با گسترش روزافزون سیستم‌عامل اندروید و تبدیل آن به محبوب‌ترین پلتفرم موبایل در جهان، حجم بدافزارها نیز به شکلی تصاعدی افزایش یافته است. این مسئله به یکی از بزرگترین چالش‌های امنیتی در دنیای موبایل تبدیل شده است. توسعه‌دهندگان بدافزارها دائماً در حال ابداع روش‌های جدید برای پنهان‌سازی کدهای مخرب و دور زدن سیستم‌های امنیتی هستند. یکی از پیشرفته‌ترین این تکنیک‌ها، استفاده از کدهای نیتیو (Native Code) در کنار کدهای استاندارد جاوا (Byte-code) است.

اکثر ابزارهای تحلیل امنیتی موجود، تمرکز خود را بر تحلیل کد بایت جاوا، فایل مانیفست و فراخوانی‌های API در لایه جاوا می‌گذارند. این رویکرد یک نقطه کور بزرگ ایجاد می‌کند: کدهای مخربی که در کتابخانه‌های نیتیو (معمولاً با زبان‌های C/C++) نوشته شده‌اند، از دید این ابزارها پنهان می‌مانند. مقاله “Android-COCO” پاسخی نوآورانه و جامع به این چالش ارائه می‌دهد. این پژوهش یک سیستم تشخیص بدافزار چندلایه را معرفی می‌کند که قادر است به طور همزمان هر دو لایه کد بایت و کد نیتیو را تحلیل کرده و با تجمیع نتایج، به دقتی بی‌نظیر در شناسایی تهدیدات دست یابد. اهمیت این مقاله در پر کردن یک خلاء حیاتی در ابزارهای تحلیل استاتیک و ارائه یک راهکار مقاوم در برابر بدافزارهای پیچیده امروزی است.

این مقاله توسط پنگ ژو (Peng Xu) ارائه شده است و در حوزه تخصصی رمزنگاری و امنیت (Cryptography and Security) قرار می‌گیرد. این زمینه تحقیقاتی به مطالعه روش‌های حفاظت از اطلاعات و سیستم‌ها در برابر حملات و دسترسی‌های غیرمجاز می‌پردازد. با توجه به نقش محوری دستگاه‌های موبایل در زندگی روزمره، تحقیقات در زمینه امنیت اندروید از اهمیت ویژه‌ای برخوردار است و این مقاله نمونه‌ای برجسته از تلاش برای پیشبرد مرزهای دانش در این حوزه محسوب می‌شود.

مقاله Android-COCO به مشکل انفجار بدافزارهای اندرویدی می‌پردازد و اشاره می‌کند که اکثر روش‌های موجود برای شناسایی آن‌ها، تنها به تحلیل کد بایت جاوا اکتفا می‌کنند. این در حالی است که آمارها نشان می‌دهد استفاده از کدهای نیتیو در هر دو دسته برنامه‌های سالم و مخرب به امری رایج تبدیل شده است. ابزارهای تحلیل استاتیک پیشرفته امروزی، توانایی بررسی تعاملات بین زبان (Inter-language Behaviors) یعنی ارتباط میان کد جاوا و کد نیتیو را ندارند و این یک ضعف امنیتی جدی است.

برای حل این مشکل، Android-COCO یک مکانیزم ترکیبی (Ensemble) ارائه می‌دهد که تحلیل کد بایت و کد نیتیو را با هم ادغام می‌کند. این رویکرد چندلایه از تکنیک‌های پیشرفته‌ای مانند یادگیری عمیق، پردازش زبان طبیعی (NLP) و جاسازی گراف (Graph Embedding) برای مقابله با تهدیدها در هر دو سطح بهره می‌برد. لایه اول سیستم به صورت موازی به تحلیل کد بایت و کد نیتیو می‌پردازد و لایه دوم با استفاده از یک الگوریتم تجمیعی، نتایج این دو تحلیل را ترکیب کرده و تصمیم نهایی را اتخاذ می‌کند. نتایج آزمایش‌های گسترده روی بیش از ۱۰۰ هزار نمونه نشان می‌دهد که این روش ترکیبی به دقتی بالاتر از هر یک از تحلیل‌ها به تنهایی دست یافته و عملکرد بهتری نسبت به سایر روش‌های موجود دارد.

معماری Android-COCO بر پایه یک رویکرد دو لایه و هوشمند بنا شده است که هر لایه وظیفه مشخصی را بر عهده دارد. هدف اصلی، ایجاد یک تحلیل جامع و ۳۶۰ درجه از رفتار برنامه با پوشش تمامی لایه‌های اجرایی آن است.

لایه اول: تحلیل موازی کد بایت و کد نیتیو

در این لایه، برنامه اندروید به دو بخش اصلی تقسیم شده و هر بخش توسط یک زیرسیستم متخصص تحلیل می‌شود:

• زیرسیستم تحلیل کد بایت (Byte-code Sub-system): این بخش بر روی کدهای نوشته‌شده به زبان جاوا یا کاتلین که به بایت‌کد کامپایل شده‌اند، تمرکز دارد. برای درک رفتار برنامه، ابتدا ساختارهای کلیدی مانند گراف جریان کنترل (Control Flow Graph – CFG) و گراف فراخوانی API (API Call Graph) استخراج می‌شوند. این گراف‌ها نمایشی ساختاریافته از منطق برنامه و نحوه تعامل آن با سیستم‌عامل ارائه می‌دهند. سپس، با استفاده از شبکه‌های عصبی گراف (GNN)، الگوهای پیچیده و روابط پنهان در این گراف‌ها کشف می‌شود. GNNها قادرند ویژگی‌های سطح بالا را از ساختار گراف بیاموزند و الگوهای رفتاری مشکوک را شناسایی کنند. علاوه بر این، از تکنیک‌های پردازش زبان طبیعی (NLP) برای تحلیل توالی فراخوانی‌های API استفاده می‌شود تا مقاصد مخرب احتمالی تشخیص داده شوند.
• زیرسیستم تحلیل کد نیتیو (Native-code Sub-system): این بخش نوآورانه‌ترین قسمت تحقیق است. کدهای نیتیو که در فایل‌های کتابخانه‌ای با پسوند .so قرار دارند، معمولاً از دید ابزارهای امنیتی دور می‌مانند. این زیرسیستم با استخراج گراف جریان کنترل از کد ماشین (Machine Code) این کتابخانه‌ها، ساختار منطقی آن‌ها را مدل‌سازی می‌کند. سپس، با استفاده از تکنیک‌های جاسازی گراف (Graph Embedding)، این گراف‌های پیچیده به بردارهای عددی تبدیل می‌شوند که می‌توان آن‌ها را به یک مدل یادگیری عمیق داد. این مدل یاد می‌گیرد تا الگوهای مرتبط با فعالیت‌های مخرب (مانند بهره‌برداری از آسیب‌پذیری‌ها یا ارتباطات پنهانی) را در سطح نیتیو شناسایی کند.

لایه دوم: الگوریتم تجمیعی (Ensemble Algorithm)

خروجی هر یک از دو زیرسیستم لایه اول، یک امتیاز احتمال (مثلاً احتمال بدافزار بودن برنامه بر اساس تحلیل کد بایت و کد نیتیو) است. لایه دوم وظیفه دارد این دو دیدگاه مجزا را با هم ترکیب کند تا به یک تصمیم نهایی و قابل اطمینان‌تر برسد. الگوریتم تجمیعی با در نظر گرفتن خروجی‌های هر دو مدل، یک قضاوت نهایی صادر می‌کند. این روش مزایای متعددی دارد:

• کاهش خطای تشخیص: اگر یک زیرسیستم در تشخیص یک نمونه خاص دچار خطا شود، زیرسیستم دیگر می‌تواند آن را جبران کند.
• افزایش استحکام: بدافزارهایی که سعی می‌کنند با پنهان کردن تمام منطق خود در یک لایه (مثلاً فقط در کد نیتیو) از تشخیص فرار کنند، توسط این رویکرد جامع شناسایی می‌شوند.
• دقت بالاتر: ترکیب مدل‌های مختلف معمولاً به عملکردی بهتر از هر یک از مدل‌ها به تنهایی منجر می‌شود.

برای ارزیابی کارایی سیستم Android-COCO، نویسندگان یک آزمایش در مقیاس بزرگ را بر روی مجموعه داده‌ای عظیم شامل ۱۰۰,۱۱۳ نمونه برنامه اندروید انجام دادند. این مجموعه داده شامل ۳۵,۱۱۳ بدافزار و ۶۵,۰۰۰ برنامه سالم (Benign) بود که اعتبار آماری نتایج را تضمین می‌کند. یافته‌های اصلی این ارزیابی به شرح زیر است:

• عملکرد زیرسیستم کد بایت: این زیرسیستم به تنهایی توانست به دقت فوق‌العاده ۹۹.۸٪ در تفکیک بدافزارها از برنامه‌های سالم دست یابد. این نشان می‌دهد که تحلیل مبتنی بر گراف کد بایت بسیار مؤثر است.
• عملکرد زیرسیستم کد نیتیو: زیرسیستم تحلیل کد نیتیو که بر روی یک حوزه چالش‌برانگیزتر کار می‌کند، به دقت قابل توجه ۹۶.۶٪ رسید. این نتیجه به خودی خود یک دستاورد بزرگ است، زیرا ثابت می‌کند تحلیل کدهای نیتیو به صورت مستقل نیز امکان‌پذیر و کارآمد است.
• عملکرد نهایی Android-COCO: با ترکیب نتایج دو زیرسیستم از طریق الگوریتم تجمیعی، دقت نهایی سیستم به ۹۹.۸۶٪ افزایش یافت. اگرچه افزایش ۰.۰۶ درصدی نسبت به مدل کد بایت ممکن است ناچیز به نظر برسد، اما ارزش واقعی آن در پوشش دادن بدافزارهایی است که مدل اول به تنهایی قادر به شناسایی آن‌ها نیست. این سیستم جامع، توانایی مقابله با طیف وسیع‌تری از تهدیدات را دارد و از سایر روش‌های مشابه عملکرد بهتری از خود نشان داده است.

مقاله Android-COCO نه تنها یک پیشرفت نظری، بلکه یک راهکار عملی با کاربردهای گسترده در دنیای واقعی ارائه می‌دهد.

کاربردهای عملی:

• امنیت فروشگاه‌های برنامه: پلتفرم‌هایی مانند Google Play می‌توانند از این تکنولوژی برای اسکن خودکار و عمیق برنامه‌ها قبل از انتشار استفاده کنند. این کار از ورود بدافزارهای پیچیده‌ای که از کدهای نیتیو برای پنهان‌کاری استفاده می‌کنند، جلوگیری می‌کند.
• نرم‌افزارهای آنتی‌ویروس موبایل: شرکت‌های امنیتی می‌توانند این رویکرد را در محصولات خود ادغام کنند تا قدرت تشخیص بدافزار را بر روی دستگاه کاربر نهایی افزایش دهند.
• تحلیل امنیتی برای توسعه‌دهندگان: ابزارهای مبتنی بر این روش می‌توانند به توسعه‌دهندگان کمک کنند تا کتابخانه‌های شخص ثالثی که در برنامه‌های خود استفاده می‌کنند را از نظر امنیتی ارزیابی کنند.

دستاوردهای علمی:

• ارائه یک مدل تحلیل جامع: این تحقیق برای اولین بار یک مدل موفق برای تحلیل همزمان و ترکیبی کد بایت و کد نیتیو ارائه می‌دهد.
• پر کردن خلاء تحقیقاتی: Android-COCO به طور مستقیم ضعف بزرگ ابزارهای تحلیل استاتیک فعلی در نادیده گرفتن کدهای نیتیو را برطرف می‌کند.
• ترکیب هوشمندانه تکنیک‌ها: این مقاله نشان می‌دهد که چگونه می‌توان با ترکیب نوآورانه شبکه‌های عصبی گراف، پردازش زبان طبیعی و یادگیری گروهی به یک راه‌حل قدرتمند و دقیق برای یک مسئله پیچیده امنیتی دست یافت.

مقاله Android-COCO یک گام مهم رو به جلو در نبرد بی‌پایان علیه بدافزارهای اندرویدی است. با درک این واقعیت که مهاجمان به طور فزاینده‌ای از کدهای نیتیو برای پنهان کردن فعالیت‌های مخرب خود استفاده می‌کنند، این پژوهش یک راهکار جامع و چندلایه ارائه می‌دهد که قادر است برنامه‌ها را در هر دو سطح کد بایت و نیتیو تحلیل کند.

این سیستم با بهره‌گیری از قدرت شبکه‌های عصبی گراف برای درک ساختارهای پیچیده کد و یک الگوریتم تجمیعی برای ترکیب هوشمندانه نتایج، به دقتی نزدیک به ۱۰۰٪ دست یافته است. مهم‌تر از دقت بالا، استحکام این روش در برابر تکنیک‌های فرار بدافزارهاست. Android-COCO نشان می‌دهد که آینده تشخیص بدافزار در گرو تحلیل‌های جامع و چندزبانه است و استانداردهای جدیدی را برای ابزارهای امنیتی نسل بعد تعیین می‌کند. این تحقیق مسیر را برای توسعه سیستم‌های دفاعی هوشمندتر و مقاوم‌تر در اکوسیستم موبایل هموار می‌سازد.