谷歌解释他们如何识别恶意 Android app

即使 Android 的 Verify Apps 功能被绕过也能分析到。

Eric Chan
Eric Chan
2017年01月19日, 晚上 08:00
Android 的 Verify Apps 功能可以侦测到新下载到的应用程序是否安全,但道高一尺、魔高一丈,有的恶意程序已经懂得绕过这道屏障,所以谷歌需要另觅方式来对应。在 Android Developers 博客里,谷歌就释出了他们最新一道的防线,能在 Verify 失效的情况下也能侦测到哪个 app 是有害的。

据介绍,Android 安全团队把「安装尝试数」和设备的 DOI(死亡或不安全 / Dead or Insecure)指数挂勾。停用了 Verify 的设备为 DOI;继续有使用的则为「保留」。以下就是用于找出应用程序的保留比率,或称「在一天下来,所有由保留设备会下载这应用程序的百分比」的方程序。

N = 有下载这应用程序的设备总数。
x = 下载这应用程序的保留设备数。
p = 设备在下载任何应用程序后,将继续「保留」的或然率。
Z = DOI 分数。



如果写 Z 或 DOI 分数少于 -3.7 的话,就代表了大部分设备在安装这应用程序时会关闭 Verify 功能。这时候 Google 就有合理怀疑这 app 是有害的,并采取对应的移动。他们指这方式可以有效找到大量藏有 HummingbadGhost Push 和 Gooligan 等的恶意软件。
标签: android, app, gear, google, malware, security