Anti-virussoftware voor Android beschermt niet of nauwelijks. Dat is de conclusie van een groep onderzoekers van de Northwestern University en North Caroline State University. Zij testten de tien meest populaire anti-virusproducten voor Android en ontdekten dat een simpele aanpassing van de malwarecode veelal genoeg is om niet herkend te worden.

Onherkenbaar gemaakt

In het onderzoek is anti-virussoftware van Symantec, AVG, Kaspersky Lab, Trend Micro, ESET, ESTSoft, Lookout, Zoner, Webroot, en Dr. Web getest. Daarvoor is de tool DroidChameleon ontwikkeld, een framework dat automatisch een aantal transformatietechnieken los laat op Android-applicaties. Zo werden varianten van bestaande malware – met dezelfde doeleinden – gemaakt en niet herkend door de anti-virussoftware.

Volgens de onderzoekers is 43 procent van de controle gebaseerd op bestandsnamen, checksums (of binaire reeksen) of de informatie die is verzameld door de PackageManager-api. Een kleine variatie zorgt daarmee voor het onzichtbaar blijven. Een voorbeeld is de vaak opduikende Droiddream-malware, waarvan de onderzoekers twee varianten maakten die geen enkel anti-virussoftware signaleerde.

Triviale transformaties

“Uit onze bevindingen blijkt dat alle anti-malware producten die zijn geëvalueerd gevoelig zijn voor gebruikelijk ontwijkingstechnieken en zelfs kunnen bezwijken voor triviale transformaties die geen aanpassing vergt op codeniveau”, luidt de conclusie van de onderzoekers. Duits onderzoek toonde in 2011 aan dat gratis antivirussoftware op een Android smartphone of tablet geen zin heeft.

Dit nieuwe onderzoek plaatst wel een hoopvolle kanttekening. Een jaar geleden werd 45 procent van de anti-virusproducten om de tuin geleidt door triviale transformaties. Nu is dat nog 16 procent. Dat komt door de makers van deze producten zich meer richten op content gebaseerde matching, zoals het matchen van identifiers en strings.