AV-Comparatives 2020: Тестирование антивирусов на защиту от шпионского ПО (Stalkerware)

Независимая тестовая лаборатория AV-Comparatives опубликовала результаты крупного нового тестирования антивирусов, связанного защитой от программ для шпионажа.

Под английским термином «Stalkerware» обычно понимают скрытое ПО, которое может без ведома пользователя вести наблюдение за его активностями. Подобные программы могут записывать телефонные и видеовызовы, считывать содержимое электронных писем и сообщений в социальных сетях и записывать историю просмотров. На портативных устройствах, таких как ноутбуки, планшеты и смартфоны, шпионские программы могут отслеживать физическое расположение пользователя. Программы для шпионажа используются против отдельных лиц, партнеров или конкурентов, а также применяются государственными структурами для слежки за политическими диссидентами.

Удивительно, но программы категории stalkerware можно приобрести абсолютно легально. Разработчики такого ПО отмечают, что они могут использоваться только для легитимных целей, например для контроля, как дети используют Интернет, или для оценки эффективности персонала в организациях. Однако, в отличие от обычных программ контроля, шпионское ПО пытается скрыть свое присутствие на пользовательском устройстве. Такие программы не создают ярлыков, или иконок и не регистрируют себя в списке установленных приложений. Если вы не являетесь техническим экспертом, то лучший способ обнаружить stalkerware на своем устройстве — использовать качественный антивирус.

AV-Comparatives — независимая антивирусная лаборатория, прошедшая сертификацию ISO и располагающаяся в Инсбруке, Австрия. Она занимается тестированием программ безопасности и оценкой эффективности защит против различных типов кибератак. В тесте на противодействие шпионским программам, специалисты лаборатории анализировали антивирусные продукты, как для Android, так и для Windows.

Процедура тестирования

Лаборатория AV-Comparatives протестировала 10 антивирусных продуктов и оценила их способность обнаруживать шпионское ПО в системах Android и Windows. Первый раунд тестирования прошел в ноябре 2019 года. Второй раунд тестирования пришелся на май 2020 года. Если продукт не мог обнаружить угрозу на первом этапе и спустя шесть месяцев, то проблема могла заключаться в политиках обнаружения или в сигнатурных определениях.

Тестовое оборудование

Тестирование антивирусов для Android осуществлялось на Samsung Galaxy S9 под управлением Android 8.0. При тестировании антивирусов для Windows использовался компьютер под управлением Windows 10 Pro 64-битная. В обоих случаях системы были подключены к Интернету.

Методика тестирования

Каждый участник тестирования должен был просканировать все тестовые образцы шпионского ПО. Эксперты лаборатории проверяли, распознает ли антивирус программу для шпионажа и покажет соответствующее предупреждение или заблокирует образец. В этих случаях считалось, что угроза была обнаружена.

Протестированные антивирусы

Лаборатория провела в общей сложности 10 известных антивирусных программ для Android и 10 популярных антивирусных программ для Windows. Отбор продуктов осуществлялся совместно с Фондом электронных рубежей (Electronic Frontier Foundation EFF) по критерию популярности в США. Протестированные антивирусы и их актуальные версии на момент тестирования (на ноябрь 2019 года и май 2020 года) приведены ниже:

Антивирусы для Android

Avast Mobile Security 6.23 / 6.27
Avira Antivirus Security для Android 6.1 / 6.5
Bitdefender Mobile Security 3.3 / 3.3
ESET Mobile Security 5.2 / 5.4
Kaspersky Internet Security для Android 11.32 / 11.46
Lookout Mobile Security 10.28 / 10.32
McAfee Mobile Security 5.3 / 5.6
Norton Security для Android 4.7 / 4.8
Panda Mobile Security 3.5 / 3.5
Trend Micro Mobile Security 11.0 / 11.3

Антивирусы для Windows

Avast Free Antivirus 19.8 / 20.3
AVIRA Antivirus Pro 15.0 / 15.0
Bitdefender Internet Security 24.0 / 24.0
ESET NOD32 Internet Security 13.0 / 13.1
Kaspersky Internet Security 20.0 / 20.0
McAfee Total Protection 22.5 / 23.1
Microsoft "Защитник Windows" 4.18 / 4.18
NortonLifeLock Norton 360 Deluxe 22.19 / 22.20
Panda Free Antivirus 19.00 / 20.00
Trend Micro Internet Security 16.0 / 16.0

Тестовые случаи

Для данного тестирования было отобрано 20 шпионских программ для Android и 10 шпионских программ для Windows. Новейшие версии этих программ, доступные на ноябрь 2019 года, были загружены с официального сайта вендора, установлены и настроены для тестирования в обоих раундах.

Результаты тестирования

Обнаружение шпионского ПО засчитывалось только в тех случаях, когда антивирус выводил предупреждение или блокировал и удалял угрозу.

Названия stalkerware-программ не приводятся намеренно, чтобы не делать им дополнительную рекламу и открыто не публиковать информацию, какие антивирусы обходит та или иная шпионская программа.

Символы:

	Шпионское ПО обнаружено
	Шпионское ПО не обнаружено

Каждая пара символов показывает, была ли обнаружена шпионская программа в ноябре 2019 года (слева) или в мае 2020 года (справа). Соответствующие показатели обнаружения для двух раундов испытаний показаны в нижней части таблицы.

Таблица ниже показывает результаты испытаний антивирусных программ против 20 шпионских программ для Android в ноябре 2019 года и в мае 2020 года.

Антивирусы для Android: Защита от Stalkerware

Таблица ниже показывает результаты испытаний антивирусных программ против 10 шпионских программ для Windows в ноябре 2019 года и в мае 2020 года.

Антивирусы для Windows: Защита от Stalkerware

Результаты испытаний

Уровни обнаружения продуктов для Android в ноябре варьировались от 30% до 95%. У двух продуктов уровень обнаружения оказался ниже 50%. Уровни обнаружения продуктов для Windows оказались более скромными. Самый высокий уровень обнаружения в ноябре составлял 70%, и только два продукта достигли такого результата. Шесть месяцев спустя, в мае, улучшилось обнаружение как продуктов для Android, так и продуктов для Windows. 9 из 10 продуктов для Android обнаружили от 75% и 95% образцов. Все продукты для Windows улучшили уровни обнаружения и смогли показать, как минимум 70%, а четыре продукта продемонстрировали идеальный результат - 100%.

Из динамики результатов ясно видно, что антивирусные продукты со временем лучше обнаруживают шпионское ПО. Как и в случае с традиционными вредоносными программами, вендоры играют с разработчиками stalkerware в «кошки-мышки». Каждый пытается оставаться на шаг впереди другого. Специфика коммерческого ПО для слежки создает дополнительные трудности для поддержания сигнатур в актуальном состоянии.

Отличия операционных систем

По сравнению с аналогичным ПО для Android, шпионские программы для Windows являются более сложными с точки зрения видимости, прав доступа и распределения файлов на жестком диске. Многим из тестовых шпионских программ для Windows удалось скрыть свое присутствие в системе. Они не создают ярлыки на рабочем столе, не появляются в меню Пуск и имеют процессы с безобидным названием, например «Служба синхронизации». Кроме того, такие программы могут размещать свои файлы в разных местах на жестком диске.

На устройствах Android stalkerware-приложения всегда присутствуют в списке установленных приложений, но могут использовать неочевидные имена, чтобы их нельзя было распознать сразу. Все связанные данные хранятся в одном месте на устройства Android (/data/app//), а возможности таких приложений ограничены самой операционной системой Android, если конечно приложение не получило системные разрешения для доступа к дополнительным данным и функциям. Эти особенности облегчают антивирусам для Android задачу обнаружения и удаления подобного ПО и связанных данных. Однако, существуют и ограничения для защиты приложений на Android.

Stalkerware

Чтобы избежать сложностей, некоторые разработчики легитимных шпионских программ предлагают перед их установкой отключить любое антивирусное решение, встроенное в операционную систему (например Защитник Windows, Google Play Защита), а также стороннее антивирусное ПО. В частности, на Android в настройках безопасности система должна быть включена опция «Устанавливать приложения из неизвестных источников», чтобы правильно установить шпионское приложение не из магазина Google Play.

Каждое протестированное stalkerware-приложение предоставляло облачную панель мониторинга, на которой отображаются данные, собранные с целевой системы. Некоторые шпионские приложения для Android обнаруживали, что на целевом устройстве был установлен антивирус, и предупреждали пользователя через соответствующий веб-интерфейс. Шпионские программы для Windows предлагали внести их в белый список антивируса с той же целью.

Более сложные приложения для слежки на Android устанавливают пароль, который необходимо будет ввести, чтобы отозвать права администратора устройства и удалить приложение. На практике это означает, что жертва не сможет деактивировать программу мониторинга даже с помощью антивируса.

В некоторых случаях шпионские программы активно вмешиваются в функционирование целевой системы или антивируса и могут, например, серьезно нагружать процессор, не позволяя запустить антивирусную программу, браузер или другие установленные приложения.

Последние обзоры и тесты

• Лучший антивирус 2024: Тестирование антивирусов для Windows 11 на максимальных настройках защиты
• AV-Test 2024: Лучшие антивирусы для защиты от шифровальщиков и инфостилеров
• AV-Comparatives 2024: Лучшие антивирусы для защиты от целевых атак
• Антивирусы с минимальным влиянием на производительность Windows ПК – AV-Comparatives 2024
• AV-Test 2024: Тестирование 31 антивируса для Windows. Как антивирусы справляются с реальными атаками
• AV-Test 2024: Лучшие антивирусы для Windows 11 и Windows 10