Onderzoekers aan een Amerikaanse universiteit hebben een nieuwe tool ontwikkeld om Androidmalware te detecteren die het toestel probeert te rooten. Er bestaan verschillende malware-exemplaren voor Android die root-exploits gebruiken om rootrechten op het toestel te krijgen.

Daardoor heeft de malware volledige controle over het toestel. Onderzoekers van de North Carolina State University ontwikkelden een nieuwe beveiligingstool genaamd Practical Root Exploit Containment (PREC). Het gebruikt gedragsanalyse om te bepalen of een app kwaadaardig of goedaardig is. Zodra de gebruiker een app downloadt, zoals Angry Birds, wordt het gedrag van de app vergeleken met een database van hoe de app zich zou moeten gedragen.

Als er afwijkingen van het normale gedrag worden gedetecteerd, analyseert PREC die en bepaalt of het om malware of een onschuldige "false positive" gaat. Als PREC inderdaad ziet dat de app een root-exploit probeert uit te voeren, wordt dit voorkomen.

C code

Eén van de onderzoekers merkt op dat gedragsanalyse niets nieuws is, maar dat PREC zich onderscheidt doordat de tool zich alleen op code richt die in de programmeertool C is geschreven. Veel malware die root-exploits gebruikt is in C geschreven, terwijl de meeste apps in Java zijn gemaakt. "Deze aanpak verkleint het aantal false positives behoorlijk", aldus professor Helen Gu.

"Dit verkleint het aantal interrupties voor gebruikers en maakt gedragsanalyse praktischer." De onderzoekers hopen met app-leveranciers samen te werken, zoals Google, om een database van normaal app-gedrag aan te leggen. Daarnaast worden er ook industriepartners gezocht die PREC ook daadwerkelijk op toestellen willen uitrollen.