Noi di Kaspersky utilizziamo da tempo l’intelligenza artificiale nella nostra soluzione di sicurezza mobile. Al recente Mobile World Congress di Barcellona, Viktor Chebyshev del nostro Global Research and Analysis Team (GReAT) ha parlato del perché di questa decisione e di cosa abbiamo ottenuto con questa tecnologia.
Una breve storia dell’evoluzione dei malware mobile
In primo luogo, un po’ di contesto sull’evoluzione delle applicazioni dannose per Android. Il sistema operativo è nato nel 2007 e il primo smartphone Android, l’HTC Dream, è stato reso disponibile nel 2008. Gli autori di malware hanno rapidamente preso dimestichezza con la nuova piattaforma e nel 2009 il mondo ha visto i primi programmi dannosi per Android.
È vero, all’inizio non erano molti: nel 2009, Kaspersky rilevava circa tre nuove minacce Android al mese, un volume che Chebyshev, armato solo di un semplice motore antivirus signature-based, poteva gestire da solo.
Molto presto, tuttavia, il numero di minacce aumentava a dismisura e nel 2010 i nostri rilevamenti mensili di nuovi malware Android salivano a 20 mila. Il motore signature-based riusciva ancora a svolgere il suo lavoro ma era necessario molto più tempo per l’analisi dei file dannosi.
Man mano che la popolarità del sistema operativo cresceva, la quantità di nuovi malware che colpivano Android aumentava. Nel 2012, rilevavamo una media di 467.515 casi al mese, il nostro team di analisti delle minacce mobili era cresciuto a quattro e l’analisi euristica e i metodi statistici integravano il motore signature-based. Eppure non era abbastanza.
Fttkit fornisce un esempio lampante di come le minacce mobile si sono evolute nel tempo. I creatori di questo Trojan dropper lo definiscono “un servizio automatizzato di protezione delle applicazioni Android”, ma in realtà aiuta i colleghi autori di malware a eludere il rilevamento antivirus. Mediante l’offuscamento vengono ingannate le soluzioni di sicurezza per poi installare altri malware, di solito Trojan bancari. Siamo a conoscenza di più di 360 mila versioni uniche di Fttkit e la cifra continua a crescere.
IA per la sicurezza mobile
Esaminare manualmente un tale numero di esemplari di malware richiederebbe un team in continua espansione e, cosa più importante, richiederebbe molto tempo (durante il quale gli utenti potrebbero essere infettati da nuovi malware).
È qui che entrano in gioco le tecnologie di apprendimento automatico, che possono far risparmiare una quantità significativa di tempo e di risorse. Tuttavia, tali tecnologie sono abbastanza esigenti in termini di risorse, il che significa che fare tutto il lavoro necessario direttamente sul dispositivo dell’utente può minare le prestazioni e la durata della batteria. Per ridurre al minimo questo tipo di impatto, usiamo un’opzione ibrida, con lo smartphone che esegue operazioni meno impegnative in termini di risorse e poi invia i dati sul cloud per il lavoro pesante. Questo modello assicura una protezione affidabile e risposte rapide alle nuove minacce con un impatto minimo sulle prestazioni dello smartphone e sulla durata della batteria.
Ecco cosa abbiamo ottenuto implementando l’apprendimento automatico in Kaspersky Internet Security for Android:
Il verdetto emesso dalle tecnologie di apprendimento automatico nella nostra soluzione per Android, DangerousObject.AndroidOS.GenericML, è attualmente nella lista Top-3, con il 6,63% del malware per questo sistema operativo rilevato dai nostri prodotti.
L’aspetto più rilevante, inoltre, è che i nostri prodotti per dispositivi mobili rilevano circa il 33% di tutte le nuove minacce Android utilizzando l’intelligenza artificiale.
Tutto ciò è possibile grazie a una combinazione di fattori. In primo luogo, abbiamo un ampio database di minacce mobile, attivo dal 2009. In secondo luogo, il nostro team di ricercatori per le minacce mobile ha un’esperienza unica nel settore. In terzo luogo, abbiamo un team di esperti di apprendimento automatico che integrano efficacemente questa tecnologia nei nostri prodotti. Il tutto aiuta le nostre soluzioni di sicurezza mobile a superare sempre brillantemente i test indipendenti, in termini di protezione e prestazioni.