Google 解釋他們如何識別惡意 Android app

即使 Android 的 Verify Apps 功能被繞過也能分析到。

Eric Chan
Eric Chan
2017年01月19日, 晚上 08:00
0分享次數
FacebookTwitter
Android 的 Verify Apps 功能可以偵測到新下載到的應用程式是否安全,但道高一尺、魔高一丈,有的惡意程式已經懂得繞過這道屏障,所以 Google 需要另覓方式來對應。在 Android Developers 部落格裡,Google 就釋出了他們最新一道的防線,能在 Verify 失效的情況下也能偵測到哪個 app 是有害的。

據介紹,Android 安全團隊把「安裝嘗試數」和裝置的 DOI(死亡或不安全 / Dead or Insecure)指數掛勾。停用了 Verify 的裝置為 DOI;繼續有使用的則為「保留」。以下就是用於找出應用程式的保留比率,或稱「在一天下來,所有由保留裝置會下載這應用程式的百分比」的方程式。

N = 有下載這應用程式的裝置總數。
x = 下載這應用程式的保留裝置數。
p = 裝置在下載任何應用程式後,將繼續「保留」的或然率。
Z = DOI 分數。



如果寫 Z 或 DOI 分數少於 -3.7 的話,就代表了大部分裝置在安裝這應用程式時會關閉 Verify 功能。這時候 Google 就有合理懷疑這 app 是有害的,並採取對應的行動。他們指這方式可以有效找到大量藏有 HummingbadGhost Push 和 Gooligan 等的惡意軟體。
標籤: android, app, gear, google, malware, security
0分享次數
FacebookTwitter