Investigadors de la URV dissenyen, en col·laboració amb científics de la Universitat de Pireu, un sistema que detecta el malware evasiu, capaç de modificar el seu comportament per evitar ser detectat

Un estudi coliderat per la Universitat Rovira i Virgili ha desenvolupat una eina capaç d’identificar programari maliciós sofisticat—també anomenat malware o “virus informàtics”— que evita les tècniques de detecció habituals. El model analitza totes les possibles maneres en què el malware podria executar-se, fins i tot quan modifica el seu comportament habitual per evitar ser detectat. Els resultats demostren que aquest nou sistema és més eficient que les eines comercials actuals, amb una precisió de prop del 99% en la detecció de fitxers maliciosos.

A mesura que la tecnologia evoluciona, els atacs informàtics són cada cop més sofisticats. Moltes amenaces digitals amb l’objectiu de robar dades personals, sabotejar infraestructures crítiques —com la sanitat o el sector energètic— o cometre fraus financers aconsegueixen penetrar les defenses tradicionals. Darrere dels atacs hi ha ciberdelinqüents que busquen beneficis econòmics o grups organitzats de hackers que exploten vulnerabilitats per desestabilitzar empreses, institucions o governs.

Un dels mètodes més utilitzats per detectar malware consisteix en executar-lo en un entorn virtual o sandbox. Aquests simuladors imiten un sistema operatiu real per observar el comportament del virus. Així, si detecten que un arxiu sospitós es comporta d’una forma nociva, poden posar-lo en quarantena o eliminar-lo. No obstant això, molts programes maliciosos han evolucionat per reconèixer aquests entorns i amagar la seva activitat per evitar ser detectats.

Execució simbòlica

Per fer front a aquest repte, els investigadors han implementat un model que incorpora execució simbòlica. A diferència dels sistemes tradicionals, que només poden veure com actua el virus en un escenari concret, aquesta tècnica permet analitzar totes les possibles situacions en què el codi maliciós podria executar-se, anticipant-se fins i tot a comportaments ocults. Fran Casino, investigador del Departament d’Enginyeria informàtica i Matemàtiques, explica que, per provar el nou sistema, van utilitzar una base de dades de referència amb més de 14.000 mostres de malware i més de 1.500 fitxers inofensius —com ara aplicacions legítimes del sistema operatiu que no representen cap risc per als usuaris.

A més, amb l’objectiu d’optimitzar el procés, es va utilitzar un mètode de classificació que agrupa els fitxers similars. “Això ens permet analitzar només els arxius que no tenen una estructura coneguda, reduint  la càrrega de treball sense comprometre la precisió del sistema”, recorda Casino.

Una capacitat detectiva superior

El model va demostrar una capacitat superior per detectar malware en diversos sistemes operatius, en comparació amb eines comercials de tipologia sandbox. Més concretament, va aconseguir identificar correctament prop del 99% de les mostres de malware, superant el rendiment de les alternatives comercials, que només van detectar amb precisió el 78% de les mateixes mostres.

El sistema d’execució simbòlica també va superar els entorns sandbox en la detecció de falsos positius. Va aconseguir classificar correctament el 93% dels fitxers inofensius, mentre que els models sandbox de referència van fer-ho només en un 89% dels casos. Es tracta d’una millora notable ja que es redueix la possibilitat que programes legítims siguin bloquejats per error.

Un altre dels avantatges destacats del mètode d’execució simbòlica és la seva eficiència. Mentre els sistemes tradicionals necessiten entre trenta segons i quatre minuts per analitzar cada fitxer, el nou sistema només tarda, de mitjana, poc més de 30 segons en fer-ho. Això representa un estalvi de temps i recursos significatiu, que marca la diferència en entorns que han d’analitzar grans quantitats de fitxers cada dia. Més enllà d’això, el nou sistema proporciona informació detallada sobre el funcionament intern del codi maliciós, útil a l’hora de millorar les mesures de protecció.

Tot i el potencial d’aquest nou model, Casino assenyala que queden reptes per afrontar. “Un dels principals desafiaments és l’adaptació de l’execució simbòlica a software complex i programari que utilitzi llibreries dinàmiques avançades”, assenyala. A més, tot i que l’execució simbòlica és una gran opció per a dur a terme un anàlisi de mostres exhaustiu, els models existents encara necessiten desenvolupar-se completament per tal que siguin solucions viables en un sistema operatiu convencional.

Referència: Vasilis Vouvoutsis, Fran Casino, Constantinos Patsakis. Beyond the sandbox: Leveraging symbolic execution for evasive malware classification, Computers & Security, Volume 149, 2025, 104193.

ISSN 0167-4048, https://doi.org/10.1016/j.cose.2024.104193