RU2818877C1 - System and method for antivirus scanning of objects on a mobile device - Google Patents

System and method for antivirus scanning of objects on a mobile device Download PDF

Info

Publication number
RU2818877C1
RU2818877C1 RU2023115437A RU2023115437A RU2818877C1 RU 2818877 C1 RU2818877 C1 RU 2818877C1 RU 2023115437 A RU2023115437 A RU 2023115437A RU 2023115437 A RU2023115437 A RU 2023115437A RU 2818877 C1 RU2818877 C1 RU 2818877C1
Authority
RU
Russia
Prior art keywords
application
security
mobile
mobile device
module
Prior art date
Application number
RU2023115437A
Other languages
Russian (ru)
Inventor
Виктор Владимирович Яблоков
Константин Михайлович Филатов
Original Assignee
Акционерное общество "Лаборатория Касперского"
Filing date
Publication date
Application filed by Акционерное общество "Лаборатория Касперского" filed Critical Акционерное общество "Лаборатория Касперского"
Application granted granted Critical
Publication of RU2818877C1 publication Critical patent/RU2818877C1/en

Links

Abstract

FIELD: information security.
SUBSTANCE: technical result is achieved through steps of: receiving, using a security module from a third-party application protection module, a command for performing antivirus scanning of an object; using a security module, the presence of a mobile security application on a mobile device is checked, wherein: when a mobile security application is installed or pre-installed, checking whether the mobile security application is activated, wherein if the application is not activated, then performing the application activation; in the absence of a mobile security application, performing the installation and activation of the mobile security application; transmitting, using the security module, an object for performing antivirus scanning to the mobile security application; performing antivirus scanning of the object to determine whether the object is malicious; transmitting the antivirus scan results by the security module to the third-party application protection module; using the protection module, selecting response measures and transmitting a command to execute the selected response measures; safety module is used to apply response measures according to the received command.
EFFECT: high security of information of third-party applications on a mobile device.
17 cl, 4 dwg, 1 tbl

Description

Область техникиField of technology

Изобретение относится к области информационной безопасности, и более конкретно к системам и способам обеспечения безопасности приложений на мобильных устройствах.The invention relates to the field of information security, and more specifically to systems and methods for ensuring the security of applications on mobile devices.

Уровень техникиState of the art

На сегодняшний день мобильное вычислительное устройство (далее - мобильное устройство) стало неотъемлемой частью жизни человека (пользователя). Как правило, большинство мобильных устройств содержат различные данные пользователя, необходимые для повседневной жизни человека. Такими данными могут являться персональные данные, такие как фамилия, имя, отчество, год рождения, номера телефонов, фотографии и видео и/или конфиденциальные данные, такие как логин и пароль к личному кабинету на сайте банка, номер кредитной карты.Today, a mobile computing device (hereinafter referred to as a mobile device) has become an integral part of a person’s (user’s) life. As a rule, most mobile devices contain various user data necessary for a person’s daily life. Such data may be personal data such as last name, first name, patronymic, year of birth, telephone numbers, photographs and videos and/or confidential data such as login and password for your personal account on the bank’s website, credit card number.

Одной из наиболее популярных мобильных платформ, использующихся на мобильных устройствах, является операционная система Google Android (далее - ОС Android). В первую очередь популярность ОС Android завоевала из-за своей открытости и бесплатности, что привело к ее распространению на различных аппаратных платформах и, как следствие, созданию огромного количества различных приложений для данной ОС. На сегодняшний день для ОС Android уже созданы несколько миллионов приложений, которые были установлены на более чем двух миллиардах мобильных устройств по всему миру. В то же время стали все активнее создаваться и вредоносные программы для мобильных устройств, использующих ОС Android. Под вредоносными программами для мобильных устройств понимается любое программное обеспечение (далее - ПО), содержащее вредоносный код и/или предназначенное для получения несанкционированного доступа к вычислительным ресурсам мобильных устройств или к информации, хранимой на них, с целью несанкционированного использования ресурсов или нанесения ущерба владельцам мобильных устройств путем копирования, искажения, удаления или подмены информации. Под информацией, в частности, понимаются персональные и конфиденциальные данные владельца мобильного устройства. Примером несанкционированного использования ресурсов мобильного устройства являются действия, направленные на осуществление несанкционированных платежей, передачу сообщений, содержащих спам, и звонки на платные номера. Таким образом, поскольку установленные приложения на мобильных устройствах в том или ином виде имеют доступ к конфиденциальным данным пользователей, стало важно защитить мобильные устройства и их приложения от вредоносных программ.One of the most popular mobile platforms used on mobile devices is the Google Android operating system (hereinafter referred to as Android OS). First of all, Android OS gained popularity due to its openness and freeness, which led to its distribution on various hardware platforms and, as a result, the creation of a huge number of different applications for this OS. To date, several million applications have already been created for the Android OS, which have been installed on more than two billion mobile devices around the world. At the same time, malware for mobile devices using the Android OS has become more and more active. Malware for mobile devices means any software (hereinafter referred to as software) containing malicious code and/or intended to gain unauthorized access to the computing resources of mobile devices or information stored on them, with the aim of unauthorized use of resources or causing damage to mobile device owners. devices by copying, distorting, deleting or substituting information. Information, in particular, means personal and confidential data of the owner of the mobile device. An example of unauthorized use of mobile device resources are actions aimed at making unauthorized payments, sending messages containing spam, and calling paid numbers. Thus, since installed applications on mobile devices have access to sensitive user data in one form or another, it has become important to protect mobile devices and their applications from malware.

Одним из решений по обеспечению безопасности на мобильных устройствах является использование специального приложения, а именно мобильного приложения безопасности. Мобильное приложение безопасности является приложением, предназначенным для обнаружения вредоносных программ, при этом в зависимости от реализации обладает различными подходами к антивирусной проверке объектов мобильного устройства. Согласно известному уровню техники, мобильные приложения безопасности, как правило, оказывают высокую нагрузку на ресурсы мобильного устройства во время выполнения своего предназначения. В частности, существует необходимость использования большого объема как постоянной памяти для установки самого приложения и локальных баз данных, так и оперативной памяти в процессе работы. Как следствие, затрудняется работа как других приложений на мобильном устройстве, так и самого мобильного устройства в целом.One solution to ensure security on mobile devices is to use a special application, namely a mobile security application. A mobile security application is an application designed to detect malware, and depending on the implementation, it has different approaches to anti-virus scanning of mobile device objects. According to the prior art, mobile security applications typically place a high load on the resources of a mobile device while performing their intended purpose. In particular, there is a need to use a large amount of both permanent memory for installing the application itself and local databases, and RAM during operation. As a result, the operation of both other applications on the mobile device and the mobile device itself as a whole becomes difficult.

Еще одним недостатком мобильных приложений безопасности являются ограничения, связанные с архитектурой ОС для мобильных устройств - Android и iOS. В данных ОС каждое приложение выполняется в рамках изолированной среды, имея доступ только к своему виртуальному хранилищу.Another disadvantage of mobile security applications is the limitations associated with the OS architecture for mobile devices - Android and iOS. In this OS, each application runs in an isolated environment, having access only to its virtual storage.

Существуют решения, направленные на устранения в том или ином виде указанного недостатка. Так, в патенте US11106476B2 представлен подход, в котором раскрыта работа вспомогательного набора инструментов для разработки программного обеспечения (англ. software development kit, SDK), интегрированного в веб-приложение. Вспомогательный SDK может выполнять простые функции безопасности, такие как проверка отпечатков пальцев или биометрических данных лица. Также вспомогательный SDK может иметь доступ к аппаратному обеспечению конкретного мобильного устройства, например, камере. Однако, недостатком этого подхода является ограниченные возможности по проведению антивирусной проверки объектов мобильного устройства.There are solutions aimed at eliminating this deficiency in one form or another. Thus, the patent US11106476B2 presents an approach that discloses the operation of a software development kit (SDK) integrated into a web application. The supporting SDK can perform simple security functions such as fingerprint or facial biometric verification. The helper SDK can also access the hardware of a specific mobile device, such as the camera. However, the disadvantage of this approach is the limited capabilities for conducting anti-virus scanning of mobile device objects.

Анализ предшествующего уровня техники позволяет сделать вывод о недостаточной эффективности применения текущих технологий в отношении обеспечения безопасности мобильных приложений, в частности в осуществлении антивирусной проверки объектов на мобильном устройстве с приемлемым уровнем нагрузки на ресурсы мобильного устройства. Поэтому необходимо решение, позволяющее как обеспечить безопасность мобильных приложений, так и уменьшить нагрузку на ресурсы мобильного устройства.An analysis of the prior art allows us to conclude that the use of current technologies is insufficient in ensuring the security of mobile applications, in particular in the implementation of anti-virus scanning of objects on a mobile device with an acceptable level of load on the resources of the mobile device. Therefore, a solution is needed to both ensure the security of mobile applications and reduce the load on the resources of the mobile device.

Раскрытие сущности изобретенияDisclosure of the invention

Настоящее изобретение относится к решениям, позволяющим обеспечить безопасность приложений на мобильных устройствах, при этом снизив нагрузку на ресурсы мобильного устройства. Безопасность приложений мобильного устройства осуществляется путем проведения антивирусной проверки объектов.The present invention relates to solutions to ensure the security of applications on mobile devices, while reducing the load on the resources of the mobile device. The security of mobile device applications is carried out by conducting an anti-virus scan of objects.

Технический результат заключается в повышение защищенности информации сторонних приложений на мобильном устройства. Данный технический результат достигается за счет настоящего изобретения, предназначенного для обеспечения безопасности приложения на мобильном устройстве.The technical result is to increase information security third-party applications on a mobile device. This technical result is achieved through the present invention, intended to ensure the security of an application on a mobile device.

В одном из вариантов реализации изобретения предлагается способ антивирусной проверки на мобильном устройством, при этом указанный способ включает этапы, на которых: получают при помощи модуля безопасности от модуля защиты стороннего приложения команду для выполнения антивирусной проверки объекта; проверяют с помощью модуля безопасности наличие мобильного приложения безопасности на мобильном устройстве, причем: при установленном или предустановленном мобильном приложении безопасности проверяют, активировано ли мобильное приложение безопасности, при этом, если приложение не активировано, то выполняют активацию приложения; при отсутствии мобильного приложения безопасности выполняют установку и активацию мобильного приложения безопасности; передают при помощи модуля безопасности объект для выполнения антивирусной проверки в мобильное приложение безопасности; выполняют антивирусную проверку объекта для определения, является ли объект вредоносным; передают результаты антивирусной проверки посредством модуля безопасности в модуль защиты стороннего приложения; при помощи модуля защиты выбирают меры реагирования и передают команду для исполнения выбранных мер реагирования; при помощи модуля безопасности применяют меры реагирования согласно полученной команде.In one of the embodiments of the invention, a method for anti-virus scanning on a mobile device is proposed, wherein this method includes the steps of: receiving a command to perform an anti-virus scan of the object using a security module from the protection module of a third-party application; using the security module, checking the presence of a mobile security application on the mobile device, and: if the mobile security application is installed or pre-installed, checking whether the mobile security application is activated, and if the application is not activated, then activating the application; in the absence of a mobile security application, install and activate the mobile security application; using the security module, transmitting an object to perform an anti-virus scan to the mobile security application; perform an anti-virus scan of the object to determine whether the object is malicious; transmit the results of the anti-virus scan via a security module to the protection module of a third-party application; using the protection module, response measures are selected and a command is transmitted to execute the selected response measures; using the security module, they apply response measures according to the received command.

Согласно одному из вариантов реализации способа команду для выполнения антивирусной проверки объекта получают после выявления подозрительной активности и связанной с этой активностью по меньшей мере одного объекта.According to one embodiment of the method, a command to perform an anti-virus scan of an object is received after identifying suspicious activity and at least one object associated with this activity.

Согласно другому варианту реализации способа подозрительную активность выявляют при помощи модуля защиты, используя поведенческие блокираторы или шаблоны опасного поведения приложения.According to another embodiment of the method, suspicious activity is detected using a protection module using behavioral blockers or patterns of dangerous application behavior.

Согласно еще одному варианту реализации способа команда для выполнения антивирусной проверки объекта содержит по меньшей мере следующую информацию: расположение объекта и наименование объекта.According to another embodiment of the method, the command for performing an anti-virus scan of an object contains at least the following information: the location of the object and the name of the object.

Согласно другому варианту реализации способа под объектом для выполнения антивирусной проверки, в частности, понимают: файл; ссылку; текст сообщения; спам-письмо; сетевой пакет.According to another embodiment of the method, the object for performing anti-virus scanning is, in particular, understood as: a file; link; Message text; spam email; network package.

Согласно еще одному варианту реализации способа активацию и установку мобильного приложения безопасности выполняют одним из способов: при помощи предоставления запроса пользователю мобильного устройства; в соответствии с групповой политикой мобильного устройства; в автоматическом режиме при установке стороннего приложения.According to another embodiment of the method, activation and installation of a mobile security application is performed in one of the following ways: by providing a request to the user of the mobile device; in accordance with the group policy of the mobile device; automatically when installing a third-party application.

Согласно другому варианту реализации способа антивирусную проверку объекта осуществляют при помощи по крайней мере одного из: взаимодействия с облачным сервисом безопасности; использования базы данных, расположенной в мобильном приложении безопасности.According to another embodiment of the method, an anti-virus scan of an object is carried out using at least one of: interaction with a cloud security service; using the database located in the mobile security application.

Согласно еще одному варианту реализации способа меры реагирования направлены на обеспечение безопасности стороннего приложения мобильного устройства и включают в себя по меньшей мере одно из действий: удаление вредоносного объекта; изменение прав доступа к вредоносному объекту; помещение вредоносного объекта в категорию спам; предупреждение пользователя о наличии вредоносного объекта на мобильном устройстве; помещение вредоносного объекта в карантин; блокировка входящего трафика по IP-адресу; отключение мобильного устройства от сети Интернет; информационная поддержка пользователя мобильного устройства при обнаруженном вредоносном объекте; изменение настроек мобильного приложения безопасности на устройстве; блокирование перехода по фишинговой ссылке; обновление операционной системы или откат мобильного устройства до заводских настроек; обновление приложения до актуальной версии.According to another embodiment of the method, response measures are aimed at ensuring the security of a third-party application of a mobile device and include at least one of the following actions: deleting a malicious object; changing access rights to a malicious object; placing a malicious object in the spam category; warning the user about the presence of a malicious object on the mobile device; placing a malicious object in quarantine; blocking incoming traffic by IP address; disconnecting the mobile device from the Internet; information support for the user of a mobile device when a malicious object is detected; changing the mobile security app settings on your device; blocking clicking on a phishing link; updating the operating system or rolling back the mobile device to factory settings; updating the application to the latest version.

В другом варианте реализации изобретения предлагается система для антивирусной проверки объектов, реализуемая по меньшей мере на одном мобильном устройстве, при этом указанная система содержит по меньшей мере одно стороннее приложение, которое включает модуль защиты, предназначенный для передачи команды в модуль безопасности для выполнения антивирусной проверки объекта; выбора мер реагирования, направленных на обеспечение безопасности стороннего приложения; передачи команды в модуль безопасности для исполнения выбранных мер реагирования; модуль безопасности, предназначенный для выполнения проверки наличия мобильного приложения безопасности на мобильном устройстве; установки мобильного приложения безопасности в случае, если приложение не установлено; активации мобильного приложения безопасности в случае, если приложение не активировано; передачи объекта для выполнения антивирусной проверки в мобильное приложение безопасности в случае, когда мобильное приложение безопасности установлено и активировано, и получении результатов антивирусной проверки; проведения антивирусной проверки объекта в случае, когда мобильное приложение безопасности не установлено или не активировано; передачи результатов антивирусной проверки объекта в модуль защиты; применения мер реагирования, направленных на обеспечение безопасности стороннего приложения.In another embodiment of the invention, a system for anti-virus scanning of objects is proposed, implemented on at least one mobile device, wherein said system contains at least one third-party application that includes a security module designed to transmit a command to the security module to perform anti-virus scanning of the object ; selecting response measures aimed at ensuring the security of a third-party application; transmitting a command to the security module to execute the selected response measures; a security module designed to check the presence of a mobile security application on a mobile device; installing a mobile security application if the application is not installed; activating a mobile security application if the application is not activated; transmitting an object to perform an anti-virus scan to the mobile security application in the case where the mobile security application is installed and activated, and receiving the results of the anti-virus scan; conducting an anti-virus scan of an object in the event that the mobile security application is not installed or activated; transferring the results of an anti-virus scan of an object to the protection module; applying response measures aimed at ensuring the security of a third-party application.

Согласно другому варианту реализации системы команда для выполнения антивирусной проверки объекта связана с выявленной подозрительной активностью.According to another embodiment of the system, the command to perform an anti-virus scan of an object is associated with detected suspicious activity.

Согласно еще одному варианту реализации системы подозрительная активность выявляется с использованием поведенческих блокираторов или шаблонов опасного поведения приложения.According to another embodiment of the system, suspicious activity is detected using behavioral blockers or patterns of dangerous application behavior.

Согласно другому варианту реализации системы команда для выполнения антивирусной проверки объекта содержит по меньшей мере следующую информацию: расположение объекта и наименование объекта.According to another embodiment of the system, a command for performing an anti-virus scan of an object contains at least the following information: the location of the object and the name of the object.

Согласно еще одному варианту реализации системы объектом для выполнения антивирусной проверки, в частности, является файл; ссылка; текст сообщения; спам-письмо; сетевой пакет.According to another embodiment of the system, the object for performing anti-virus scanning, in particular, is a file; link; Message text; spam email; network package.

Согласно другому варианту реализации системы выбор мер реагирования, направленных на обеспечение безопасности стороннего приложения, происходит на основании результатов антивирусной проверки.According to another implementation of the system, the selection of response measures aimed at ensuring the security of a third-party application is based on the results of an anti-virus scan.

Согласно еще одному варианту реализации системы установка и активация мобильного приложения безопасности выполняется одним из способов:According to another embodiment of the system, installation and activation of a mobile security application is performed in one of the following ways:

при помощи взаимодействия с пользователем мобильного устройства;through interaction with the user of a mobile device;

в соответствии с групповой политикой мобильного устройства;in accordance with the group policy of the mobile device;

в) в автоматическом режиме при установке стороннего приложения.c) in automatic mode when installing a third-party application.

Согласно другому варианту реализации системы выполнение антивирусной проверки полученного объекта выполняется при помощи по крайней мере одного из подходов:According to another variant of the system implementation, an anti-virus scan of the received object is performed using at least one of the approaches:

взаимодействия с облачным сервисом безопасности;interaction with a cloud security service;

использования базы данных, расположенной в мобильном приложении безопасности.using the database located in the mobile security application.

Согласно еще одному варианту реализации системы меры реагирования, направленные на обеспечение безопасности стороннего приложения, включают в себя по меньшей мере одно из действий: удаление вредоносного объекта; изменение прав доступа к вредоносному объекту; помещение вредоносного объекта в категорию спам; предупреждение пользователя о наличии вредоносного объекта на мобильном устройстве; помещение вредоносного объекта в карантин; блокировка входящего трафика по IP-адресу; отключение мобильного устройства от сети Интернет; информационная поддержка пользователя мобильного устройства при обнаруженном вредоносном объекте; изменение настроек мобильного приложения безопасности на устройстве; блокирование перехода по фишинговой ссылке; обновление операционной системы или откат мобильного устройства до заводских настроек; обновление приложения до актуальной версии.According to another embodiment of the system, response measures aimed at ensuring the security of a third-party application include at least one of the following actions: deleting a malicious object; changing access rights to a malicious object; placing a malicious object in the spam category; warning the user about the presence of a malicious object on the mobile device; placing a malicious object in quarantine; blocking incoming traffic by IP address; disconnecting the mobile device from the Internet; information support for the user of a mobile device when a malicious object is detected; changing the mobile security app settings on your device; blocking clicking on a phishing link; updating the operating system or rolling back the mobile device to factory settings; updating the application to the latest version.

Краткое описание чертежейBrief description of drawings

Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:Additional objects, features and advantages of the present invention will become apparent from a reading of the following description of the invention with reference to the accompanying drawings, in which:

На Фиг. 1 схематически представлен пример реализации системы обеспечения безопасности приложения.In FIG. 1 schematically shows an example of the implementation of an application security system.

На Фиг. 2 представлена блок-схема, иллюстрирующая способ обеспечения безопасности приложения.In FIG. 2 is a flowchart illustrating a method for securing an application.

На Фиг.3 представлена блок-схема, иллюстрирующая вариант реализации способа обеспечения безопасности приложения. FIG. 3 is a flowchart illustrating an embodiment of a method for providing security to an application.

На Фиг. 4 представляет пример компьютерной системы, с помощью которой осуществляется настоящее изобретение.In FIG. 4 shows an example of a computer system with which the present invention is implemented.

Осуществление изобретенияCarrying out the invention

Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако, настоящее изобретение не ограничивается иными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, обеспеченными для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется в объеме приложенной формулы.Objects and features of the present invention, methods for achieving these objects and features will become apparent by reference to exemplary embodiments. However, the present invention is not limited to other embodiments disclosed below, but may be embodied in various forms. The spirit set forth in the specification is nothing more than specific details provided to assist one skilled in the art in fully understanding the invention, and the present invention is defined within the scope of the appended claims.

Настоящее изобретение является техническим решением, позволяющим обеспечить безопасность мобильных приложений и мобильного устройства в целом за счет использования модуля безопасности в стороннем приложении. При этом настоящее изобретение позволяет уменьшить нагрузку на ресурсы мобильного устройства при осуществлении безопасности мобильного устройства.The present invention is a technical solution that makes it possible to ensure the security of mobile applications and the mobile device as a whole through the use of a security module in a third-party application. Moreover, the present invention makes it possible to reduce the load on the resources of a mobile device while ensuring the security of the mobile device.

На Фиг. 1 представлен пример системы обеспечения безопасности приложения.In FIG. Figure 1 shows an example of an application security system.

В предпочтительном варианте реализации система обеспечения безопасности приложения 105, реализуется на мобильном устройстве 102 и включает по меньшей мере одно стороннее приложение 110 и мобильное приложение безопасности 140, содержащее базу данных 145. В свою очередь стороннее приложение 110 включает модуль защиты 115 и модуль безопасности 120, при этом модуль безопасности 120 состоит из средства сканирования 125, средства анализа 130, средства применения мер 135 и базы данных 150. Стоит отметить, что модуль безопасности 120 является встраиваемым компонентом в стороннее приложение 110 и предназначен для обеспечения защиты от вредоносной активности стороннего приложения 110. В зависимости от реализации модуль безопасности 120 может быть как неотъемлемой частью стороннего приложения 110, так и являться независимым модулем, встроенным в стороннее приложение 110.In a preferred embodiment , the application security system 105 is implemented on the mobile device 102 and includes at least one third-party application 110 and a mobile security application 140 containing a database 145. The third-party application 110 in turn includes a security module 115 and a security module 120 . wherein the security module 120 consists of a scanning tool 125 , an analysis tool 130 , an enforcement tool 135 and a database 150 . It is worth noting that the security module 120 is an embeddable component within the third-party application 110 and is designed to provide protection against malicious activity of the third-party application 110 . Depending on the implementation, the security module 120 may be either an integral part of the third-party application 110 or an independent module embedded within the third-party application 110 .

Под мобильным устройством 102 понимается по меньшей мере вычислительное устройство, такое как смартфон, планшет, умные часы, портативная игровая консоль, персональное навигационное устройство и терминал приема данных. Другим примером вычислительного устройства является компьютерная система, представленная на Фиг. 4.Mobile device 102 refers to at least a computing device such as a smartphone, tablet, smart watch, handheld game console, personal navigation device, and data terminal. Another example of a computing device is the computer system shown in FIG. 4 .

Под сторонним приложением 110 понимается ПО третьих лиц, предназначенное для работы на смартфонах, планшетах и других мобильных устройствах, разработанное для конкретной платформы (Android, Windows Phone, iOS и т.д.), при этом не предназначенное для осуществления антивирусной проверки объектов.Third-party application 110 means third-party software designed to work on smartphones, tablets and other mobile devices, developed for a specific platform (Android, Windows Phone, iOS, etc.), but not intended for anti-virus scanning of objects.

Модуль защиты 115, расположенный в стороннем приложении 110, предназначен для контроля активности стороннего приложения 110 с целью выявления подозрительной активности и связанной с этой активностью объектов.Protection module115, located in a third-party application110, designed to control the activity of a third-party application110in order to identify suspicious activity and objects associated with this activity.

Под указанным объектом, в частности, понимаются такие объекты, как:The specified object, in particular, means such objects as:

файл;file;

ссылка;link;

текст сообщения;Message text;

спам-письмо;spam email;

сетевой пакет.network package.

Примерами активности являются такие активности, как: скачивание файла, открытие файла, переход по ссылке.Examples of activity are activities such as: downloading a file, opening a file, following a link.

В одном из вариантов реализации модуль защиты 115 осуществляет контроль активности стороннего приложения 110 с использованием поведенческих блокираторов или шаблонов опасного поведения приложения. Так, если активность стороннего приложения 110 совпадает с одним из шаблонов опасного поведения или обнаружены подозрительные действия, при помощи поведенческого блокиратора модуль защиты 115 фиксирует такую активность как подозрительную, выявляет по меньшей мере один объект, связанный с указанной активностью, и запрещает дальнейшие действия с выявленным объектом путем применения блокировки. Стоит отметить, что при реализации стороннего приложения 110 модуль защиты 115 может использовать и другие подходы, известные из уровня техники, для контроля активности стороннего приложения 110. Далее модуль защиты 115 передает команду для выполнения антивирусной проверки выявленного объекта, связанного с подозрительной активностью, в модуль безопасности 120. Команда для выполнения проверки объекта содержит в себе по меньшей мере следующую информацию: расположение объекта (например, путь к файлу) и наименование объекта.In one embodiment, security module 115 monitors the activity of third-party application 110 using behavioral blockers or patterns of dangerous application behavior. Thus, if the activity of a third-party application 110 matches one of the patterns of dangerous behavior or suspicious actions are detected, using a behavioral blocker, the protection module 115 records such activity as suspicious, identifies at least one object associated with the specified activity, and prohibits further actions with the detected activity. object by applying a lock. It is worth noting that when implementing third-party application 110, security module 115 may use other approaches known in the art to monitor the activity of third-party application 110 . Next, the security module 115 transmits a command to perform an anti-virus scan of the identified object associated with suspicious activity to the security module 120 . The command for performing an object check contains at least the following information: the location of the object (for example, the path to a file) and the name of the object.

Ниже приведены примеры модулей защиты 115 при реализации в разных сторонних приложениях 110.Below are examples of security modules 115 when implemented in various third party applications 110 .

В одном из вариантов реализации в стороннем приложении 110, например, банковском приложении, предоставляемом финансовыми организациями для удаленного взаимодействия, модуль защиты 115 отвечает за контроль транзакций на предмет несанкционированного доступа к данным клиента, например, данным банковских карт на мобильном устройстве 102 путем выявления программы, инициирующей выполнение транзакций, URL-адреса приема транзакции и применения фильтров (например, фильтры-валидаторы, фильтры-стоплисты, фильтры лимитов авторизации). Несанкционированный доступ к данным банковских карт может возникнуть вследствие работы троянской программы «Trojan-Banker.AndroidOS.Faketoken». Данная троянская программа отображает поддельные формы для сбора данных банковских карт поверх банковского (стороннего) приложения 110, тем самым производит кражу данных банковских карт (номер карты, PIN-код, CVV). Помимо прочего, «Trojan-Banker.AndroidOS.Faketoken» перехватывает все входящие СМС-пароли на мобильном устройстве 102 и передает их на сервера злоумышленников. В случае подозрения перехвата данных троянской программой модуль защиты 115 на мобильном устройстве 102 перехватывает подозрительную активность и передает по меньшей мере одну команду для выполнения антивирусной проверки объекта «файл программы, окно которой в текущий момент времени активно», связанного с подозрительной активностью, в модуль безопасности 120. Модуль безопасности 120 запрашивает у стороннего приложения 110 разрешения (англ. permission) для выполнения своего функционала в стороннем приложении 110.In one of the implementation options in a third-party application110, for example, a banking application provided by financial institutions for remote interaction, a security module115 is responsible for monitoring transactions for unauthorized access to client data, for example, bank card data on a mobile device102by identifying the program that initiates the transaction, the transaction receiving URL, and applying filters (for example, validator filters, stoplist filters, authorization limit filters). Unauthorized access to bank card data may occur due to the operation of the Trojan-Banker.AndroidOS.Faketoken program. This Trojan program displays fake forms for collecting bank card data on top of a banking (third-party) application110, thereby stealing bank card data (card number, PIN code, CVV). Among other things, “Trojan-Banker.AndroidOS.Faketoken” intercepts all incoming SMS passwords on a mobile device102 and transfers them to the attackers’ servers. If data is suspected of being intercepted by a Trojan program, the protection module115 on a mobile device102intercepts suspicious activity and transmits at least one command for performing an anti-virus scan of the “program file whose window is currently active” object associated with the suspicious activity to the security module120. Security module120 requests from a third party application110 permission (English permission) to perform its functionality in a third-party application110.

В другом варианте реализации в стороннем приложении 110, например, мессенджере, предназначенном для мгновенного обмена сообщениями, модуль защиты 115 отвечает за контроль входящих сообщений на предмет спама, а вложенные в них ссылки - на предмет фишинга (англ. phishing), анализирует скачанные файлы на предмет вредоносности. В случае обнаружения спама, фишинга или вредоносного объекта (файла), модуль защиты 115 перехватывает подозрительную активность и передает по меньшей мере одну команду для выполнения антивирусной проверки объекта «спам-письмо, фишинг ссылка или файл», связанного с подозрительной активностью в модуль безопасности 120. Модуль безопасности 120 запрашивает у стороннего приложения 110 разрешения для выполнения своего функционала в стороннем приложении 110. Перед выполнением антивирусной проверки объекта модулем безопасности 120 модуль защиты 115 может удалить все персональные данные из сообщения, например, упоминания имен, адресов электронной почты и иные персональные данные.In another implementation in a third-party application110, for example, a messenger designed for instant messaging, a security module115 is responsible for monitoring incoming messages for spam, and monitoring embedded links for phishing, and analyzes downloaded files for maliciousness. If spam, phishing or a malicious object (file) is detected, the protection module115intercepts suspicious activity and transmits at least one command to perform an anti-virus scan of the “spam email, phishing link or file” object associated with the suspicious activity to the security module120. Security module120 requests from a third party application110 permissions to perform your functionality in a third-party application110. Before performing an anti-virus scan of an object with the security module120protection module115 may remove all personal information from a message, such as mentions of names, email addresses and other personal information.

Модуль безопасности 120, являющийся компонентом стороннего приложения 110, предназначен для выполнения антивирусной проверки объекта, соответствующего полученной команде от модуля защиты 115, с целью выявления вредоносного объекта. Модуль безопасности 120 обладает ограниченным функционалом и возможностями для проведения антивирусной проверки объектов по сравнению с мобильным приложением безопасности 140. Например, модуль безопасности 120 обладает только одним из следующих типов проверки, и при этом каждый тип проверки может иметь ограниченный вариант реализации: отсутствует возможность эмуляции файлов или запуска в ограниченной среде (англ. sandbox); ограничен размер баз данных для проверки хеш-суммы файла или цифровой подписи; функционал модуля безопасности 120 ограничен только работой с исполняемыми файлами, собранными без применения упаковщиков. Упаковщик исполняемых файлов - это программа для уменьшения размера исполняемых файлов. В упакованный файл записывается сжатая копия исходного файла и программа для распаковки. В результате ограниченного функционала и возможностей модуль безопасности 120 производит меньшую нагрузку на центральный процессор и требует меньшего объема оперативной памяти, по сравнению с мобильным приложением безопасности 140. В еще одном из вариантов реализации модуль безопасности 120 обладает только возможностью для поиска и/или установки на мобильное устройство 102 приложения, предназначенного для осуществления антивирусной проверки безопасности, например, такого как мобильное приложение безопасности 140.Security module120, which is a component of a third-party application110, is designed to perform an anti-virus scan of an object corresponding to the command received from the protection module115, in order to identify a malicious object. Security module120 has limited functionality and capabilities for conducting anti-virus scanning of objects compared to a mobile security application140. For example, security module120 has only one of the following types of verification, and each type of verification may have a limited implementation option: there is no possibility of emulating files or running in a limited environment (English sandbox); the size of databases for checking the hash amount of a file or digital signature is limited; security module functionality120 limited only to working with executable files compiled without the use of packers. An executable file packer is a program for reducing the size of executable files. The compressed file contains a compressed copy of the original file and a program for decompressing. As a result of limited functionality and capabilities, the security module120 produces less CPU load and requires less RAM compared to a mobile security app140. In yet another embodiment, the security module120 has only the ability to search and/or install on a mobile device102an application designed to perform anti-virus security checks, such as a mobile security application140.

После получения объекта, связанного с подозрительной активностью для выполнения антивирусной проверки, модуль безопасности 120 с помощью средства сканирования 125 выполняет проверку на наличие мобильного приложения безопасности 140. Средство сканирования 125 проверяет, установлено ли мобильное приложение безопасности 140 на мобильном устройстве 102 с помощью вызова набора функций API (англ. Application Programming Interface или интерфейс программирования приложений), причем:After receiving an object associated with suspicious activity to perform an anti-virus scan, the security module 120, using the scanning tool 125 , checks for the presence of the mobile security application 140 . The scanning engine 125 checks whether the mobile security application 140 is installed on the mobile device 102 by calling a set of API (Application Programming Interface) functions, wherein:

при установленном или предустановленном мобильном приложении (англ. Pre-installed software) безопасности 140 проверяет, активировано ли мобильное приложение безопасности 140, если приложение не активировано, то выполняется активация приложения;when a mobile application (English Pre-installed software) is installed or pre-installed, security 140 checks whether the mobile security application 140 is activated; if the application is not activated, then the application is activated;

при отсутствии мобильного приложения безопасности 140 выполняется установка и активация мобильного приложения безопасности 140.in the absence of a mobile security application 140, the mobile security application 140 is installed and activated.

Средство сканирования 125 при обнаружении установленного или предустановленного, но не активированного мобильного приложения безопасности 140, информирует модуль безопасности 120 о необходимости проведения активации обнаруженного мобильного приложения безопасности 140. Модуль безопасности 120 осуществляет активацию мобильного приложения безопасности 140 путем взаимодействия с пользователем мобильного устройства 102 или же в автоматическом режиме, если модуль безопасности 120 обладает соответствующими разрешениями на мобильном устройстве 102. Так, модуль безопасности 120 направляет запрос пользователю, при этом запрос содержит информацию о наличии установленного мобильного приложения безопасности 140 на мобильном устройстве 102 и необходимости его активации и ожидает ответа об активации. Направление запроса осуществляется при помощи средств ввода-вывода данных. После активации мобильного приложения безопасности 140 модуль безопасности 120 осуществляет взаимодействие с ним. В другом варианте реализации модуль безопасности 120 запускает процесс активации приложения безопасности 140, делая окно приложения безопасности 140 активным для того, чтобы пользователь мог выполнить все необходимые для активации действия (например, ввести код активации, ознакомиться с лицензионным соглашением).The scanning tool 125, upon detecting an installed or pre-installed but not activated mobile security application 140, informs the security module 120 about the need to activate the detected mobile security application 140 . The security module 120 activates the mobile security application 140 through interaction with the user of the mobile device 102 or automatically if the security module 120 has the appropriate permissions on the mobile device 102 . Thus, the security module 120 sends a request to the user, the request containing information about the presence of an installed mobile security application 140 on the mobile device 102 and the need for its activation, and awaits a response about activation. The request is sent using data input/output tools. Once the mobile security application 140 is activated, the security module 120 interacts with it. In another implementation, the security module 120 starts the activation process of the security application 140 , making the security application window 140 active so that the user can perform all the necessary actions for activation (for example, enter an activation code, read the license agreement).

Средство сканирования 125 при отсутствии мобильного приложения безопасности 140 информирует модуль безопасности 120 о необходимости проведения установки и активации мобильного приложения безопасности 140. В одном из вариантов реализации изобретения установка мобильного приложения безопасности 140 происходит с помощью предоставления запроса пользователю мобильного устройства 102. Средство сканирования 125 через сеть 103 обнаруживает доступный магазин приложений 155 и отправляет запрос на установку мобильного приложения безопасности 140 пользователю мобильного устройства 102. Магазин приложений зависит от типа ОС мобильного устройства 102, на Android - Google Play, RuStore, Samsung Galaxy Store, Xiaomi Mi GetApps и д.р., на iOS - App Store и д.р. В одном из вариантов реализации запрос на установку мобильного приложения безопасности 140 возможно реализовать с использованием почтового ящика и SMS-сообщений на мобильном устройстве 102. Модуль безопасности 120 отправляет письмо на почтовый ящик или SMS-сообщение, содержащее ссылку на витрину мобильного приложения безопасности 140 или вложенный файл мобильного приложения безопасности 140. В случае отсутствия в магазине приложений 155 мобильного приложения безопасности 140 или отсутствия магазина приложений 155 на мобильном устройстве 102, запрос содержит разрешение на установку мобильного приложения безопасности 140 из сети Интернет (например, для ОС Android это будет ссылка на APK файл). После установки мобильного приложения безопасности 140 выполняется активация одним из ранее перечисленных способов.The scanning tool 125, in the absence of a mobile security application 140, informs the security module 120 about the need to install and activate the mobile security application 140 . In one embodiment, installation of the mobile security application 140 occurs by providing a request to the user of the mobile device 102 . The scanning engine 125 , through the network 103, detects an available application store 155 and sends a request to install the mobile security application 140 to the user of the mobile device 102 . The application store depends on the type of OS of the mobile device 102 , on Android - Google Play, RuStore, Samsung Galaxy Store, Xiaomi Mi GetApps, etc., on iOS - App Store, etc. In one embodiment, the request to install the mobile security application 140 may be implemented using the mailbox and SMS messages on the mobile device 102 . The security module 120 sends an email or SMS message containing a link to the mobile security application storefront 140 or an attached file of the mobile security application 140 . If there is no mobile security application 140 in the application store 155 or there is no application store 155 on the mobile device 102, the request contains permission to install the mobile security application 140 from the Internet (for example, for the Android OS this will be a link to the APK file). After installing the mobile security application 140, activation is performed using one of the previously listed methods.

В одном из вариантов реализации изобретения установка и активация мобильного приложения безопасности 140 выполняется в соответствии с групповой политикой мобильного устройства 102. Под групповой политикой мобильного устройства следует понимать единый набор параметров для управления мобильными устройствами, входящими в группу администрирования, а также установленными на устройствах мобильными приложениями. Например, в корпоративной или локальной сети на устройство 102 выполняется установка и активация перечня мобильных приложений согласно групповой политике. Данная установка и активация выполняется после включения, перезагрузки или обновления мобильного устройства.In one embodiment, installation and activation of the mobile security application 140 is performed in accordance with the group policy of the mobile device 102 . Mobile device group policy should be understood as a single set of parameters for managing mobile devices that are part of an administration group, as well as mobile applications installed on devices. For example, in a corporate or local network, a list of mobile applications is installed and activated on device 102 according to group policy. This installation and activation is performed after turning on, rebooting or updating the mobile device.

В другом варианте реализации изобретения установка и активация мобильного приложения безопасности 140 может быть выполнена в автоматическом режиме. Например, при установке стороннего приложения 110 дополнительно устанавливается мобильное приложение безопасности 140 на мобильное устройство 102 по умолчанию.In another embodiment of the invention, the installation and activation of the mobile security application 140 can be performed automatically. For example, when installing a third-party application 110, a mobile security application 140 is additionally installed on the mobile device 102 by default.

В случае, если мобильное приложение безопасности 140 на мобильном устройстве 102 не установлено или установлено, но не активировано, и нет возможности активации, модуль безопасности 120 проводит проверку объекта самостоятельно с помощью средства анализа 130.If the mobile security application 140 on the mobile device 102 is not installed or is installed but not activated, and there is no possibility of activation, the security module 120 checks the object independently using the analysis tool 130 .

Таким образом, модуль безопасности 120 передает объект для выполнения проверки:Thus, the security module 120 passes the object to perform the check:

в мобильное приложение безопасности 140 в случае, если мобильное приложение безопасности 140 установлено и активировано на устройстве 102;to the mobile security application 140 if the mobile security application 140 is installed and activated on the device 102 ;

в средство анализа 130 в случае, если мобильное приложение безопасности 140 не установлено или установлено, но не активировано, и нет возможности активации на устройстве 102.to the analysis tool 130 in the event that the mobile security application 140 is not installed or is installed but not activated, and there is no possibility of activation on the device 102 .

В предпочтительном варианте реализации модуль безопасности 120 передает объект проверки в мобильное приложение безопасности 140. Мобильное приложение безопасности 140 выполняет антивирусную проверку объекта на соответствие вредоносному объекту. Под вредоносным объектом следует понимать объект, созданный при помощи вредоносного кода, предназначенный для осуществления несанкционированного доступа к информации или ресурсам устройства пользователя, в частности мобильного устройства 102. Примером мобильного приложения безопасности 140 является продукт «Kaspersky Total Security» компании АО «Лаборатория Касперского», в частности для мобильных устройств.In a preferred embodiment, the security module120transfers the scanned object to the mobile security application140. Mobile security app140 performs an anti-virus scan of an object to determine whether it corresponds to a malicious object. A malicious object should be understood as an object created using malicious code, intended to provide unauthorized access to information or resources of the user’s device, in particular a mobile device102. Example of a mobile security application140 is the product “Kaspersky Total Security” of the company “Kaspersky Lab” JSC, in particular for mobile devices.

Мобильное приложение безопасности 140, по сравнению с модулем безопасности 120, не имеет ограничений по своим функциональным возможностям для проведения антивирусной проверки объектов, а также имеет доступ к облачному сервису безопасности 160. В зависимости от вариантов реализации проверка объекта как самим мобильным приложением безопасности 140, так и с помощью облачного сервиса безопасности 160 может включать в себя сигнатурное или эвристическое сканирование информации о фрагментах кода объекта, применение поведенческих анализаторов, а также использование онлайн-сервисов, осуществляющих анализ подозрительных файлов, и песочницы (англ. Sandbox). В предпочтительном варианте реализации мобильное приложение безопасности 140 выполняет антивирусную проверку объекта с помощью облачного сервиса безопасности 160 (например, Kaspersky Security Network) через сеть 103. Mobile security app140,compared to safety module120, has no restrictions on its functionality for conducting anti-virus scanning of objects, and also has access to a cloud security service160. Depending on the implementation options, checking the object as a mobile security application itself140, so using a cloud security service160 Maybe include signature or heuristic scanning information about object code fragments, the use of behavioral analyzers, as well as the use of online services that analyze suspicious files and a sandbox. In a preferred embodiment, a mobile security application140 performs an anti-virus scan of an object using a cloud security service160(for example, Kaspersky Security Network) via the network103.

В другом варианте реализации изобретения мобильное приложение безопасности 140 выполняет проверку объекта с помощью базы данных 145. База данных 145 хранит по меньшей мере сигнатуры, эвристики, хеши файлов. Проверка объекта мобильным приложением безопасности 140 с помощью базы данных 145 включает в себя сигнатурное и эвристическое сканирование (анализ) кода объекта, применение поведенческих анализаторов. Результаты проверки объекта мобильное приложение безопасности 140 передает в модуль защиты 115 посредством модуля безопасности 120.In another embodiment of the invention, a mobile security application140 checks an object using a database145.Database145 stores at least signatures, heuristics, file hashes. Checking an object using a mobile security application140 using a database145 includes signature and heuristic scanning (analysis) object code, use of behavioral analyzers. Object scan results mobile security application140 transmits to the protection module115 via security module120.

Как было сказано ранее, в случае, когда мобильное приложение безопасности 140 не установлено или установлено, но не активировано на устройстве 102, модуль безопасности 120 осуществляет проверку объекта при помощи средства анализа 130 и базы данных 150. Средство анализа 130 проводит проверку объекта, используя сигнатуры из базы данных 150. Результаты проверки объекта средство анализа 130 передает в модуль защиты 115.As previously discussed, in the case where the mobile security application 140 is not installed or is installed but not activated on the device 102, the security module 120 performs an object check using the analysis tool 130 and the database 150 . The analysis tool 130 checks the object using signatures from the database 150 . The analysis tool 130 transmits the results of checking the object to the protection module 115 .

В частном случае реализации изобретения модуль безопасности 120 дополнительно осуществляет проверку наличия разрешений в стороннем приложении 110 для выполнения самостоятельной проверки объекта. Например, модуль безопасности 120 встроен в стороннее приложение 110 «мобильная игра» и не имеет достаточного количества разрешений. У модуля безопасности 120 могут отсутствовать разрешения для доступа к таким компонентам, как: динамик, контакты, календарь, местоположение устройства, сообщения на устройстве, данные о Wi-fi подключении. Таким образом, выполнение проверки объекта стороннего приложения 110, средством анализа 130, находящемся в модуле безопасности 120, является неполным или невозможным из-за недостаточного количества разрешений. В другом примере модуль безопасности 120 расположен в стороннем приложении 110 «Системные настройки» на мобильном устройстве 102 и имеет достаточное количество разрешений, так как системное приложение имеет неограниченный доступ ко всему мобильному устройству. Средство анализа 130 самостоятельно проводит проверку объекта стороннего приложения 110. Результаты проверки объекта средство анализа 130 передает в модуль защиты 115.In a particular case of implementation of the invention, the security module 120 additionally checks for the presence of permissions in the third-party application 110 to perform an independent verification of the object. For example, the security module 120 is embedded in a third-party mobile game application 110 and does not have sufficient permissions. The security module 120 may not have permissions to access components such as: speaker, contacts, calendar, device location, device messages, Wi-Fi connection information. Thus, performing a check on the object of the third-party application 110 by the analysis tool 130 located in the security module 120 is incomplete or impossible due to insufficient permissions. In another example, the security module 120 is located in a third-party System Settings application 110 on the mobile device 102 and has sufficient permissions because the system application has unrestricted access to the entire mobile device. The analysis tool 130 independently checks the object of the third-party application 110 . The analysis tool 130 transmits the results of checking the object to the protection module 115 .

Модуль защиты 115 на основании полученных результатов проверки от модуля безопасности 120 при необходимости осуществляет выбор мер реагирования. Перечень мер приведен ниже.The security module 115 , based on the received test results from the security module 120, selects response measures if necessary. The list of measures is given below.

Меры реагирования, направленные на обеспечение безопасности стороннего приложения 110 мобильного устройства 102, выбранные модулем защиты 115, включают в себя по меньшей мере одно из действий:The security response to the third party application 110 of the mobile device 102 selected by the security module 115 includes at least one of:

удаление вредоносного объекта;removal of a malicious object;

изменение прав доступа к вредоносному объекту;changing access rights to a malicious object;

помещение вредоносного объекта в категорию спам;placing a malicious object in the spam category;

предупреждение пользователя о наличии вредоносного объекта на мобильном устройстве 102;warning the user about the presence of a malicious object on the mobile device 102 ;

помещение вредоносного объекта в карантин;placing a malicious object in quarantine;

блокировка входящего трафика по IP - адресу;blocking incoming traffic by IP address;

отключение мобильного устройства 102 от сети Интернет;disconnecting the mobile device 102 from the Internet;

информационная поддержка пользователя мобильного устройства 102 при обнаруженном вредоносном объекте;information support for the user of the mobile device 102 when a malicious object is detected;

изменение настроек мобильного приложения безопасности на устройстве 102; changing the settings of the mobile security application on the device 102;

блокирование перехода по фишинговой ссылке;blocking clicking on a phishing link;

обновление операционной системы или откат мобильного устройства 102 до заводских настроек;updating the operating system or rolling back the mobile device 102 to factory settings;

обновление приложения 110 до актуальной версии.updating application 110 to the latest version.

Модуль защиты 115 передает команду в модуль безопасности 120 для исполнения выбранных мер реагирования. Модуль безопасности 120 с помощью средства применения мер 135 исполняет меры реагирования, выбранные модулем защиты 115. Например, по результатам проверки был выявлен вредоносный объект - фишинговая ссылка в SMS - сообщении, модуль защиты 115 выбирает следующие меры реагирования: предупреждение пользователя мобильного устройства 102 о наличии фишинговой ссылки и блокирование перехода по фишинговой ссылке.The security module 115 transmits a command to the security module 120 to execute the selected response measures. The security module 120, using the enforcement tool 135, executes the response measures selected by the security module 115 . For example, based on the results of the scan, a malicious object was identified - a phishing link in an SMS message, the protection module 115 selects the following response measures: warning the user of the mobile device 102 about the presence of a phishing link and blocking the transition to the phishing link.

В частном случае реализации по результатам проверки объекта средством анализа 130 средство применения мер 135 незамедлительно применяет меры реагирования.In the particular case of implementation, based on the results of checking the object by the analysis tool 130, the measure application tool 135 immediately applies response measures.

В Таблице 1 представлены примеры мер реагирования, хранящиеся в базе данных 150, применяемые при выявлении соответствующего вредоносного объекта при антивирусной проверке.Table 1 presents examples of response measures stored in the database 150 that are used when a corresponding malicious object is identified during an anti-virus scan.

Таблица 1.Table 1. Вредоносные объектыMalicious objects Меры реагированияResponse measures ФайлFile Удаление файла; изменение прав доступа к файлу; помещение файла в карантин.Delete a file; changing file access rights; placing the file in quarantine. СсылкаLink Удаление ссылки; предупреждение пользователя мобильного устройства 102 о наличии фишинговой ссылки; информационная поддержка пользователя о запрете перехода по ссылке или отметка отправителя ссылки, как «недоверенный пользователь»; блокирование перехода по фишинговой ссылке.Removing a link; warning the user of the mobile device 102 about the presence of a phishing link; information support for the user about prohibiting following the link or marking the sender of the link as an “untrusted user”; blocking clicking on a phishing link. ТекстText Помещение текста в категорию спам.Placing the text in the spam category. Сетевой пакетNetwork package Блокировка входящего трафика по IP - адресу; блокировка сетевых пакетов с помощью правил для сетевого экрана.Blocking incoming traffic by IP address; blocking network packets using firewall rules.

На Фиг. 2 представлен способ обеспечения безопасности приложения. Представленный способ реализуется с помощью средств системы обеспечения безопасности приложения 105, представленных при описании Фиг. 1. In FIG. 2 presents a method for ensuring application security. The presented method is implemented using the application security system 105 presented in the description of FIG. 1.

На этапе 205 при помощи модуля защиты 115 осуществляют контроль активности стороннего приложения 110 с целью выявления подозрительной активности и связанной с этой активностью объектов. Примеры подозрительной активности - скачивание файла с неизвестного IP-адреса, получение сообщения от неизвестного адресата.At step 205, using the security module 115, the activity of the third-party application 110 is monitored in order to identify suspicious activity and objects associated with this activity. Examples of suspicious activity are downloading a file from an unknown IP address, receiving a message from an unknown recipient.

На этапе 210 при помощи модуля защиты 115 передают команду в модуль безопасности 120 для выполнения антивирусной проверки выявленного объекта, связанного с подозрительной активностью. Команда для выполнения антивирусной проверки объекта содержит по меньшей мере следующую информацию: расположение объекта (например, путь к файлу) и наименование объекта.At step 210, using the security module 115, a command is sent to the security module 120 to perform an anti-virus scan of the identified object associated with suspicious activity. The command for performing an anti-virus scan of an object contains at least the following information: the location of the object (for example, the path to a file) and the name of the object.

На этапе 220 после получения модулем безопасности 120 команды для выполнения антивирусной проверки выявленного объекта, связанного с подозрительной активностью, при помощи средства сканирования 125 выполняют проверку на наличие мобильного приложения безопасности 140. Средством сканирования 125 проверяют, установлено ли мобильное приложение безопасности 140 на мобильном устройстве при помощи вызова необходимых API функций. В случае обнаружения средством сканирования 125 установленного или предустановленного, но не активированного мобильного приложения безопасности 140 переходят к этапу 230. В случае, если мобильное приложение безопасности 140 отсутствует на мобильном устройстве 102, то переходят к этапу 240.At step 220 , after the security module 120 receives a command to perform an anti-virus scan of an identified object associated with suspicious activity, the scanning tool 125 checks for the presence of the mobile security application 140 . The scanning tool 125 checks whether the mobile security application 140 is installed on the mobile device by calling the necessary API functions. If the scanning tool 125 detects an installed or pre-installed but not activated mobile security application 140 , proceed to step 230 . If the mobile security application 140 is not present on the mobile device 102 , then proceed to step 240 .

На этапе 230 при помощи средства сканирования 125 выполняют проверку, активировано ли установленное или предустановленное мобильное приложение безопасности 140. Если мобильное приложение безопасности 140 не активировано, то переходят к этапу 250. В случае, если мобильное приложение безопасности 140 активировано, то переходят к этапу 260.At step 230 , the scanning tool 125 checks whether the installed or pre-installed mobile security application 140 is activated. If the mobile security application 140 is not activated, then proceed to step 250 . If the mobile security application 140 is activated, then proceed to step 260 .

На этапе 240 при помощи средства сканирования 125 информируют модуль безопасности 120 о необходимости проведения установки мобильного приложения безопасности 140. В одном из вариантов реализации установку мобильного приложения безопасности 140 производят с помощью предоставления запроса пользователю мобильного устройства 102. При помощи средства сканирования 125 через сеть 103 обнаруживают доступный магазин приложений 155 и отправляют запрос на установку мобильного приложения безопасности 140 пользователю мобильного устройства 102. Запрос на установку мобильного приложения безопасности 140 реализуют с использованием почтового ящика и SMS-сообщений на мобильном устройстве 102. При помощи модуля безопасности 120 отправляют письмо на почтовый ящик или SMS-сообщение, содержащее ссылку на витрину мобильного приложения безопасности 140 или вложенный файл мобильного приложения безопасности 140. В случае отсутствия в магазине приложений 155 мобильного приложения безопасности 140 или отсутствия магазина приложений 155 на мобильном устройстве 102 запрос содержит разрешение на установку мобильного приложения безопасности 140 из сети Интернет (например, для ОС Android это будет ссылка на APK файл). На этапе 250 при помощи модуля безопасности 120 осуществляют активацию мобильного приложения безопасности 140 путем взаимодействия с пользователем мобильного устройства 102 или же в автоматическом режиме, если модуль безопасности 120 обладает соответствующими разрешениями на мобильном устройстве 102. Так, при помощи модуля безопасности 120 направляют запрос пользователю, при этом запрос содержит информацию о наличии установленного мобильного приложения безопасности 140 на мобильном устройстве 102 и необходимости его активации и ожидания ответа об активации. В другом варианте реализации при помощи модуля безопасности 120 запускают процесс активации приложения безопасности 140, делая окно приложения безопасности 140 активным для того, чтобы пользователь мог выполнить все необходимые для активации действия.At step 240 , the scanning tool 125 informs the security module 120 about the need to install the mobile security application 140 . In one embodiment, installation of the mobile security application 140 is accomplished by presenting a request to the user of the mobile device 102. The scanning engine 125 detects an available application store 155 through the network 103 and sends a request to install the mobile security application 140 to the user of the mobile device 102 . The request to install the mobile security application 140 is implemented using the mailbox and SMS messages on the mobile device 102 . Using the security module 120, a letter is sent to a mailbox or an SMS message containing a link to the mobile security application showcase 140 or an attached file of the mobile security application 140 . If there is no mobile security application 140 in the application store 155 or there is no application store 155 on the mobile device 102, the request contains permission to install the mobile security application 140 from the Internet (for example, for the Android OS this will be a link to the APK file). At step 250 , the security module 120 activates the mobile security application 140 through interaction with the user of the mobile device 102 or automatically if the security module 120 has the appropriate permissions on the mobile device 102 . Thus, using the security module 120, a request is sent to the user, and the request contains information about the presence of an installed mobile security application 140 on the mobile device 102 and the need to activate it and wait for a response about activation. In another embodiment, the security module 120 initiates the activation process of the security application 140 , making the window of the security application 140 active so that the user can perform all the necessary actions for activation.

В одном из вариантов реализации изобретения установку и активацию мобильного приложения безопасности 140 выполняют в соответствии с групповой политикой мобильного устройства 102. Например, в корпоративной или локальной сети на устройство 102 выполняют установку и активацию перечня мобильных приложений согласно групповой политике.In one embodiment, the installation and activation of the mobile security application 140 is performed in accordance with the group policy of the mobile device 102 . For example, in a corporate or local network, a list of mobile applications is installed and activated on device 102 in accordance with group policy.

В другом варианте реализации изобретения установку и активацию мобильного приложения безопасности 140 выполняют в автоматическом режиме. Например, при установке стороннего приложения 110 дополнительно устанавливают мобильное приложение безопасности 140 на мобильное устройство 102 по умолчанию.In another embodiment of the invention, the installation and activation of the mobile security application 140 is performed automatically. For example, when installing a third-party application 110, a mobile security application 140 is additionally installed on the default mobile device 102 .

На этапе 260 при помощи модуля безопасности 120 передают объект для выполнения антивирусной проверки в мобильное приложение безопасности 140. При помощи мобильного приложения безопасности 140 выполняют антивирусную проверку объекта на соответствие вредоносному объекту. Под вредоносным объектом следует понимать объект, созданный при помощи вредоносного кода, направленный на осуществление несанкционированного доступа к информации или ресурсам устройства пользователя, в частности мобильного устройства 102.At step 260 , using the security module 120, the object is transferred to the mobile security application 140 for anti-virus scanning. Using the mobile security application 140, an anti-virus scanning of the object is performed for compliance with a malicious object. A malicious object should be understood as an object created using malicious code, aimed at providing unauthorized access to information or resources of the user’s device, in particular a mobile device 102 .

На этапе 270 при помощи мобильного приложения безопасности 140 осуществляют антивирусную проверку объекта. В предпочтительном варианте реализации изобретения указанная проверка осуществляется путем взаимодействия с облачным сервисом безопасности 160 (например, Kaspersky Security Network) через сеть 103. Проверка объекта с помощью облачного сервиса безопасности 160 включает в себя сигнатурное и эвристическое сканирование информации о фрагментах кода объекта, применение поведенческих анализаторов, а также использование онлайн-сервисов, осуществляющих анализ подозрительных файлов, и песочницы.At step 270, using the mobile security application 140, an anti-virus scan of the object is performed. In a preferred embodiment of the invention, this verification is carried out by interacting with a cloud security service 160 (for example, Kaspersky Security Network) via a network 103 . Scanning an object using cloud security service 160 includes signature and heuristic scanning of information about object code fragments, the use of behavioral analyzers, as well as the use of online services that analyze suspicious files and a sandbox.

В другом варианте реализации при выполнении проверки объекта мобильное приложение безопасности 140 использует базу данных 145. Проверка объекта мобильным приложением безопасности 140 с помощью базы данных 145 включает в себя, в частности, сигнатурное и эвристическое сканирование информации о фрагментах кода объекта, применение поведенческих анализаторов.In another embodiment, when performing an object scan, the mobile security application140 uses a database145. Checking an object using a mobile security application140 using a database145 includes, in particular, signature and heuristic scanning information about object code fragments, the use of behavioral analyzers.

На этапе 280 от мобильного приложения безопасности 140 посредством модуля безопасности 120 передают результаты проверки в модуль защиты 115. При помощи модуля защиты 115 на основании полученных результатов антивирусной проверки от модуля безопасности 120 при необходимости осуществляют выбор мер реагирования.At step 280 , the mobile security application 140 transmits the scan results to the security module 115 via the security module 120. Using the security module 115 , based on the anti-virus scan results received from the security module 120, response measures are selected if necessary.

На этапе 290 при помощи модуля защиты 115 передают команду в модуль безопасности 120 для исполнения выбранных мер реагирования. Модуль безопасности 120 при помощи средства применения мер 135 исполняет меры реагирования, выбранные модулем защиты 115. В частном случае реализации по результатам проверки объекта незамедлительно применяют меры реагирования.At step 290 , the security module 115 transmits a command to the security module 120 to execute the selected response measures. The security module 120, using the response tool 135 , executes the response measures selected by the security module 115 . In a particular case of implementation, response measures are immediately taken based on the results of the inspection of the object.

На Фиг. 3 представлен частный вариант реализации способа обеспечения безопасности приложения. Представленный способ реализуется с помощью средств системы обеспечения безопасности приложения 105, представленных при описании Фиг. 1, и дополняет способ, представленный при описании Фиг. 2. Этапы 205, 210, 220, 230, 240, 250, 260, 290 способа являются теми же этапами, приведенными ранее при описании Фиг. 2.OnFig. 3A private implementation of a method for ensuring application security is presented. The presented method is implemented using the application security system.105presented in the descriptionFig. 1,And complements the method presented in the descriptionFig. 2. Stages205,210,220,230,240,250,260, 290 method are the same steps given earlier in the descriptionFig. 2.

На этапе 310 при помощи средства сканирования 125 проверяют, установлено ли мобильное приложение безопасности на этапе 240. В случае если мобильное приложение безопасности 140 установлено, то переходят к этапу 320. В случае если мобильное приложение безопасности 140 не установлено на мобильном устройстве 102, то переходят к этапу 330.At step 310 , the scanning tool 125 checks whether the mobile security application is installed at step 240 . If the mobile security application 140 is installed, then proceed to step 320. If the mobile security application 140 is not installed on the mobile device 102 , then proceed to step 330 .

На этапе 320 при помощи средства сканирования 125 проверяют, выполнена ли активация мобильного приложения безопасности 140 на этапе 250. В случае если мобильное приложение безопасности 140 не активировано, то переходят к этапу 330. В случае если мобильное приложение безопасности 140 активировано, переходят к этапу 260. At step 320 , the scanning tool 125 checks to see if the mobile security application 140 was activated at step 250 . If the mobile security application 140 is not activated, then proceed to step 330 . If the mobile security application 140 is activated, proceed to step 260.

На этапе 330, если мобильное приложение безопасности 140 не установлено или установлено, но не активировано, и нет возможности активации, на устройстве 102 осуществляют антивирусную проверку при помощи средства анализа 130, используя сигнатуры из базы данных 150. В случае если мобильное приложение безопасности 140 успешно активировано, см. описание этапа 270, представленного при описании Фиг.2 At step 330, if the mobile security application 140 is not installed, or is installed but not activated and cannot be activated, the device 102 is scanned for viruses by the analyzer 130 using signatures from the database 150 . If the mobile security application 140 is successfully activated, see the description of step 270 presented in the description of FIG. 2

На этапе 340 при помощи компонента, выполняющего антивирусную проверку на этапе 330 (мобильного приложения безопасности 140 или средства анализа 130), через модуль безопасности 120 передают результаты проверки в модуль защиты 115. При помощи модуля защиты 115 на основании полученных результатов антивирусной проверки от модуля безопасности 120 при необходимости осуществляют выбор мер реагирования.At step 340 , using the component that performs the anti-virus check at step 330 (mobile security application 140 or analysis tool 130 ), the scan results are transmitted through the security module 120 to the security module 115. Using the protection module 115 , based on the received anti-virus scan results from the security module 120 , if necessary, select response measures.

На Фиг. 4 представлена компьютерная система, на которой могут быть реализованы различные варианты систем и способов, раскрытых в настоящем документе. Компьютерная система 20 может представлять собой систему, сконфигурированную для реализации настоящего изобретения, и может быть в виде одного вычислительного устройства или в виде нескольких вычислительных устройств, например, мобильного вычислительного устройства, смартфона, планшетного компьютера и других форм вычислительных устройств.In FIG. 4 illustrates a computer system on which various embodiments of the systems and methods disclosed herein may be implemented. The computer system 20 may be a system configured to implement the present invention and may be in the form of a single computing device or multiple computing devices, such as a mobile computing device, a smartphone, a tablet computer, and other forms of computing devices.

Как показано на Фиг. 4, компьютерная система 20 включает в себя: центральный процессор 21, системную память 22 и системную шину 23, которая связывает разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, способную взаимодействовать с любой другой шинной архитектурой. Примерами шин являются: PCI, ISA, PCI-Express, HyperTransport™, InfiniBand™, Serial ATA, I2C и другие подходящие соединения между компонентами компьютерной системы 20. Центральный процессор 21 содержит один или несколько процессоров, имеющих одно или несколько ядер. Центральный процессор 21 исполняет один или несколько наборов машиночитаемых инструкций, реализующих способы, представленные в настоящем документе. Системная память 22 может быть любой памятью для хранения данных и/или компьютерных программ, исполняемых центральным процессором 21. Системная память может содержать как постоянное запоминающее устройство (ПЗУ) 24, так и память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами компьютерной системы 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.As shown in FIG. 4 , computer system 20 includes: a central processing unit 21 , system memory 22 , and a system bus 23 that communicates various system components, including memory, coupled to the central processing unit 21 . System bus 23 is implemented like any bus structure known in the art, which in turn includes a bus memory or bus memory controller, a peripheral bus, and a local bus capable of interfacing with any other bus architecture. Examples of buses include: PCI, ISA, PCI-Express, HyperTransport™, InfiniBand™, Serial ATA, I2C and other suitable connections between computer system components 20 . The central processing unit 21 contains one or more processors having one or more cores. The central processing unit 21 executes one or more sets of computer-readable instructions implementing the methods presented herein. System memory 22 may be any memory for storing data and/or computer programs executable by the central processing unit 21 . System memory can contain both read-only memory (ROM) 24 and random access memory (RAM) 25 . The basic input/output system (BIOS) 26 contains the basic procedures that ensure the transfer of information between elements of the computer system 20 , for example, when the operating system is loaded using ROM 24 .

Компьютерная система 20 включает в себя одно или несколько устройств хранения данных, таких как одно или несколько извлекаемых запоминающих устройств 27, одно или несколько неизвлекаемых запоминающих устройств 28, или комбинации извлекаемых и неизвлекаемых устройств. Одно или несколько извлекаемых запоминающих устройств 27 и/или неизвлекаемых запоминающих устройств 28 подключены к системной шине 23 через интерфейс 32. В одном из вариантов реализации извлекаемые запоминающие устройства 27 и соответствующие машиночитаемые носители информации представляют собой энергонезависимые модули для хранения компьютерных инструкций, структур данных, программных модулей и других данных компьютерной системы 20. Системная память 22, извлекаемые запоминающие устройства 27 и неизвлекаемые запоминающие устройства 28 могут использовать различные машиночитаемые носители информации. Примеры машиночитаемых носителей информации включают в себя машинную память, такую как кэш-память, SRAM, DRAM, ОЗУ не требующую конденсатора (Z-RAM), тиристорную память (T-RAM), eDRAM, EDO RAM, DDR RAM, EEPROM, NRAM, RRAM, SONOS, PRAM; флэш-память или другие технологии памяти, такие как твердотельные накопители (SSD) или флэш-накопители; и любые другие носители, которые могут быть использованы для хранения нужных данных и к которым может получить доступ компьютерная система 20.Computer system 20 includes one or more data storage devices, such as one or more removable storage devices 27 , one or more non-removable storage devices 28 , or combinations of removable and non-removable devices. One or more removable storage devices 27 and/or non-removable storage devices 28 are connected to the system bus 23 via an interface 32 . In one embodiment, removable storage devices 27 and associated computer-readable storage media are nonvolatile modules for storing computer instructions, data structures, program modules, and other computer system 20 data. System memory 22 , removable storage devices 27 , and non-removable storage devices 28 may use various computer readable media. Examples of computer-readable storage media include computer memory such as cache memory, SRAM, DRAM, capacitorless RAM (Z-RAM), thyristor memory (T-RAM), eDRAM, EDO RAM, DDR RAM, EEPROM, NRAM, RRAM, SONOS, PRAM; flash memory or other memory technologies such as solid-state drives (SSDs) or flash drives; and any other media that can be used to store the desired data and that can be accessed by the computer system 20 .

Системная память 22, извлекаемые запоминающие устройства 27 и неизвлекаемые запоминающие устройства 28, содержащиеся в компьютерной системе 20 используются для хранения операционной системы 35, приложений 37, других программных модулей 38 и программных данных 39. Компьютерная система 20 включает в себя периферийный интерфейс 46 для передачи данных от устройств ввода 40, таких как клавиатура, мышь, стилус, игровой контроллер, устройство голосового ввода, устройство сенсорного ввода, или других периферийных устройств, таких как принтер или сканер через один или несколько портов ввода/вывода, таких как последовательный порт, параллельный порт, универсальная последовательная шина (USB) или другой периферийный интерфейс. Устройство отображения 47, такое как один или несколько мониторов, проекторов или встроенных дисплеев, также подключено к системной шине 23 через выходной интерфейс 48, такой как видеоадаптер. Помимо устройств отображения 47, компьютерная система 20 оснащена другими периферийными устройствами вывода (на Фиг. 4 не показаны), такими как динамики и другие аудиовизуальные устройства.System memory 22 , removable storage devices 27 , and non-removable storage devices 28 contained in the computer system 20 are used to store the operating system 35 , applications 37 , other program modules 38 , and program data 39 . Computer system 20 includes a peripheral interface 46 for transmitting data from input devices 40 such as a keyboard, mouse, stylus, game controller, voice input device, touch input device, or other peripheral devices such as a printer or scanner through one or more input/output ports, such as a serial port, parallel port, universal serial bus (USB), or other peripheral interface. A display device 47 , such as one or more monitors, projectors, or embedded displays, is also connected to the system bus 23 through an output interface 48 , such as a video adapter. In addition to the display devices 47 , the computer system 20 is equipped with other peripheral output devices (not shown in FIG. 4 ), such as speakers and other audiovisual devices.

Компьютерная система 20 может работать в сетевом окружении, используя сетевое соединение с одним или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 является рабочим персональным компьютером или сервером, который содержит большинство или все упомянутые компоненты, отмеченные ранее при описании сущности компьютерной системы 20, представленной на Фиг. 4. В сетевом окружении также могут присутствовать и другие устройства, например, маршрутизаторы, сетевые станции или другие сетевые узлы. Компьютерная система 20 может включать один или несколько сетевых интерфейсов 51 или сетевых адаптеров для связи с удаленными компьютерами 49 через одну или несколько сетей, таких как локальная компьютерная сеть (LAN) 50, глобальная компьютерная сеть (WAN), интранет и Интернет. Примерами сетевого интерфейса 51 являются интерфейс Ethernet, интерфейс Frame Relay, интерфейс SONET и беспроводные интерфейсы.The computer system 20 may operate in a networked environment using a network connection to one or more remote computers 49 . The remote computer(s) 49 is a working personal computer or server that contains most or all of the components noted previously in describing the nature of the computer system 20 shown in FIG. 4 . There may also be other devices in the network environment, such as routers, network stations or other network nodes. The computer system 20 may include one or more network interfaces 51 or network adapters for communicating with remote computers 49 over one or more networks, such as a local area network (LAN) 50 , a wide area network (WAN), an intranet, and the Internet. Examples of network interface 51 are an Ethernet interface, a Frame Relay interface, a SONET interface, and wireless interfaces.

Варианты раскрытия настоящего изобретения могут представлять собой систему, способ, или машиночитаемый носитель (или носитель) информации.Embodiments of the present invention may be a system, a method, or a computer-readable medium (or storage medium).

Машиночитаемый носитель информации является осязаемым устройством, которое сохраняет и хранит программный код в форме машиночитаемых инструкций или структур данных, к которым имеет доступ центральный процессор 21 компьютерной системы 20. Машиночитаемый носитель может быть электронным, магнитным, оптическим, электромагнитным, полупроводниковым запоминающим устройством или любой подходящей их комбинацией. В качестве примера, такой машиночитаемый носитель информации может включать в себя память с произвольным доступом (RAM), память только для чтения (ROM), EEPROM, портативный компакт-диск с памятью только для чтения (CD-ROM), цифровой универсальный диск (DVD), флэш-память, жесткий диск, портативную компьютерную дискету, карту памяти, дискету или даже механически закодированное устройство, такое как перфокарты или рельефные структуры с записанными на них инструкциями.A computer-readable storage medium is a tangible device that stores and stores program code in the form of machine-readable instructions or data structures that are accessible by the central processing unit 21 of a computer system 20 . A computer-readable medium may be an electronic, magnetic, optical, electromagnetic, semiconductor storage device, or any suitable combination thereof. By way of example, such a computer-readable storage medium may include random access memory (RAM), read-only memory (ROM), EEPROM, portable compact disc read-only memory (CD-ROM), digital versatile disk (DVD) ), flash memory, hard drive, portable computer floppy disk, memory card, floppy disk, or even a mechanically encoded device such as punch cards or embossed structures with instructions written on them.

Система и способ, настоящего изобретения, могут быть рассмотрены в терминах средств. Термин «средство», используемый в настоящем документе, относится к реальному устройству, компоненту или группе компонентов, реализованных с помощью аппаратного обеспечения, например, с помощью интегральной схемы, специфичной для конкретного приложения (ASIC) или FPGA, или в виде комбинации аппаратного и программного обеспечения, например, с помощью микропроцессорной системы и набора машиночитаемых инструкций для реализации функциональности средства, которые (в процессе выполнения) превращают микропроцессорную систему в устройство специального назначения. Средство также может быть реализовано в виде комбинации этих двух компонентов, при этом некоторые функции могут быть реализованы только аппаратным обеспечением, а другие функции - комбинацией аппаратного и программного обеспечения. В некоторых вариантах реализации, по крайней мере, часть, а в некоторых случаях и все средство может быть выполнено на центральном процессоре 21 компьютерной системы 20. Соответственно, каждое средство может быть реализовано в различных подходящих конфигурациях и не должно ограничиваться каким-либо конкретным вариантом реализации, приведенным в настоящем документе.The system and method of the present invention can be thought of in terms of means. The term "device" as used herein refers to an actual device, component, or group of components implemented in hardware, such as an application-specific integrated circuit (ASIC) or FPGA, or a combination of hardware and software. providing, for example, using a microprocessor system and a set of machine-readable instructions to implement the functionality of a tool that (in the process of execution) turns the microprocessor system into a special-purpose device. The tool may also be implemented as a combination of these two components, with some functions being implemented by hardware alone and other functions being implemented by a combination of hardware and software. In some embodiments, at least a portion, and in some cases all, of the means may be executed on the central processing unit 21 of the computer system 20 . Accordingly, each means may be implemented in various suitable configurations and should not be limited to any particular embodiment set forth herein.

В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой. Специалисту в данной области становится понятным, что при разработке любого реального варианта осуществления настоящего изобретения необходимо принять множество решений, специфических для конкретного варианта осуществления, для достижения конкретных целей, и эти конкретные цели будут разными для разных вариантов осуществления. Понятно, что такие усилия по разработке могут быть сложными и трудоемкими, но, тем не менее, они будут обычной инженерной задачей для тех, кто обладает обычными навыками в данной области, пользуясь настоящим раскрытием изобретения.In conclusion, it should be noted that the information given in the description are examples that do not limit the scope of the present invention as defined by the formula. One skilled in the art will appreciate that in developing any actual embodiment of the present invention, many decisions specific to the particular implementation must be made to achieve specific objectives, and these specific objectives will differ from one embodiment to another. It is understood that such development efforts can be complex and time consuming, but will nevertheless be a routine engineering task for those of ordinary skill in the art using the present disclosure.

Claims (83)

1. Система для антивирусной проверки объектов, реализуемая по меньшей мере на одном мобильном устройстве, при этом указанная система содержит по меньшей мере одно стороннее приложение, которое включает: 1. A system for anti-virus scanning of objects, implemented on at least one mobile device, wherein said system contains at least one third-party application, which includes: модуль защиты, предназначенный для:protection module designed for: осуществления контроля активности стороннего приложения с целью выявления подозрительной активности и связанной с этой активностью объектов;monitoring the activity of a third-party application in order to identify suspicious activity and objects associated with this activity; передачи команды в модуль безопасности для выполнения антивирусной проверки выявленного объекта;sending a command to the security module to perform an anti-virus scan of the identified object; выбора мер реагирования, направленных на обеспечение безопасности стороннего приложения;selecting response measures aimed at ensuring the security of a third-party application; передачи команды в модуль безопасности для исполнения выбранных мер реагирования;transmitting a command to the security module to execute the selected response measures; модуль безопасности, выполненный с возможностью антивирусной проверки объекта в соответствии с полученной командой от модуля защиты с целью выявления вредоносного объекта, и предназначенный для:a security module configured to perform an anti-virus scan of an object in accordance with a command received from the protection module in order to identify a malicious object, and intended for: выполнения проверки наличия мобильного приложения безопасности на мобильном устройстве;checking for the presence of a mobile security application on a mobile device; установки мобильного приложения безопасности в случае, если приложение не установлено;installing a mobile security application if the application is not installed; активации мобильного приложения безопасности в случае, если приложение не активировано;activating a mobile security application if the application is not activated; передачи объекта для выполнения антивирусной проверки в мобильное приложение безопасности в случае, когда мобильное приложение безопасности установлено и активировано, и получения результатов антивирусной проверки;transmitting an object to perform an anti-virus scan to the mobile security application in the case where the mobile security application is installed and activated, and receiving the results of the anti-virus scan; проведения антивирусной проверки объекта в случае, когда мобильное приложение безопасности не установлено или не активировано;carrying out an anti-virus scan of an object in the event that the mobile security application is not installed or activated; передачи результатов антивирусной проверки объекта в модуль защиты;transferring the results of an anti-virus scan of an object to the protection module; применения мер реагирования, направленных на обеспечение безопасности стороннего приложения.applying response measures aimed at ensuring the security of a third-party application. 2. Система по п. 1, в которой команда для выполнения антивирусной проверки объекта связана с выявленной подозрительной активностью. 2. The system according to claim 1, in which the command for performing an anti-virus scan of an object is associated with detected suspicious activity. 3. Система по п. 2, в которой подозрительная активность выявляется с использованием поведенческих блокираторов или шаблонов опасного поведения приложения.3. The system according to claim 2, in which suspicious activity is detected using behavioral blockers or patterns of dangerous application behavior. 4. Система по п. 1, в которой команда для выполнения антивирусной проверки объекта содержит по меньшей мере следующую информацию: расположение объекта и наименование объекта.4. The system according to claim 1, in which the command for performing an anti-virus scan of an object contains at least the following information: the location of the object and the name of the object. 5. Система по п. 1, в которой объектом для выполнения антивирусной проверки, в частности, является:5. The system according to claim 1, in which the object for performing anti-virus scanning, in particular, is: файл; file; ссылка; link; текст сообщения; Message text; спам-письмо; spam email; сетевой пакет.network package. 6. Система по п. 1, в которой выбор мер реагирования, направленных на обеспечение безопасности стороннего приложения, происходит на основании результатов антивирусной проверки.6. The system according to claim 1, in which the choice of response measures aimed at ensuring the security of a third-party application is based on the results of an anti-virus scan. 7. Система по п. 1, в которой установка и активация мобильного приложения безопасности выполняется одним из способов: 7. The system according to claim 1, in which the installation and activation of the mobile security application is performed in one of the following ways: при помощи взаимодействия с пользователем мобильного устройства;through interaction with the user of a mobile device; в соответствии с групповой политикой мобильного устройства;in accordance with the group policy of the mobile device; в автоматическом режиме при установке стороннего приложения.automatically when installing a third-party application. 8. Система по п. 1, в которой выполнение антивирусной проверки полученного объекта выполняется при помощи по крайней мере одного из подходов:8. The system according to claim 1, in which an anti-virus scan of the received object is performed using at least one of the approaches: взаимодействия с облачным сервисом безопасности;interaction with a cloud security service; использования базы данных, расположенной в мобильном приложении безопасности.using the database located in the mobile security application. 9. Система по п. 1, в которой меры реагирования, направленные на обеспечение безопасности стороннего приложения, включают в себя по меньшей мере одно из действий:9. The system according to claim 1, in which the response measures aimed at ensuring the security of the third-party application include at least one of the actions: удаление вредоносного объекта;removal of a malicious object; изменение прав доступа к вредоносному объекту;changing access rights to a malicious object; помещение вредоносного объекта в категорию спам;placing a malicious object in the spam category; предупреждение пользователя о наличии вредоносного объекта на мобильном устройстве;warning the user about the presence of a malicious object on the mobile device; помещение вредоносного объекта в карантин;placing a malicious object in quarantine; блокировка входящего трафика по IP-адресу;blocking incoming traffic by IP address; отключение мобильного устройства от сети Интернет;disconnecting the mobile device from the Internet; информационная поддержка пользователя мобильного устройства при обнаруженном вредоносном объекте;information support for the user of a mobile device when a malicious object is detected; изменение настроек мобильного приложения безопасности на устройстве;changing the settings of the mobile security application on the device; блокирование перехода по фишинговой ссылке;blocking clicking on a phishing link; обновление операционной системы или откат мобильного устройства до заводских настроек;updating the operating system or rolling back the mobile device to factory settings; обновление приложения до актуальной версии.updating the application to the latest version. 10. Реализуемый на мобильном устройстве способ для антивирусной проверки объектов, в котором:10. A method implemented on a mobile device for anti-virus scanning of objects, in which: получают при помощи модуля безопасности, размещенного в стороннем приложении, от модуля защиты стороннего приложения команду для выполнения антивирусной проверки объекта, где модуль защиты выполнен с возможностью контроля активности стороннего приложения с целью выявления подозрительной активности и связанной с этой активностью объектов, а модуль безопасности выполнен с возможностью антивирусной проверки объекта в соответствии с полученной командой от модуля защиты с целью выявления вредоносного объекта;using a security module located in a third-party application, a command is received from the protection module of a third-party application to perform an anti-virus scan of an object , where the protection module is configured to monitor the activity of a third-party application in order to identify suspicious activity and objects associated with this activity, and the security module is configured with the ability to scan an object for anti-virus in accordance with the command received from the protection module in order to identify a malicious object; проверяют с помощью модуля безопасности наличие мобильного приложения безопасности на мобильном устройстве, причем:using the security module, check the presence of a mobile security application on the mobile device, and: при установленном или предустановленном мобильном приложении безопасности проверяют, активировано ли мобильное приложение безопасности, при этом, если приложение не активировано, то выполняют активацию приложения;when a mobile security application is installed or preinstalled, they check whether the mobile security application is activated, and if the application is not activated, then the application is activated; при отсутствии мобильного приложения безопасности выполняют установку и активацию мобильного приложения безопасности;in the absence of a mobile security application, install and activate the mobile security application; передают при помощи модуля безопасности объект для выполнения антивирусной проверки в мобильное приложение безопасности;using the security module, transmitting an object to perform an anti-virus scan to a mobile security application; выполняют антивирусную проверку объекта для определения, является ли объект вредоносным;perform an anti-virus scan of the object to determine whether the object is malicious; передают результаты антивирусной проверки посредством модуля безопасности в модуль защиты стороннего приложения;transmit the results of the anti-virus scan via a security module to the protection module of a third-party application; при помощи модуля защиты выбирают меры реагирования и передают команду для исполнения выбранных мер реагирования; using the protection module, response measures are selected and a command is transmitted to execute the selected response measures; при помощи модуля безопасности применяют меры реагирования согласно полученной команде. using the security module, they apply response measures according to the received command. 11. Способ по п. 10, в котором команду для выполнения антивирусной проверки объекта получают после выявления подозрительной активности и связанной с этой активностью по меньшей мере одного объекта. 11. The method according to claim 10, in which the command to perform an anti-virus scan of an object is received after identifying suspicious activity and at least one object associated with this activity. 12. Способ по п. 11, в котором подозрительную активность выявляют при помощи модуля защиты, используя поведенческие блокираторы или шаблоны опасного поведения приложения.12. The method according to claim 11, in which suspicious activity is detected using a protection module using behavioral blockers or patterns of dangerous application behavior. 13. Способ по п. 10, в котором команда для выполнения антивирусной проверки объекта содержит по меньшей мере следующую информацию: расположение объекта и наименование объекта.13. The method according to claim 10, in which the command for performing an anti-virus scan of an object contains at least the following information: the location of the object and the name of the object. 14. Способ по п. 10, в котором под объектом для выполнения антивирусной проверки, в частности, понимают:14. The method according to claim 10, in which the object for performing anti-virus scanning, in particular, is understood as: файл; file; ссылку; link; текст сообщения; Message text; спам-письмо; spam email; сетевой пакет.network package. 15. Способ по п. 10, в котором активацию и установку мобильного приложения безопасности выполняют одним из способов: 15. The method according to claim 10, in which activation and installation of the mobile security application is performed in one of the following ways: при помощи предоставления запроса пользователю мобильного устройства;by providing a request to the user of a mobile device; в соответствии с групповой политикой мобильного устройства;in accordance with the group policy of the mobile device; в автоматическом режиме при установке стороннего приложения.automatically when installing a third-party application. 16. Способ по п. 10, в котором антивирусную проверку объекта осуществляют при помощи по крайней мере одного из:16. The method according to claim 10, in which the anti-virus scan of the object is carried out using at least one of: взаимодействия с облачным сервисом безопасности;interaction with a cloud security service; использования базы данных, расположенной в мобильном приложении безопасности.using the database located in the mobile security application. 17. Способ по п. 10, в котором меры реагирования направлены на обеспечение безопасности стороннего приложения мобильного устройства и включают в себя по меньшей мере одно из действий:17. The method according to claim 10, in which the response measures are aimed at ensuring the security of a third-party application of a mobile device and include at least one of the actions: удаление вредоносного объекта;removal of a malicious object; изменение прав доступа к вредоносному объекту;changing access rights to a malicious object; помещение вредоносного объекта в категорию спам;placing a malicious object in the spam category; предупреждение пользователя о наличии вредоносного объекта на мобильном устройстве;warning the user about the presence of a malicious object on the mobile device; помещение вредоносного объекта в карантин;placing a malicious object in quarantine; блокировка входящего трафика по IP-адресу;blocking incoming traffic by IP address; отключение мобильного устройства от сети Интернет;disconnecting the mobile device from the Internet; информационная поддержка пользователя мобильного устройства при обнаруженном вредоносном объекте;information support for the user of a mobile device when a malicious object is detected; изменение настроек мобильного приложения безопасности на устройстве;changing the settings of the mobile security application on the device; блокирование перехода по фишинговой ссылке;blocking clicking on a phishing link; обновление операционной системы или откат мобильного устройства до заводских настроек;updating the operating system or rolling back the mobile device to factory settings; обновление приложения до актуальной версии.updating the application to the latest version.
RU2023115437A 2023-06-13 System and method for antivirus scanning of objects on a mobile device RU2818877C1 (en)

Publications (1)

Publication Number Publication Date
RU2818877C1 true RU2818877C1 (en) 2024-05-06

Family

ID=

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070016953A1 (en) * 2005-06-30 2007-01-18 Prevx Limited Methods and apparatus for dealing with malware
US20110126287A1 (en) * 2009-11-20 2011-05-26 Samsung Sds Co., Ltd. Anti-virus protection system and method thereof
RU2617923C2 (en) * 2015-09-30 2017-04-28 Акционерное общество "Лаборатория Касперского" System and method for anti-virus scanning setting
US20200034534A1 (en) * 2018-07-24 2020-01-30 EMC IP Holding Company LLC Predictive scheduled anti-virus scanning
RU2716735C1 (en) * 2019-03-29 2020-03-16 Акционерное общество "Лаборатория Касперского" System and method of deferred authorization of a user on a computing device

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070016953A1 (en) * 2005-06-30 2007-01-18 Prevx Limited Methods and apparatus for dealing with malware
US20110126287A1 (en) * 2009-11-20 2011-05-26 Samsung Sds Co., Ltd. Anti-virus protection system and method thereof
RU2617923C2 (en) * 2015-09-30 2017-04-28 Акционерное общество "Лаборатория Касперского" System and method for anti-virus scanning setting
US20200034534A1 (en) * 2018-07-24 2020-01-30 EMC IP Holding Company LLC Predictive scheduled anti-virus scanning
RU2716735C1 (en) * 2019-03-29 2020-03-16 Акционерное общество "Лаборатория Касперского" System and method of deferred authorization of a user on a computing device

Similar Documents

Publication Publication Date Title
US11947688B2 (en) Secure computing system
US20200082081A1 (en) Systems and methods for threat and information protection through file classification
US10162975B2 (en) Secure computing system
US7934261B1 (en) On-demand cleanup system
EP3029593B1 (en) System and method of limiting the operation of trusted applications in the presence of suspicious programs
US7665139B1 (en) Method and apparatus to detect and prevent malicious changes to tokens
US9147073B2 (en) System and method for automatic generation of heuristic algorithms for malicious object identification
KR101700552B1 (en) Context based switching to a secure operating system environment
CN102184372B (en) Reverse-sandbox-based mobilephone payment protection method
US11824878B2 (en) Malware detection at endpoint devices
US9385869B1 (en) Systems and methods for trusting digitally signed files in the absence of verifiable signature conditions
US10735468B1 (en) Systems and methods for evaluating security services
RU2634174C1 (en) System and method of bank transaction execution
US10250588B1 (en) Systems and methods for determining reputations of digital certificate signers
CN110612731A (en) System and method for enforcing data loss prevention policies
CN102222292B (en) Mobile phone payment protection method
US9219728B1 (en) Systems and methods for protecting services
US9571497B1 (en) Systems and methods for blocking push authentication spam
US9398042B1 (en) Systems and methods for capturing input from users to prevent data loss
RU2818877C1 (en) System and method for antivirus scanning of objects on a mobile device
US11671422B1 (en) Systems and methods for securing authentication procedures
US10546117B1 (en) Systems and methods for managing security programs
US8973137B1 (en) Systems and methods for detecting illegitimate out-of-band authentication attempts
RU2774042C1 (en) System and method for identifying potentially malicious changes in an application
US11934515B2 (en) Malware deterrence using computer environment indicators