Google 解釋他們如何識別惡意 Android app

Android 的 Verify Apps 功能可以偵測到新下載到的應用程式是否安全，但道高一尺、魔高一丈，有的惡意程式已經懂得繞過這道屏障，所以 Google 需要另覓方式來對應。在 Android Developers 部落格裡，Google 就釋出了他們最新一道的防線，能在 Verify 失效的情況下也能偵測到哪個 app 是有害的。

據介紹，Android 安全團隊把「安裝嘗試數」和裝置的 DOI（死亡或不安全 / Dead or Insecure）指數掛勾。停用了 Verify 的裝置為 DOI；繼續有使用的則為「保留」。以下就是用於找出應用程式的保留比率，或稱「在一天下來，所有由保留裝置會下載這應用程式的百分比」的方程式。

N = 有下載這應用程式的裝置總數。
x = 下載這應用程式的保留裝置數。
p = 裝置在下載任何應用程式後，將繼續「保留」的或然率。
Z = DOI 分數。

如果寫 Z 或 DOI 分數少於 -3.7 的話，就代表了大部分裝置在安裝這應用程式時會關閉 Verify 功能。這時候 Google 就有合理懷疑這 app 是有害的，並採取對應的行動。他們指這方式可以有效找到大量藏有 Hummingbad、Ghost Push 和 Gooligan 等的惡意軟體。

來源: Google

經由: Engadget