sospechosas
Uno de los mayores y más populares servicios de motores de escaneo multi-antivirus ha lanzado hoy un nuevo servicio sandbox de Android, apodado VirusTotal Droidy, para ayudar a los investigadores de seguridad a detectar aplicaciones maliciosas basadas en análisis de comportamiento.
VirusTotal, propiedad de Google, es un servicio gratuito en línea que permite que cualquier persona cargue archivos para buscar virus contra docenas de motores antivirus simultáneamente.
Android Sandbox realiza análisis estáticos y dinámicos para detectar automáticamente aplicaciones sospechosas al ejecutar y monitorear aplicaciones en un entorno simulado del sistema operativo Android.
Los informes de comportamiento para las aplicaciones de Android (APK) no son nuevos en VirusTotal, ya que el sitio web ya tenía servicio desde 2013 que funcionaba basado en Cuckoo Sandbox, un sistema de análisis de malware de fuente abierta.
Al reemplazar este sistema existente, VirusTotal Droidy se ha integrado en el contexto del proyecto de varios sandbox y puede extraer "jugosos" detalles, como:
• Comunicaciones de red y actividad relacionada con SMS
• Llamadas de reflexión de Java
• Interacciones del sistema de archivos
• Uso de la base de datos SQLite
• Iniciar/detener servicios
• Comprobar permisos
• Receptores registrados
• Actividad relacionada con criptografía
A continuación puedes consultar informes de análisis de comportamiento de algunas aplicaciones maliciosas de Android, que muestran nuevas funcionalidades de VirusTotal Droidy:
• https://www.virustotal.com/#/file/5d26b7141f0d0f76a15ff7b5baf884139b1808ddca2eb8cb625bc89b5936b323/behavior
• https://www.virustotal.com/#/file/3efbb1acdc52153dd61ddafd25d2fbf8f68924b76093c462414097fb827a38c2/behavior
• https://www.virustotal.com/#/file/925f4f4cbc6ccbce10f33cd08a0201da507251854749546715f2a6dbcfba8044/behavior
• https://www.virustotal.com/#/file/cd7ee117b3bc93485c43717037f05ed01de08679cbad9d571ee43d8df0cd3031/behavior
Por qué "VirusTotal Droidy" es mejor que "VirusTotal Sandbox"
VirusTotal también compartió otro informe de muestra generado con la versión anterior de VirusTotal Sandbox. Simplemente puedes hacer clic en "VirusTotal Droidy" para ver un nuevo informe para la misma muestra y comparar al mismo tiempo ambas tecnologías.
Para muchas muestras, VirusTotal también ofrece informes de varios sandboxes, incluido Tencent HABO, un servicio desarrollado independientemente por la firma china de antivirus Tencent.
"Cuanto más rica es la información que generamos para los elementos individuales del conjunto de datos, mayores son las capacidades telescópicas de VirusTotal", dijo la compañía. "Así es como nos las arreglamos para completar los puntos y ver rápidamente toda la actividad vinculada a ciertos recursos que a menudo aparecen en las investigaciones de malware".
El informe generado con la nueva tecnología Sandbox Droidy de VirusTotal para Android también incluye datos interactivos de otros servicios como VirusTotal Intelligence y VirusTotal Graph.