你的Android裝置有惡意軟體嗎？

文｜Google 軟體工程師 Megan Ruthven

在 Android 安全部，我們一向致力於更好地瞭解如何讓 Android 裝置更流暢、更安全地執行。所有包含 Google Play 的裝置都具備的一項安全機制是驗證應用。驗證應用會檢查您的裝置上是否存在潛在有害的應用 (PHA)。如果找到 PHA，驗證應用會向使用者發出警告並允許他們解除安裝該應用。

然而，有時，裝置會阻止驗證應用檢查應用。這可能是出於與安全無關的原因，例如，購買新手機，也可能意味著有更嚴重的問題需要關注。當裝置阻止驗證應用進行檢查時，該裝置會被視為死裝置或不安全裝置 (DOI)。如果下載某個應用的 DOI 裝置達到一定的百分比，則該應用被視為 DOI 應用。我們使用 DOI 指標和其他安全機制來幫助判斷某個應用是否為 PHA，從而保護 Android 使用者的安全。此外，當我們發現漏洞時，我們會利用安全更新系統為 Android 裝置提供補丁程式。

此文介紹了 Android 安全團隊為了找出導致裝置停止執行的安全相關原因以及預防將來再次發生此類問題而做出的研究工作。

舉報 DOI 應用

為了更深入地理解這個問題，Android 安全團隊將應用安裝嘗試行為與 DOI 裝置聯絡在一起進行對照研究，以找出對裝置有害的應用，從而保護我們的使用者。

考慮到這些因素之後，我們將重點放在“留存率”上。如果某臺裝置在下載某個應用之後繼續由驗證應用定期執行安全檢查，則該裝置被視為留存裝置。否則，則被視為潛在死裝置或不安全裝置 (DOI)。應用的留存率是指所有下載該應用並且在一天之內繼續留存的裝置所佔的百分比。鑑於留存率是裝置健康狀況的有效指標，我們的目標是儘量最大化整個生態系統的留存率。

因此，我們採用了一個應用 DOI 評分工具，其假定所有應用都應具有相似的裝置留存率。如果某個應用的留存率有幾項標準差低於平均值，DOI 評分工具將會舉報該應用。依據平均值計算標準差數值的常用方法之一是 Z 分數。Z 分數的計算公式如下。

• N = 下載該應用的裝置數量。

• x = 下載該應用的留存裝置數量。

• p = 下載任何應用的裝置的留存機率。

在本上下文中，我們將應用留存率的 Z 分數稱之為 DOI 分數。DOI 分數表示，如果 Z 分數遠小於 -3.7，則從統計上講，應用的留存率會相當低。這意味著，如果零假設為真，則 Z 分數量值較高的概率遠小於 0.01%。這種情況下，零假設意味著，無論該應用執行何種行為，均有可能出現留存率較低的情形。

這樣可以將極端的應用（留存率很低，但下載量很大）過濾到 DOI 列表的頂部。在列表頂部，我們可以結合 DOI 分數和其他資訊來決定是否要將該應用歸類為 PHA。隨後，我們使用驗證應用來移除該應用的現有安裝並防止以後再次安裝該應用。

▲ 同一裝置上正常應用和 DOI 應用下載之間的區別

實際結果

DOI 分數會將許多應用歸類為各種惡意軟體，其中包括三大著名的惡意軟體系列：Hummingbad、Ghost Push 和 Gooligan。儘管每個應用的行為方式不盡相同，DOI 評分工具將 25000 多種應用歸類為這三大系列惡意軟體，因為它們會大大降低 Android 的體驗，以至於有相當多的使用者會選擇恢復出廠設定乃至拋棄自己的裝置。這種方法給我們帶來了發現 PHA 並阻止其流行的另一種視角。如果沒有 DOI 評分工具，許多此類應用就可能會逃脫人工審查的法網。

我們為 Android 上的使用者和開發者提供多重保護，DOI 評分工具以及 Android 在反惡意軟體方面的所有努力正是其中之一。如需概要地瞭解 Android 在安全性和透明度方面所做的努力，請檢視我們的網頁:

www.android.com/security/overview

推薦閱讀：

Google I/O大會開始預報名，獲得內部推薦機會！

幫助中國開發者更便捷地瀏覽Google開發者資源網站

ExifInterface 支援庫簡介