Pamiętacie skandal z Volkswagenem? W 2015 roku wyszło na jaw, że Volkswagen zaimplementował w swoich samochodach oprogramowanie, które miało sfałszować wyniki niezależnych kontroli emisji spalin przez samochody z logo VW. I Porsche. I Audi. W dużym skrócie polegało to na tym, że gdy samochód uznawał, że jest poddawany testom (nie przemieszczał się), przełączał silnik w tryb mniej wydajny – za to bardziej ekologiczny.
Podobnie działają twórcy złośliwego oprogramowania. By utrudnić analizę i skuteczną walkę z malware, oprogramowanie to próbuje zorientować się, czy nie jest przypadkiem uruchomione na komputerze badacza, i dopiero jeśli uzna, że nie – przejść do zaprojektowanej złośliwej aktywności. Do tej pory techniki wykrywania sandboksa były dość standardowe – malware wyszukiwało elementów typowych dla maszyn wirtualnych, sprawdzało czy komputer nie jest czystą instalacją systemu operacyjnego, weryfikowało istnienie łączności ze światem zewnętrznym, wreszcie – przeszukiwało dysk pod kątem istnienia kont o nazwie „tester”, „security” itp.
Badacze z Trend Micro trafili ostatnio na dwie obecne w Google Play aplikacje na Androida, które zastosowały ciekawą metodę sprawdzania, czy są uruchamiane w środowisku testowym. Currency Converter oraz BatterySaverMobi (już usunięte ze sklepu, wcześniej sama BatterySaverMobi była ściągnięta ponad 5’000 razy) sprawdzają, czy czujniki telefonu wykrywają jakiś ruch. Jeśli odczyt z akcelerometru sugeruje, że telefon jest trzymany w ręce, aplikacje próbują przekonać użytkownika do zainstalowania fałszywej aktualizacji systemu. Jeśli czujniki nie dostarczają żadnych informacji – jak w typowym środowisku do debugowania – część odpowiedzialna za złośliwe zachowanie nie jest uruchamiana.
Źródło: Google Play Apps Drop Anubis Banking Malware, Use Motion-based Evasion Tactics