VirusTotal verlässlich für APK Scans?

[Ro155]

Hallo zusammen,

der Titel sagt eigentlich schon alles:
Ist VirusTotal zuverlässig beim Scannen von APKs?

Hintergrund der Frage ist, dass ich einfach nicht weiß, wie fortschrittlich entwickelt mittlerweile die Virenscanner von APKs sind? Unter Windows verlasse ich mich größtenteils auf VT - aber wenn ich beispielsweise eine APK von einem Drittanbieter aus dem XDA-Developers Forum lade, nutze ich den Dienst von VT ganz gerne!

Kennt sonst jmd. Untersuchungen zu diesem Thema?

Danke!

 

[CoMo]

Ein Virenscanner kann immer nur Malware finden, die bekannt ist. Das ist bei APK's nicht anders als bei Windows-Malware.

Ist VirusTotal zuverlässig beim Scannen von APKs?

Nein.

 

[IlluminatusUnus]

Wer ständig unbekannte APKs aus unseriösen Quellen installiert benötigt vielleicht grundsätzlich eine andere Sicherheitsstrategie als einen Virenscanner.

 

[Slayn]

Weißt du überhaupt wie Virustotal funzt? Das ist nur ein Ansammlung gängiger Virenscannern auf dem Markt.

 

[S.Kara]

Mit Apps aus unbekannten Quellen wäre ich sehr vorsichtig.

Einmal Zugriff auf Beispielsweise Bilder oder Dokumente gegeben und die können die ganzen Dateien von dir anzapfen. Da hilft auch kein Virenscanner.

 

[Ro155]

Weißt du überhaupt wie Virustotal funzt? Das ist nur ein Ansammlung gängiger Virenscannern auf dem Markt.

Natürlich, das kann man ja meiner Frage entnehmen. Daher ja meine Annahme / Hoffnung, dass eine derart große Ansammlung so viele verschiedene Heuristiken und Signaturen implementiert hat, dass die Wahrscheinlichkeit etwas zu finden, stark steigt und hoffentlich im Best-Fall gegen 100% konvergiert.

Und ja, ich rede nicht von 0-day exploits - die können natürlich nicht gefunden werden.

Aber sind Apps unter Android nicht grundsätzlich Sandboxed?

@S.Kara: Das ist klar, das kann aber auch mit jeder x-beliebigen App aus dem Playstore geschehen. Hier hilft dann vermutlich auch kein PlayStore Scan mehr, da ja nicht gescanned werden kann, ob die Bilder beispielsweise auf Drittserver hochgeladen werden?!

 

[PC295]

Ist VirusTotal zuverlässig beim Scannen von APKs?

Virustotal bzw. die Virenscanner können APKs ganz genau unter die Lupe nehmen, dass heisst es wird nicht nur geschaut ob die Prüfsummen auf der Blacklist stehen, sondern die APKs werden in ihre Bestandteile "zerlegt" und alle Inhalte, einschließlich Codes auf mögliche Gefährdungen geprüft.

Ein Virenscanner kann immer nur Malware finden, die bekannt ist.

Falsch. Selbst Malware noch unbekannt ist und beim Scannen nicht als schädlich erkannt werden, kann eine Erkennung immernoch beim Ausführen der Datei erfolgen und vor einer Infektion bewahren.
AV-Programme verwenden mittlerweile eine Vielzahl von Technologien um neuste und noch unbekannte Malware zu erkennen.

 

[Ro155]

Falsch. Selbst Malware noch unbekannt ist und beim Scannen nicht als schädlich erkannt werden, kann eine Erkennung immernoch beim Ausführen der Datei erfolgen und vor einer Infektion bewahren.
AV-Programme verwenden mittlerweile eine Vielzahl von Technologien um neuste und noch unbekannte Malware zu erkennen.

Korrekt, das meinte ich oben mir Heuristiken.

Und wenn ich nun überlege, dass hier eine Ansammlung von über 10-20 verschiedener Scanner zum Einsatz kommt, die allesamt teilweise unterschiedliche Blacklists, Signaturdatenbanken und Heuristiken zur Erkennung einsetzen, müsste die Abdeckung, abgesehen von echten Zero-Day Exploits, die evtl. wirklich nur tagesaktuell ausgenutzt werden können, doch recht groß sein?

Es ist ja nicht so, dass ich zB aus dem XDA immer nur tagesaktuelle APKs lade - sondern wenn ich etwas benötige, das ich nur dort finde, dann hat eine solche APK teliweise ja schon 1-2 Jahre auf dem Buckel und fällt damit ganz sicher nicht mehr unter die Kategorie 0-day Exploit.

 

[PC295]

Das sollte recht zuverlässig funktionieren. Wenn du APK-Dateien auf VT scannst, lohnt sich auch ein Blick unter "Relations", dort siehst du die Ergebnisse der APK-Inhalte (dex, xml-Dateien etc.) sowie eine Überprüfung der durch die APK aufgerufenen URLs.

Bei XDA kannst du eigentlich ohnehin recht sicher sein. Es ist eine gigantische Community mit einer Vielzahl von Entwicklern. Dort schwarzes Schaf zu spielen lohnt sich nicht.

 

[CoMo]

Falsch. Selbst Malware noch unbekannt ist und beim Scannen nicht als schädlich erkannt werden, kann eine Erkennung immernoch beim Ausführen der Datei erfolgen und vor einer Infektion bewahren.
AV-Programme verwenden mittlerweile eine Vielzahl von Technologien um neuste und noch unbekannte Malware zu erkennen.

Hat das schon jemals funktioniert? Ausnahmslos jeder Heuristik Treffer, den ich in den letzten ~20 Jahren gesehen habe, war ein Fehlalarm. Jeder. Fehlerquote 100%.

AV-Software kann nur bekannte Malware entdecken. Alles andere ist Schlangenöl.

 

[Drewkev]

Bei XDA kannst du eigentlich ohnehin recht sicher sein. Es ist eine gigantische Community mit einer Vielzahl von Entwicklern. Dort schwarzes Schaf zu spielen lohnt sich nicht.

This.

 

[PC295]

Hat das schon jemals funktioniert?

Ja, auf Youtube kannst du dir viele Videos anschauen, wie sowas in der Praxis aussieht.
Oder du testest halt selber....

Ausnahmslos jeder Heuristik Treffer, den ich in den letzten ~20 Jahren gesehen habe, war ein Fehlalarm.

Es geht nicht nur um Heuristik, die kann man mittlerweile als veraltet und unzuverlässig bezeichnen.
Vielmehr kommen heute u.a. Online-Funktionen (Reputation) oder Verhaltenserkennung zum Einsatz.

 

[Ro155]

Hat das schon jemals funktioniert? Ausnahmslos jeder Heuristik Treffer, den ich in den letzten ~20 Jahren gesehen habe, war ein Fehlalarm. Jeder. Fehlerquote 100%.

AV-Software kann nur bekannte Malware entdecken. Alles andere ist Schlangenöl.

Aber würde das nicht bedeuten, dass VT mit seiner Ansammlung an Softwaretools nicht tendentiell sogar eher ZU STRENG ist, wenn es sich um Fehlalarme handelt?

Was könnte eine Malware APK eigentlich genau im System bewirken?
Mal abgesehen von der Anbindung an DDOS-Netzwerke, wenn ich einer solchen App keinerlei Berechtigungen gäbe - ist dann der Rest nicht komplett Sandboxed? Also ein Ausbrechen aus der Sandbox und Eindringen in andere Applikationen / Nutzerdaten / Accounts usw. ist doch gar nicht möglich ohne ROOT oder?

 

[Drewkev]

wenn ich einer solchen App keinerlei Berechtigungen gäbe

Es gibt noch andere Berechtigungen nebst den üblichen wie Kontakte, Kamera, Mikrofon und so weiter, die man afaik gar nicht verwalten kann.

Aber würde das nicht bedeuten, dass VT mit seiner Ansammlung an Softwaretools nicht tendentiell sogar eher ZU STRENG ist, wenn es sich um Fehlalarme handelt?

Würde ich schon sagen, wie viele false positives ich beim VT schon hatte, will ich gar nicht aufzählen.

Aber ja, das ist irgendwo auch normal.

 

[Ro155]

Ja, aber ist ja gar nicht so verkehrt - lieber zu streng als zu schwach - dann wäre es ja tatsächlich für meinen Usecase, nochmal auf Nummer sicher zu gehen (neben der Aussage hier, dass XDA eigentlich sowieso eine sehr verlässliche Quelle ist) durch einen solchen Scan. Denn wenn selbst der zu "strenge" Scan dann nichts weiteres findet trotz aktuellster Datenbanken und Blacklists, dürfte das ja tatsächlich eine vertrauenswürdige APK sein...

Danke Euch!

 

[siggi%%44]

dass heisst es wird nicht nur geschaut ob die Prüfsummen auf der Blacklist stehen, sondern die APKs werden in ihre Bestandteile "zerlegt" und alle Inhalte, einschließlich Codes auf mögliche Gefährdungen geprüft.

Seit wann kann man denn eine APK dekompilieren?? Das ist leider nicht möglich. Weißt du was Avira macht, wenn deine Apps gescannt werden? Einen Haufen Fehlermeldungen im Systemlog ablegen und danach sagt dir die App, alles sei in Ordnung. Es werden nur die Paketnamen abgeglichen, ob einer davon bereits bekannt ist. Mehr macht eine AV App nicht, weil sie nicht mehr kann.

 

[PC295]

Seit wann kann man denn eine APK dekompilieren??

Du kannst die Apk mit z.B. 7-Zip öffnen.
Da die meisten Apps in Java geschrieben werden, ist das auch möglich.
Das dass auch gemacht wird siehst du bei VT unter "Relations" oder direkt in Antiviren-Apps wie Sophos Intercept X. Wenn das Avira anders macht, ist das kein Maßstab für alle Virenscanner.

 

[siggi%%44]

Du kannst die Apk mit z.B. 7-Zip öffnen.
Da die meisten Apps in Java geschrieben werden, ist das auch möglich.

Eine APK ist ein ZIP-Archiv. Natürlich kann ich das öffnen. Aber ich kann die classes.dex nicht in Java umwandeln oder aus ihnen Code ableiten. Das ist ausgeschlossen.

 

[PC295]

Aber ich kann die classes.dex nicht in Java umwandeln oder aus ihnen Code ableiten.

Also ich denke schon, dass es da entsprechende Tools gibt.
Ich verwende z.B. den RVX Patcher für YouTube ReVanced. Dort ist im Log zu sehen, dass die dex files decompliert werden und der Code für werbefreie Videowiedergabe und mehr Konfigurationsmöglichkeiten hineingeschrieben werden.
Das es funktioniert ist im Ergebnis zu sehen 😃

 

[siggi%%44]

Was auch immer dieses Tool macht, du kannst eine classes.dex nicht dekompilieren > Java Code erstellen > wieder zu classes.dex kompilieren. Es geht nicht! Unter diesem Aspekt wäre jede App auch Open Spurce, was sie aber nachweislich nicht ist. Ganz einfach.