Сегодня заразить смартфон или планшет под управлением операционной системы Android довольно просто, даже если соблюдать рекомендации и устанавливать приложения только из доверенных источников. Недавняя история – лишнее тому подтверждение.

Вконце апреля эксперты компании Lookout Mobile Security обнаружили на Google Play тридцать две программы, содержащие инфицированную библиотеку. Вредоносный компонент был интегрирован под видом стандартной рекламной фукнции в игры, словари и утилиты уже после того, как они успешно прошли проверку в Google Play.

Всего заражённые программы были скачены около девяти миллионов раз. Помимо традиционных рекламных сообщений пользователи получали заведомо ложные предупреждения о мнимых угрозах и критических обновлениях. При клике на таком баннере происходило перенаправление на заражённый или фишинговый веб-сайт.

Скрыто от пользователя троянская компонента подключалась к контролируемым злоумышленниками удаленным серверам и передавали своим создателям собранную информацию, включая номер мобильного телефона и его IMEI. Дополнительно загружался троян семейства AlphaSMS, отправлявший SMS на платные номера.

Апрельский скандал получил продолжение. Недавно специалистами компании Webroot на Google Play был обнаружен очередной троян, распространяемый под видом программы управления шрифтами. Во всех случаях пострадавшие либо не пользовались антивирусами, либо последние оказались неэффективны. Почему?

Незадолго до инцидента исследователи из Северо-Западного университета (штат Иллинойс) выяснили, что многие антивирусы для ОС Android легко одурачить.

В своей работе авторы исследования использовали различные техники модификации приложений, затрудняющие анализ их кода, но не приводящих к потере функциональности.

Сравнение эффективности методик обфускации кода в отношении десяти антивирусов для ОС Android © Northwestern University, 2013

Абсолютно все участвовавшие в тестировании антивирусы для мобильных устройств перестали определять известные им вредоносные компоненты после глубокой модификации последних. Обфускация кода включала шифрование, перенаправление вызовов и вставку мусорных фрагментов. Такая обработка требует довольно высокой квалификации и нечасто встречается в реальной жизни. Провал антивирусов в данном случае ожидаем, но неприятно удивляет другое.

Известные угрозы в эксперименте переставали детектироваться даже после таких тривиальных процедур, как переименование установочного пакета и изменение полей метаданных. В случае с рут-эксплоитом DroidDream и SMS-трояном FakePlayer сложные методы часто оказывались излишними. Антивирусы Lookout, Trend Micro и Zoner «ослеплялись» при любой технике обмана.

Причина такой мрачной картины в том, что эти и многие другие антивирусы ограничиваются исключительно сигнатурным анализом. Если нет точного совпадения с записью в базе данных, то файл признаётся «чистым».

Сегодня полноценный антивирус должен состоять как минимум из двух главных модулей: сканера по запросу с функцией эвристического анализа и компонента резидентного мониторинга.

Первый модуль выполняет сканирование только по команде пользователя и пригоден лишь для выявления уже проникшего на смартфон или планшет вредоносного кода. Второй компонент всегда находится в оперативной памяти и контролирует изменения файловой системы постоянно. Пользователь расплачивается за это некоторым снижением быстродействия и времени автономной работы устройства.

По результатам последних тестов, многие защитные программы оказались практически бесполезными. Реализация AegisLab Antivirus Free 2.0, VIRUSfighter FREE Antivirus 2.1 и Ikarus Mobile Security 2013 такова, что они пропускают большинство угроз, создавая ложное чувство защищённости.

Между тем, чтобы обезопасить свой смартфон или планшет, не обязательно покупать дорогой антивирус. Существуют бесплатные решения, доказавшие свою эффективность. Рассмотрим их поближе.

1. Norton Mobile Security Lite

Во время проверки окно приложения выглядит малоинформативно. Отображается общий ход операции в процентах, анализируемый в данный момент файл и суммарные результаты по окончании проверки. Сканирование выполняется быстро и без ущерба качеству (высшая оценка AV-Test.org по критерию эффективности).

Сканирование в Norton Mobile Security

Настроек сканирования практически нет. Присутствует только возможность включить в область проверки карту памяти или ограничиться встроенной памятью устройства.

Настройки Norton Mobile Security Lite.

Программа работает также и в фоне, проверяя устанавливаемые приложения. Для обмена статистической информацией и быстрого реагирования на новые угрозы используется сеть Norton Comminity Watch. К ней предлагают присоединиться при первом запуске приложения. После установки Norton Mobile Security Lite занимает 13,5 МБ.

Norton Mobile Security Lite — дополнительные возможности платной версии

В полной версии предлагается расширенная функция защиты устройства от кражи посредством веб-сервиса или SMS-сообщений. Появляется возможность заблокировать гаджет, удалить данные, включить сирену или выполнить скрытую съёмку. Чтобы использовать управление через SMS, необходимо войти в свой Norton-аккаунт (или создать его).

Платная версия также позволяет блокировать нежелательные вызовы, создавать резервные копии контактов и восстанавливать их на любом устройстве. Впрочем, последнее можно сделать и с помощью обычных сервисов Google.

2. Comodo Mobile Security

Одно из самых многофункциональных и гибко настраиваемых приложений (ранее называлось Comodo Antivirus Free) для бесплатной защиты мобильных устройств под управлением ОС Android. Помимо классического набора антивирусных компонентов, в нём есть трафик-менеджер, показывающий сетевую активность каждого приложения раздельно: в сотовых сетях и при подключении по Wi-Fi. С правами суперпользователя в трафик-менеджере можно использовать простейший программный файрволл.

Comodo Mobile Security — основные модули

Среди дополнительных утилит присутствует «оптимизатор системы», сводящийся к очистке кэша и освобождению оперативной памяти. Есть удобный менеджер активных процессов, модуль блокировки нежелательных вызовов и SMS, защищённое хранилище данных и планировщик заданий.

Comodo умеет выполнять резервное копирование контактов, SMS и приложений на карту памяти. Завершает список дополнительных инструментов ссылка на загрузку бесплатного приложения, обещающего «интеллектуальное управление батареей». Целесообразность последнего сомнительна.

Comodo Mobile Security — дополнительные инструменты

Кроме вирусов и троянов приложение определяет источники Push Ads (навязчивых рекламных сообщений). В целом Comodo Mobile Security отличает грамотный интерфейс с детальной информацией о выполнении всех задач. После установки антивирус занимает менее 10 МБ, а по результатам тестирования практически не уступает Norton Mobile Security Lite.

3. Antiy Labs AVL

Как и у предыдущих антивирусов, у AVL есть защита в реальном времени и эвристическая проверка. Расширенные настройки сканирования позволяют учитывать нетипичные взаимосвязи между файлами (косвенный признак заражения). Также антивирус производит анализ файлов AndroidManifest.xml для определения легитимности настроек конфигурации приложений и их прав. AVL проверяет байт-код виртуальной машины Dalvik (файлы .dex) и исполняемые файлы формата ELF независимо от их расширения.

AntiyLabs AVL — главное окно и настройки

Интерфейс главного окна представлен в виде круглого стола. На пяти его сегментах размещены кнопки быстрого доступа к настройкам, помощи, обновлению, сканированию выбранных компонентов или только приложений. Клик по центральной иконке отображает отчёт о результатах последней проверки.

AVL позволяет указать для сканирования не только память телефона или SD-карту, но также выбрать отдельные файлы и каталоги. Проверка происходит быстро даже на старых одноядерных устройствах. После установки антивирус занимает менее 5 МБ.

4. TrustGo Antivirus & Mobile Security

Среди отличий этого антивируса можно выделить модуль безопасного просмотра веб-страниц и функцию самозащиты. Подобно Comodo, TrustGo предлагает менеджер с расширенным представлением запущенных процессов и возможностью принудительно выгрузить их.

Компонент Privacy Guard анализирует установленные приложения на риск утечки пользовательских данных. Резервные копии контактов, SMS и истории звонков могут сохраняться как на карте памяти, так и в облачном хранилище trustgo.com.

Ключевые возможности и особенности интерфейса антивируса представлены в этом ролике.

После установки TrustGo занимает около 5,5 МБ и довольно шустро работает даже на старых смартфонах.

5. BitDefender Antivirus Free

Этот бесплатный антивирус отличает максимально простой интерфейс с одной большой кнопкой Scan в главном окне. При внешней простоте у него есть резидентная проверка устанавливаемых приложений, которая включена по умолчанию.

BitDefender Antivirus Free

Антивирус лишён модуля «карантин», поэтому устраняйте обнаруженные угрозы с осторожностью. Ложноположительные срабатывания у него случаются редко, но полной гарантии их отсутствия не даст ни один разработчик.

Дополнительные компоненты защиты доступны в платной версии Mobile Security, однако и базовой многим будет достаточно. BitDefender Antivirus Free – один из самых легковесных и нетребовательных к системным ресурсам антивирусов. После установки вместе с обновлениями он занимает всего полтора мегабайта. Проверка совместимости отключена, поэтому на Google Play его можно скачать для любого устройства с установленной ОС Android.

6. Sophos Security & Antivirus

Качество сканирования этого антивируса не вызывает сомнений и находится на высоте. Есть и режим проверки с помощью облачных сервисов с опцией использования только через подключение по Wi-Fi.

Sophos Security & Antivirus — результат работы антивирусного сканера

Проверка совместимости также отключена, но в плане системных требований это противоположность аскетичному BitDefender. При запуске приложения на одноядерных смартфонах приходится ждать около минуты только для того, чтобы заполнились простейшие индикаторы главного окна. После установки Sophos Security & Antivirus занимает более 27 МБ – рекорд среди всех представителей данного обзора.

Модуль постоянной защиты проверяет приложения при установке, а также сканирует USB-Flash накопители и карты памяти при подключении. Помимо однозначно вредоносных программ могут детектироваться и так называемые «нежелательные» (отдельная настройка).

По умолчанию проверяются только сторонние приложения. Сканирование системного раздела и карты памяти задаётся в настройках вручную.

Sophos Security & Antivirus — вид главного окна

Компонент Privacy Advisor показывает разрешения для сторонних программ с пояснениями и возможностью деинсталляции. Перечень запрашиваемых программами разрешений всегда отображается при их установке, но мало кто обращает на него внимание.

Агент Security Advisor отображает настройки, снижающие безопасность, и предлагает их изменить. Например, советует отключить отладку по USB и возможность установки приложений, полученных не из Google Play.

Модуль Spam Protection фильтрует входящие звонки и SMS сообщения в соответствии с набором заданных правил.

На вкладке Loss & Theft настраивается удалённое управление утерянным устройством. По команде через SMS можно узнать текущее местоположение гаджета, включить на нём сирену или удалить личные данные. Для смартфонов и планшетов с функциями телефона отдельно настраивается оповещение о замене SIM-карты.

7. Dr.Web Light

Это достойный отечественный антивирус с тремя базовыми компонентами. Сканер по запросу умеет выполнять быструю, полную или выборочную проверку вплоть до конкретного файла. Модуль постоянной защиты SpiderGuard проверяет все устанавливаемые приложения и дополнительно анализирует карту памяти на наличие файлов автозапуска.

Антивирус Dr.Web Light

Модуль карантин хранит обезвреженные копии всех устранённых угроз на случай их неоправданного удаления. Отправить подозрительный файл на проверку можно бесплатно через веб-форму.

Dr.Web Light нетребователен к ресурсам и занимает после установки немногим больше двух мегабайт.

Как и у многих других бесплатных программ, внизу окна отображается предложение попробовать платную версию с расширенными возможностями и посетить страницу разработчика.

8. Webroot Security & Antivirus (Free)

После установки программа отображается как SecureAnywhere Mobile. С первых шагов требуется создание учётной записи (бесплатная регистрация). В дальнейшем с её помощью можно будет отыскать устройство в случае пропажи и удалённо посмотреть статистику.

Интерфейс программы предельно прост – текстовые поля на светлом фоне. Настройки программы минимальные и сводятся к включению/отключению отдельных компонентов.

Настройки Webroot Webroot SecureAnywhere Mobile

У антивируса Webroot есть карантин и планировщик заданий, позволяющий задать обновления и проверку по расписанию. Присутствует также модуль безопасного веб-сёрфинга, работающий по принципу блокировки известных угроз. Пользователь может настроить список веб-сайтов, не подлежащих проверке.

По умолчанию включена функция анонимной отправки статистики разработчику. Её можно отключить в меню «Общие настройки».

Webroot SecureAnywhere — отправка статистики

Проверка совместимости отключена разработчиком, поставить Webroot Security & Antivirus Free можно на любое устройство с ОС Android. После установки программа занимает 7,5 МБ. Удалить её штатными средствами не получится из-за функции самозащиты.

Webroot — удаление программы штатными средствами недоступно

Для деинсталляции используйте кнопку с изображением корзины в меню самой программы.

Webroot — удаление через интерфейс программы

Разработчикам других антивирусов стоит внести множество изменений в свои продукты. К примеру, программа avast! Free Mobile Security стала популярной из-за рекомендательной модели распространения. Увы – при множестве хороших идей в плане интерфейса и оптимизации кода, реализация оставляет желать лучшего. Сегодня avast! пропускает многие реальные угрозы, демонстрируя посредственный результат.

Может возникнуть параноидальное желание установить все перечисленные программы ради использования сканеров с разными базами и механизмами проверки. От такого шага обычно предостерегают. Во избежание конфликтов рекомендуется оставить только один антивирус.

Копаст: computerra.ru