Một trong những dịch vụ quét virus đa nhân tố lớn và phổ biến nhất hiện nay đã cho ra mắt một Android sandbox mới với tên gọi là VirusTotal Droidy, nhằm giúp các nhà nghiên cứu an ninh phát hiện ra các ứng dụng độc hại dựa trên phân tích hành vi.

VirusTotal, thuộc sở hữu của Google, là một dịch vụ trực tuyến miễn phí cho phép bất cứ ai tải lên các tệp tin để kiểm tra xem chúng có chứa virus không thông qua cùng hàng chục công cụ chống virus.

Android Sandbox thực hiện cả phân tích tĩnh và động để tự động phát hiện các ứng dụng đáng ngờ bằng cách thực hiện và giám sát các ứng dụng trong môi trường hệ điều hành Android mô phỏng.

Báo cáo hành vi cho các ứng dụng Android (APK) không phải là mới đối với VirusTotal, vì trang web đã có dịch vụ tương tự như vậy từ năm 2013, hoạt động dựa trên Cuckoo Sandbox – một hệ thống phân tích phần mềm độc hại mã nguồn mở tự động.

Thay thế cho hệ thống hiện tại, VirusTotal Droidy đã được tích hợp trong dự án đa sandbox và có thể kiểm tra rất nhiều thông tin dữ liệu, chẳng hạn như:

  • Truyền thông mạng và hoạt động liên quan đến tin nhắn SMS
  • Các cuộc gọi Java reflection
  • Tương tác hệ thống tập tin
  • Việc sử dụng cơ sở dữ liệu SQLite
  • Việc bắt đầu hoặc dừng dịch vụ
  • Kiểm tra quyền
  • Người nhận đăng ký
  • Hoạt động liên quan tới Crypto

Dưới đây bạn có thể kiểm tra các báo cáo phân tích hành vi của một số ứng dụng Android độc hại và tìm hiểu thêm về các chức năng mới của VirusTotal Droidy:

Tại sao “VirusTotal Droidy” tốt hơn phiên bản cũ “VirusTotal Sandbox”

VirusTotal cũng chia sẻ một báo cáo mẫu khác được tạo ra bằng cách sử dụng phiên bản cũ của VirusTotal Sandbox. Bạn chỉ cần nhấp chọn “VirusTotal Droidy” để xem báo cáo mới cho cùng một mẫu và so sánh cả hai công nghệ cùng một lúc.

Phát hiện ứng dụng Android độc hại với sandbox VirusTotal Droidy
Mẫu báo cáo của VirusTotal Droidy

Đối với nhiều mẫu, VirusTotal cũng cung cấp các báo cáo từ nhiều sandbox, bao gồm Tencent HABO – một dịch vụ được phát triển bởi công ty chống virus Tencent của Trung Quốc.

Công ty cho biết “Chúng tôi càng tạo ra các thông tin phong phú hơn cho các mục dữ liệu cá nhân, thì khả năng telescopic của VirusTotal càng lớn”. “Đây là cách chúng tôi quản lý dữ liệu và nhanh chóng xem xét tất cả các hoạt động gắn liền với các tài nguyên thường xuất hiện trong điều tra phần mềm độc hại.”

Báo cáo được tạo ra bằng cách sử dụng công nghệ sandbox VirusTotal Droidy Android mới cũng bao gồm dữ liệu tương tác từ các dịch vụ khác như VirusTotal Intelligence và VirusTotal Graph.