Система и способ выявления потенциально вредоносных изменений в приложении

Область техники

Изобретение относится к решениям для выявления вредоносных файлов, а более конкретно к системам и способам выявления потенциально вредоносных изменений в приложении.

Уровень техники

В настоящее время мобильные операционные системы (в частности, Android) получают все большую популярность. Программное обеспечение для них развивается стремительными темпами. Обновления программного обеспечения происходят регулярно, производители исправляют ошибки и выпускают обновленные версии программного обеспечения с новой функциональностью. Дистрибутивы программного обеспечения зачастую представляют собой файлы-архивы, в которых содержатся файлы приложения, цифровые подписи к файлам и сертификат, которым подписаны файлы.

Кроме того, в настоящее время растет количество вредоносного программного обеспечения (например, компьютерные вирусы, троянские программы, сетевые черви), направленного на причинение ущерба как данным пользователя, так и самому пользователю электронного устройства, зараженного вредоносным программным обеспечением. Ущерб может заключаться в повреждении или удалении файлов пользователя, использовании ресурсов вычислительного устройства пользователя для “добычи” (англ. mining) криптовалют, краже конфиденциальных данных пользователя (переписки, изображений, логинов, паролей, данных банковских карт) и прочих действиях. Кроме того, вредоносное программное обеспечение постоянно изменяется, так как его авторы прибегают к новым способам атак и защиты от приложений безопасности. Используются различные механизмы, например обфускация (другими словами, приведение исходного текста или исполняемого кода программы к виду, сохраняющему её функциональность, но затрудняющему анализ, понимание алгоритмов работы и модификацию при декомпиляции) вредоносного кода или использование механизмов противодействия эмуляции (например, вредоносное программное обеспечение наделено функциями распознавания того, что оно исполняется в эмуляторе, и не проявляет свою вредоносную активность).

Один из методов создания вредоносных приложений для мобильных операционных систем – внедрение вредоносного кода в легитимное приложение, при этом в качестве основы используется легитимное приложение, которое модифицируется путем перепаковки архива и добавления в него вредоносного функционала. Обнаружить такие приложения эвристическими методами антивирусного анализа проблематично, потому что зачастую минимальное количество опасного функционала находится в одном файле со значительным количеством безопасного функционала, и попытки сделать обобщенный эвристический поиск вредоносного кода ведут к большому числу ложных срабатываний.

Например, известен случай с приложением «Cam Scanner», которое доступно для установки через Google Play. В одной из версий в момент, когда у приложения было более ста миллионов установок, в приложение во время одного из обновлений был добавлен вредоносный модуль. Насколько известно, был заключен договор с партнерской кампанией, но вместе с рекламой партнерская кампания предоставила модуль, который содержал вредоносный код. Разработчики приложения не аналитики и не специалисты в области безопасности, поэтому упомянутый модуль они сами встроили в приложение. Получилось, что в приложении на сто миллионов установок оказался вредоносный код.

Также известно, что компании-поставщики рекламных услуг «балансируют» на грани, предоставляя свои рекламные модули в рамках партнерских соглашений с разработчиками, но порой грань «переступают». Их модули содержат легитимный код, который, однако, ведет к нанесению ущерба пользователям. Например, такой модуль может отправлять SMS (что легитимно, так как это функция мобильного устройства, но подобное действие наносит финансовый ущерб пользователям) или читать уже полученные сообщения (что также легитимно, но должно быть разрешено лишь избранным приложениям, иначе может нанести ущерб в виде доступа к конфиденциальным данным пользователя). Также известны случаи с намеренными поставками модификаций с добавлением вредоносного кода.

Кроме того, есть приложения, которые попадают под категорию «Riskware». Такие приложения несут потенциальную опасность, например приложения для удаленного администрирования могут использоваться как бэкдоры (англ. Backdoor), особенно если они позволяют осуществлять свой скрытый запуск и функционирование без какого-либо оповещения пользователя о своей работе.

Существуют решения, которые позволяют определить, что приложение было перепаковано. Так, публикация CN104778409A сравнивает два приложения и выявляет меру их схожести. В случае если приложение «B» похоже на приложение «A», считается, что приложение «B» было перепаковано. Однако данное решение лишь выявляет факт перепаковки приложения и не определяет, был ли при перепаковке добавлен вредоносный код.

Таким образом, есть необходимость в создании такого решения, которое позволяет сузить пространство поиска вредоносного кода до относительно небольшого набора данных, что существенно повышает точность срабатывания эвристических правил при выявлении приложения, которое было модифицировано, и в которое был добавлен вредоносный функционал.

Сущность изобретения

Настоящее изобретение предназначено для выявления вредоносных изменений в файлах.

Технический результат настоящего изобретения заключается в реализации заявленного назначения.

Согласно одному из вариантов реализации предоставляется способ выявления потенциально вредоносных изменений в анализируемом файле, который является установочным файлом приложения для мобильных устройств, содержащий этапы, на которых: с помощью средства выбора файлов выбирают по меньшей мере один файл, схожий с анализируемым файлом; с помощью средства анализа для каждого выбранного файла вычисляют множество признаков; с помощью средства анализа определяют множества отличительных признаков анализируемого файла путем нахождения разности множеств признаков анализируемого файла и каждого выбранного файла; с помощью средства выявления вредоносного кода выявляют во множествах отличительных признаков файлов наличие потенциально вредоносных изменений.

Согласно другому частному варианту реализации предоставляется способ, в котором схожесть файла определяется на основании имени файла или версии файла.

Согласно еще одному частному варианту реализации предоставляется способ, в котором признаком файла является хеш dex-класса.

Согласно еще одному частному варианту реализации предоставляется способ, в котором хеш dex-класса вычисляется на основании кода класса без учета имен классов или на основании кода класса без учета имен методов класса.

Согласно еще одному частному варианту реализации предоставляется способ, в котором признаком файла является информация из манифеста файла, или информация о запрашиваемых разрешениях файла, или наличие зашифрованных ресурсов в файле.

Согласно еще одному частному варианту реализации предоставляется способ, в котором выявляют потенциально вредоносные изменения эвристическим анализом или сигнатурным анализом.

Согласно еще одному частному варианту реализации предоставляется способ, в котором потенциально вредоносным изменением является наличие API-функций, заведомо не являющихся доверенными, или наличие загрузчиков кода.

Краткое описание чертежей

Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:

Фиг. 1 отображает структуру системы выявления потенциально вредоносных изменений в приложении.

Фиг. 2 отображает способ выявления потенциально вредоносных изменений в приложении.

Фиг. 3 представляет пример компьютерной системы общего назначения, на которой может быть реализовано настоящее изобретение.

Описание вариантов осуществления изобретения

Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, обеспеченными для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется только в объеме приложенной формулы.

Под средствами системы в настоящем изобретении понимаются реальные устройства, системы, компоненты, группы компонентов, реализованные с использованием аппаратных средств, таких как интегральные микросхемы (англ. application-specific integrated circuit, ASIC) или программируемые вентильные матрицы (англ. field-programmable gate array, FPGA) или, например, в виде комбинации программных и аппаратных средств, таких как микропроцессорная система и набор программных инструкций, а также на нейроморфных чипах (англ. neurosynaptic chips). Функциональность указанных средств системы может быть реализована исключительно аппаратными средствами, а также в виде комбинации, где часть функциональности средств системы реализована программными средствами, а часть - аппаратными. В некоторых вариантах реализации часть средств или все средства могут быть исполнены на процессоре компьютера общего назначения (например, который изображен на Фиг. 3). При этом компоненты (каждое из средств) системы могут быть реализованы в рамках как одного вычислительного устройства, так и разнесены между несколькими связанными между собой вычислительными устройствами.

Фиг. 1 отображает структуру системы выявления потенциально вредоносных изменений в приложении.

Система выявления потенциально вредоносных изменений в приложении состоит по меньшей мере из средства выбора файлов 120, средства анализа 130 и средства выявления вредоносного кода 140.

В предпочтительном варианте реализации упомянутая система исполняется на удаленном сервере, который в частном случае является облачным сервисом безопасности (далее – облачный сервис 150). Примером облачного сервиса 150 является Kaspersky Security Network (KSN).

Средство выбора файлов 120 предназначено для выбора файлов 180 для дальнейшего анализа на потенциально вредоносные изменения. В одном из вариантов реализации файл 180 является установочным файлом приложения для мобильных устройств. В еще одном из вариантов реализации файл 180 является архивом, содержащим по меньшей мере один исполняемый файл. Потенциально вредоносные изменения – изменения в файле 180, которые содержат дополнительный функционал, использование которого может нанести вред устройству пользователя или данным пользователя. Такие выявленные потенциально вредоносные изменения требуют дополнительного более глубокого анализа на вредоносность.

В предпочтительном варианте реализации файлы 180 хранятся в облачном сервисе 150, например, в базе данных 160а или в файловом хранилище 160б. В то же время файлы 180 могут быть получены облачным сервисом 150 от агентов, установленных на мобильных устройствах пользователей, связанных по известным из уровня техники каналам связи с облачным сервисом 150, или агентов, размещенных на различных ресурсах и выполняющих сбор файлов 180 с этих ресурсов (файлообменных сервисов, сайтов-форумов, сайтов/приложений «социальные сети»). Также облачный сервис 150 производит сбор или получение файлов с помощью собственных средств (не представлены на Фиг. 1), например взаимодействующих с интерфейсами программирования приложений (англ. Application Programming Interface, API) цифровых магазинов приложений (например, таких как «Google play») или напрямую от информационных ресурсов производителей приложений. Каждый файл 180, полученный средством или агентом облачного сервиса 150, помечается доверенным, если в результате дополнительной антивирусной проверки, известной из уровня техники, было определено, что файл 180 не содержит вредоносный код. В противном случае, если полученный файл 180 не был проверен антивирусной проверкой, он помечается как недоверенный.

В общем случае средство выбора файлов 120 выбирает из множества файлов файл для анализа (далее по тексту - анализируемый файл 190) и по меньшей мере один файл 180, схожий с анализируемым файлом 190.

Анализируемый файл 190 в общем случае выбирается средством выбора файлов 120 из файлов, которые были получены облачным сервисом 150 от агентов и средств, и анализ которых на вредоносность не был выполнен облачным сервисом 150. В одном из вариантов реализации файл 180 - доверенный. В другом варианте реализации файл 180 - недоверенный. Таким образом, настоящее изобретение может выбирать для выявления схожести с анализируемым файлом 190 как доверенные, так и недоверенные схожие файлы 180. Схожесть файлов средством выбора файлов 120 определяется на основании по меньшей мере одного из признаков:

-  имени файла 190;

-  версии файла 190;

-  количества файлов внутри файла 190;

-  даты и времени получения файла 190 облачным сервисом 150;

- других признаков, позволяющих определить схожесть между файлами.

Выбранные файлы 180 и 190 средство выбора файлов 120 передает средству анализа 130.

Средство анализа 130 вычисляет для упомянутых выбранных схожих файлов 180 и анализируемого файла 190 по меньшей мере одно множество отличительных признаков.

Признаками файлов являются:

- хеш dex-класса, который в общем случае вычисляется средством анализа 130 на основании кода класса без учета имен классов, имен переменных класса и без учета имен методов класса;

- информация из манифеста файла 190;

- информация о запрашиваемых разрешениях файла 190;

- наличие ресурсов в файле 190, частным вариантом которого является наличие зашифрованных ресурсов;

- наличие so-библиотек в файле 190;

- прочие данные о файле 190, которые можно представить неупорядоченным множеством.

Стоит отметить, что множества отличительных признаков файлов могут быть вычислены как по отдельным признакам анализируемого файла 190 и схожих с ним файлов 180, так и для любой комбинации признаков.

Например, если есть файл (A) и потенциально измененный анализируемый файл (B), средство анализа 130 вычисляет одно или несколько множеств отличительных признаков файлов (А) и (B) следующим образом:

S(t, A) и S(t, B), где t –признак файла.

Затем средство анализа 130 вычисляет множества отличительных признаков файлов, при этом выполняет операцию нахождения разности множеств, то есть вычитает из множества признаков анализируемого файла 190 множества признаков каждого выбранного схожего файла 180:

S(t, B) – S(t, A) = Sm(t, BA)

Стоит отметить, что средством анализа 130 могут использоваться известные из уровня техники способы нахождения разности множеств. Выбор способа нахождения разности множеств зависит от признака файла (t) и может изменяться средством анализа 130 для повышения качества результатов.

Множества Sm(t, BA) отличительных признаков файлов средство анализа 130 передает средству выявления вредоносного кода 140.

Средство выявления вредоносного кода 140 выявляет в результирующих после вычитания множествах признаков файлов наличие потенциально вредоносных изменений. Потенциально вредоносными изменениями являются:

- наличие API-функций, заведомо не являющихся доверенными (например, отправка SMS, отправка электронного письма, отправка сообщения, вызов способа оплаты);

- наличие загрузчиков (англ. loader), использующих загрузку кода из зашифрованных файлов, использующих загрузку кода из секций файлов, не предназначенных для хранения кода, использующих загрузку кода со сторонних серверов;

- наличие обфусцированного кода.

В одном из вариантов реализации средство выявления вредоносного кода 140 для выявления потенциально вредоносных изменений использует известные из уровня техники способы эвристического анализа.

В еще одном из вариантов реализации средство выявления вредоносного кода 140 для выявления потенциально вредоносных изменений использует известные из уровня техники способы сигнатурного анализа.

В еще одном из вариантов реализации средство выявления вредоносного кода 140 рассчитывает степень вредоносности изменений в анализируемом файле 190, где 0 - гарантированно безопасный файл, а 100 - гарантированно вредоносный файл. Степень вредоносности анализируемого файла 190 может быть вычислена путем комбинации весов упомянутых потенциально вредоносных изменений, а также количества потенциально вредоносных изменений.

В случае выявления потенциально вредоносных изменений, если степень вредоносности превышает некоторое пороговое значение, средство выявления вредоносного кода 140 в одном из вариантов реализации передает анализируемый файл 190 на более полный анализ в облачный сервис 150.

В еще одном из вариантов реализации средство выявления вредоносного кода 140 на основании степени вредоносности анализируемого файла 190 может передавать анализируемый файл 190 на анализ устройству специалиста по информационной безопасности.

Примеры работы настоящей системы приведены ниже.

Один пример основан на одной известной популярной технике у рекламных компаний, которые предоставляют «нечистоплотные» рекламные услуги. Эти компании добавляют в само приложение загрузчик, в ресурсы файла-дистрибутива (apk) добавляется файл с зашифрованным кодом. При этом dex-файл в анализируемом файле 190 изменяется несильно, добавляется только код загрузчика. По отдельности такие изменения являются незначительными и будут определены безопасными. Если же проверку приложений от таких компаний произведет заявленная система с помощью своих средств, то результат будет следующим.

Средство выбора файлов 120 произведет выбор схожих файлов приложения в формате apk: доверенного файла 180 и анализируемого файла 190. Далее средство анализа 130 произведет анализ найденных файлов и получит в результате следующее. Доверенный файл 180, в одной папке которого по результатам работы средства анализа 130 находятся 50 файлов, и анализируемый файл 190, у которого в аналогичной же папке находится 51 файл. В результате анализа 51-ого файла анализируемого файла 190 он имеет неизвестный тип, зашифрован и обладает очень высокой энтропией. Также обнаружен один измененный dex-файл, находящийся в анализируемом файле 190, от файла, находящегося в доверенном файле 180. Средство выявления вредоносного кода 140 определяет способами эвристического анализа, что 51-ый файл является загрузчиком, который загружает код из зашифрованного файла, и, таким образом, выявляет потенциально вредоносные изменения в анализируемом файле 190. В результате такой анализируемый файл 190 отправляется средством выявления вредоносного кода 140 на более глубокий анализ в облачный сервис 150. Дополнительно вместе с анализируемым файлом 190 может быть отправлена и информация о результатах анализа средством анализа 130.

В другом примере работы системы средство выбора файлов 120 выбрало два схожих файла, при этом доверенный файл 180 получен из официального магазина (например, Google Play), а анализируемый файл 190 с подобным именем пакета и версией получен со стороннего сайта в Интернете, распространяющего приложения. Средство анализа 130 выявило отличный dex-файл в анализируемом файле 190, отправила его на анализ средству выявления вредоносного кода 140. Средство выявления вредоносного кода 140 выявило с помощью эвристического анализа в упомянутом файле (dex-файле) загрузчик, а в java-пакете «android support» загружаемый код. Java-пакет «android support» присутствует в большинстве приложений, в нем обычно находится только "стандартный" код, который добавляет компилятор AndroidStudio, поэтому этот пакет обычно не проверятся стандартными способами. В результате такой анализируемый файл 190 отправляется средством выявления вредоносного кода 140 на более глубокий анализ в облачный сервис 150.

Стоит отметить, что в еще одном варианте реализации, когда схожий файл 180 для анализируемого файла 190 не был выбран средством выбора файлов 120, настоящая система также будет функционировать и произведет действия с помощью средств 130 и 140. Например, получен анализируемый файл 190, который имеет небольшой размер, не имеет программной платформы (фреймворка), и умеет отправлять SMS-сообщения. В результате средство выбора файлов 120 не выберет схожий файл 180, средство анализа 130 определит множество отличительных признаков файла, содержащее весь код анализируемого файла 190, а средство выявления вредоносного кода 140 способом сигнатурного или эвристического анализа обнаружит в коде вызов API-функции, которая отправляет SMS-сообщения. Такой анализируемый файл 190 также будет отправлен на более глубокий анализ в облачный сервис 150.

Фиг. 2 отображает структуру способа выявления потенциально вредоносных изменений в файле.

На этапе 210 с помощью средства выбора файлов 120 выбирают по меньшей мере один файл 180, схожий с анализируемым файлом 190. В одном из вариантов реализации файл 190 является установочным файлом приложения для мобильных устройств. В еще одном из вариантов реализации файл 190 является архивом, содержащим по меньшей мере один исполняемый файл. Схожесть файлов определяется на основании по меньшей мере одного из признаков:

- на сновании имени файла 190;

- на основании версии файла 190;

- на основании количества файлов внутри файла 190;

- на основании даты и времени получения файла 190 облачным сервисом 150;

-на основании любого другого признака, позволяющего определить схожесть между файлами.

На этапе 220 помощью средства анализа 130 для упомянутых выбранных схожих файлов 180 и анализируемого файла 190 вычисляют по меньшей мере одно множество признаков. Признаки файла, а также их вычисление подробно рассмотрены в описании Фиг.1. В частном варианте реализации признаком файла является хеш dex-класса, который вычисляется на основании кода класса без учета имен классов, имен переменных класса и на основании кода класса без учета имен методов класса. В различных вариантах реализации признаком файла является: информация из манифеста файла 190, информация о запрашиваемых разрешениях файла 190, наличие зашифрованных ресурсов в файле 190.

На этапе 230 с помощью средства анализа 130 определяют множества отличительных признаков анализируемого файла 190 путем нахождения разности множеств признаков кода анализируемого файла 190 и каждого выбранного файла 180. Нахождение разности множеств подробно рассмотрено в описании Фиг.1. Средством анализа 130 могут использоваться известные из уровня техники способы нахождения разности множеств. Выбор способа нахождения разности множеств зависит от признака файла и может изменяться средством анализа 130 для повышения качества результатов.

На этапе 240 с помощью средства выявления вредоносного кода 140 выявляют во множествах отличительных признаков файлов наличие потенциально вредоносных изменений. В различных вариантах реализации вредоносный код выявляют эвристическим анализом и/или сигнатурным анализом. Потенциально вредоносные изменения подробно рассмотрены в описании Фиг.1.

Фиг. 3 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.

Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.

Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.

Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.

Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 3. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.

Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.

В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующиеся с сущностью и объемом настоящего изобретения.

1. Способ выявления потенциально вредоносных изменений в анализируемом файле, который является установочным файлом приложения для мобильных устройств, содержащий этапы, на которых:

а) с помощью средства выбора файлов выбирают по меньшей мере один файл, схожий с анализируемым файлом;

б) с помощью средства анализа для каждого выбранного файла вычисляют множество признаков, при этом по меньшей мере одним признаком является хеш dex-класса, который вычисляется на основании кода класса без учета имен классов или на основании кода класса без учета имен методов класса;

в) с помощью средства анализа определяют множества отличительных признаков анализируемого файла путем нахождения разности множеств признаков анализируемого файла и каждого выбранного файла;

г) с помощью средства выявления вредоносного кода выявляют во множествах отличительных признаков файлов наличие потенциально вредоносных изменений.

2. Способ по п.1, в котором схожесть файла определяется на основании имени файла или версии файла.

3. Способ по п.1, в котором признаком файла является информация из манифеста файла, или информация о запрашиваемых разрешениях файла, или наличие зашифрованных ресурсов в файле.

4. Способ по п.1, в котором выявляют потенциально вредоносные изменения эвристическим анализом или сигнатурным анализом.

5. Способ по п.1, в котором потенциально вредоносным изменением является наличие API-функций, заведомо не являющихся доверенными, или наличие загрузчиков кода.