你的Android裝置有惡意軟體嗎?
文|Google 軟體工程師 Megan Ruthven
在 Android 安全部,我們一向致力於更好地瞭解如何讓 Android 裝置更流暢、更安全地執行。所有包含 Google Play 的裝置都具備的一項安全機制是驗證應用。驗證應用會檢查您的裝置上是否存在潛在有害的應用 (PHA)。如果找到 PHA,驗證應用會向使用者發出警告並允許他們解除安裝該應用。
然而,有時,裝置會阻止驗證應用檢查應用。這可能是出於與安全無關的原因,例如,購買新手機,也可能意味著有更嚴重的問題需要關注。當裝置阻止驗證應用進行檢查時,該裝置會被視為死裝置或不安全裝置 (DOI)。如果下載某個應用的 DOI 裝置達到一定的百分比,則該應用被視為 DOI 應用。我們使用 DOI 指標和其他安全機制來幫助判斷某個應用是否為 PHA,從而保護 Android 使用者的安全。此外,當我們發現漏洞時,我們會利用安全更新系統為 Android 裝置提供補丁程式。
此文介紹了 Android 安全團隊為了找出導致裝置停止執行的安全相關原因以及預防將來再次發生此類問題而做出的研究工作。
舉報 DOI 應用
為了更深入地理解這個問題,Android 安全團隊將應用安裝嘗試行為與 DOI 裝置聯絡在一起進行對照研究,以找出對裝置有害的應用,從而保護我們的使用者。
考慮到這些因素之後,我們將重點放在“留存率”上。如果某臺裝置在下載某個應用之後繼續由驗證應用定期執行安全檢查,則該裝置被視為留存裝置。否則,則被視為潛在死裝置或不安全裝置 (DOI)。應用的留存率是指所有下載該應用並且在一天之內繼續留存的裝置所佔的百分比。鑑於留存率是裝置健康狀況的有效指標,我們的目標是儘量最大化整個生態系統的留存率。
因此,我們採用了一個應用 DOI 評分工具,其假定所有應用都應具有相似的裝置留存率。如果某個應用的留存率有幾項標準差低於平均值,DOI 評分工具將會舉報該應用。依據平均值計算標準差數值的常用方法之一是 Z 分數。Z 分數的計算公式如下。
N = 下載該應用的裝置數量。
x = 下載該應用的留存裝置數量。
p = 下載任何應用的裝置的留存機率。
在本上下文中,我們將應用留存率的 Z 分數稱之為 DOI 分數。DOI 分數表示,如果 Z 分數遠小於 -3.7,則從統計上講,應用的留存率會相當低。這意味著,如果零假設為真,則 Z 分數量值較高的概率遠小於 0.01%。這種情況下,零假設意味著,無論該應用執行何種行為,均有可能出現留存率較低的情形。
這樣可以將極端的應用(留存率很低,但下載量很大)過濾到 DOI 列表的頂部。在列表頂部,我們可以結合 DOI 分數和其他資訊來決定是否要將該應用歸類為 PHA。隨後,我們使用驗證應用來移除該應用的現有安裝並防止以後再次安裝該應用。
▲ 同一裝置上正常應用和 DOI 應用下載之間的區別
實際結果
DOI 分數會將許多應用歸類為各種惡意軟體,其中包括三大著名的惡意軟體系列:Hummingbad、Ghost Push 和 Gooligan。儘管每個應用的行為方式不盡相同,DOI 評分工具將 25000 多種應用歸類為這三大系列惡意軟體,因為它們會大大降低 Android 的體驗,以至於有相當多的使用者會選擇恢復出廠設定乃至拋棄自己的裝置。這種方法給我們帶來了發現 PHA 並阻止其流行的另一種視角。如果沒有 DOI 評分工具,許多此類應用就可能會逃脫人工審查的法網。
我們為 Android 上的使用者和開發者提供多重保護,DOI 評分工具以及 Android 在反惡意軟體方面的所有努力正是其中之一。如需概要地瞭解 Android 在安全性和透明度方面所做的努力,請檢視我們的網頁:
www.android.com/security/overview
推薦閱讀:
相關文章
- 新型Windows惡意軟體正在針對Linux、macOS裝置WindowsLinuxMac
- Android裝置新型惡意軟體,融合銀行木馬、鍵盤記錄器和移動勒索軟體Android
- 擁有相同的起源的Android惡意軟體家族——GM BOT&SlemBunkAndroid
- Synology警告惡意軟體透過暴力攻擊用勒索軟體感染NAS裝置
- 是防毒軟體”失職“還是惡意軟體太”狡猾“?惡意軟體可繞過Android防護系統防毒Android
- Bashlite惡意軟體陰魂未散:智慧裝置面臨新考驗
- ANDROID勒索軟體黑產研究 ——惡意軟體一鍵生成器Android
- 偽裝為 WAV 的惡意軟體在受害裝置上挖礦,但其 bug 導致藍屏
- linux ddos惡意軟體分析Linux
- 惡意軟體Linux/Mumblehard分析Linux
- Zero Access惡意軟體分析
- 重啟裝置沒用了!HNS惡意軟體開啟殭屍網路“新時代”
- Android漏洞允許黑客通過NFC傳播惡意軟體Android黑客
- 惡意軟體Emotet 的新攻擊方法
- Android 更新伺服器遭黑客攻擊 ,德產手機被安裝惡意軟體Android伺服器黑客
- 駭客仿冒ChatGPT應用程式,傳播Windows、Android惡意軟體ChatGPTWindowsAndroid
- Android NFC 漏洞可被黑客拿來傳播植入惡意軟體Android黑客
- 研究發現約67%惡意Android軟體來自谷歌Play商店Android谷歌
- 惡意軟體PE檔案重建指南
- 隱藏在xml檔案中的惡意軟體XML
- google谷歌廣告投放被拒登 提示有惡意垃圾軟體Go谷歌
- 群暉使用者注意!QSnatch惡意軟體感染了數千個NAS裝置,竊取了憑證
- 【筆記】【THM】Malware Analysis(惡意軟體分析)筆記
- 惡意軟體開發-初級-Sektor 7
- 常見惡意軟體型別及危害型別
- 動態惡意軟體分析工具介紹
- TrickBot和Emotet再奪惡意軟體之冠
- 惡意軟體開發——記憶體相關API記憶體API
- 超過5000個安裝!新的Android惡意軟體利用VNC監視和竊取受害者密碼AndroidVNC密碼
- 每週下載數百萬次!惡意軟體包感染Linux和Windows裝置引發供應鏈攻擊LinuxWindows
- Facebook季度安全報告:假冒ChatGPT的惡意軟體激增ChatGPT
- 阻止惡意軟體和網路攻擊的基本方式
- OS X那些事---惡意軟體是如何啟動的?
- Qealler - 一個用Java編寫的惡意病毒軟體Java
- 針對資訊竊取惡意軟體AZORult的分析
- 從SharPersist思考惡意軟體持久化檢測持久化
- 最新 Mac 惡意軟體 OSX/CrescentCore 被發現Mac
- Trickbot惡意軟體又又又升級了!
- 最新發現 | iOS 軟體應用與Android惡意軟體有染 祕密傳輸使用者資料iOSAndroid