安卓的杀毒软件还有漫长的路要走

PC上的防病毒程序软件通常都是必备的，而且他们必须跟随不断变化的威胁来升级自己的杀毒引擎，结合庞大的安全云库，为用户提供全面可信的安全防护。现在，随着防毒软件在Android设备上的普及，同样不断的强化杀毒软件很显然也是必要的。

目前的缺点的一个关键部分源于Android防病毒产品的相对不成熟。佐治亚理工大学的研究人员分析了58种主流杀毒工具，发现很多的都比较容易失败，因为没有采取多样化的方式进行恶意软件检测。考虑到攻击者的行径，研究人员构建了一个名为AVPass的工具，该工具用于将恶意软件渗透到系统中，而不会被防病毒软件检测到。在AVPass测试的58个程序中，只有两个 – 从AhnLab和WhiteArmor – 一致地停止AVPass攻击。

佐治亚理工大学博士研究生的博士生Max Wolotsky表示：“针对移动平台的杀毒软件真的只是一些公司需要做的开始 ，很多Android杀毒软件的效果可能并不是很理想。” “我们一定会警告消费者，你想要谨慎手机病毒的入侵。“

现代杀毒软件使用机器学习技术与恶意软件领域一起发展。因此，在创建AVPass时，研究人员开始采用打败他们可以访问的防御算法的方法（如为学术研究或其他开源项目创建的方法），然后使用这些策略作为对专有消费者防病毒产品进行攻击的基础在那里你看不到代码供电。该小组将于星期四在拉斯维加斯举行的Black Hat黑客会议上出席并发布AVPass。

为了测试58种Android防毒软体产品，并找出可能对每一种操作有什么好处，研究人员使用了一个名为VirusTotal的服务，该服务试图通过一个包含数十种工具的系统进行扫描来识别链接和恶意软件样本，并提供结果关于每个工具发现。通过使用不同的恶意软件组件查询VirusTotal，并查看哪些工具标记了哪些样品，研究人员可以形成每个防毒软体的检测功能类型的图片。根据学术许可证，VirusTotal将该组织限制在每个恶意软件样本数量少于300个的查询中，但是研究人员说，即使这么少的数据足以收集关于不同服务如何检测恶意软件的数据。

在此次侦察之前，该团队开发了一个名为“模仿模式”的AVPass功能，该功能屏蔽了提交防病毒扫描的测试样本，因此片段本身不会被识别和列入黑名单。另一位从事该项目的研究人员Chanil Jeon说：“模拟模式是我们的恶意软件混淆。“我们提取特定的恶意软件功能并将其插入空的应用程序，因此我们可以测试哪个功能或哪个组合对于恶意软件检测很重要。”该团队处理了恶意软件库（如VirusShare.com和DREBIN）的主流恶意软件示例。

AVPass是一个开源原型，是Georgia Tech对机器学习算法（如防病毒软件中使用的算法）的研究的一部分，以及它们被操纵和利用的程度。但它也作为对移动防御不断变化的评估。

蒙特利尔康科迪亚大学的安全研究员Mohammad Mannan说：“恶意软件与PC恶意软件相比，Android恶意软件并不多，研究了防病毒漏洞。“在大多数情况下，他们只是流氓应用程序，所以它们更易于检测。” Mannan指出，尽管Android防病毒应用程序在系统中具有很大的余地，但它们并不像PC上的防病毒应用程序那样有特权，这可能会降低防病毒有时被利用为安全漏洞本身的担忧。

然而现在，潜在的优势似乎被市场不成熟所掩盖。AVPass团队说，Android防病毒开发人员需要构建他们的产品，以便程序一次查找多个恶意属性。而且他们注意到，如VirusTotal这样的工具在每个服务披露的信息中都不那么具体，他们的研究将会更加困难和耗时。

“这些结果并不是最令人惊讶的，”Wolotsky说。“我们知道这一点，作为安全研究人员，移动领域不那么先进，我们希望AVPass能够让防病毒开发人员能够看到什么是有效的，有针对性地开发出安全性更加完美的病毒防护工具。