Menú de navegaciónMenú
Categorías

La mejor forma de Aprender Programación online y en español www.campusmvp.es

?id=7b8da5f0-0cef-4348-9d25-5f7905bb5f80

Google revela cómo detecta aplicaciones maliciosas de Android en la Play Store

Seguridad-MovilDebido a la naturaleza abierta de Android, los hackers lo tienen relativamente fácil a la hora de crear malware para esta plataforma. Por suerte, los ingenieros de Google trabajan las veinticuatro horas para intentar asegurarse de que Android permanece libre de software malicioso. De hecho, la empresa ha detallado exactamente cómo mantiene el malware lejos de la Google Play Store y de Android, incluso cuando ese malware intenta contra-atacar, como veremos enseguida.

Una solución de seguridad incluida en todos los dispositivos con Google Play es "Verify Apps". Esta característica trata de comprobar si hay aplicaciones potencialmente dañinas (conocidas en la jerga como "PHA") en los dispositivos. Si se encuentra una PHA, Verify apps advierte al usuario y le permite desinstalar la aplicación (puedes averiguar qué apps han sido verificadas en tu móvil, tal y como te explican aquí).

Sin embargo, en ocasiones los dispositivos dejan de consultar el servicio Verify Apps. Esto puede ocurrir por un motivo no relacionado con la seguridad, como que el usuario compra un teléfono nuevo, pero en otras ocasiones podría significar algo más preocupante. Cuando un dispositivo deja de comprobar Verify apps, se considera Dead or Insecure (DOI). Una aplicación con un porcentaje suficientemente alto de dispositivos DOI que la descarguen se considera una aplicación DOI. Google usa la métrica DOI junto con los otros sistemas de seguridad para ayudar a determinar si una aplicación es una PHA y tratar de proteger a los usuarios de Android. Además, cuando descubren vulnerabilidades, parchean el sistema operativo a través del sistema de actualizaciones de seguridad.

El equipo de seguridad de Android investiga las mejores maneras de identificar aquellas razones relacionadas con la seguridad que hacen que los dispositivos dejen de funcionar, de forma que puedan identificar malware e impedir que suceda en el futuro.

Identificando aplicaciones DOI

El equipo de seguridad de Android efectúa una correlación entre el hecho de que una app se instale y que poco después el dispositivo se vuelva un DOI (es decir, deje de conectarse a Verify Apps). Si existe esa correlación es probable que la app en cuestión dañe el dispositivo.

Teniendo en cuenta estos factores, se centran entonces en lo que llaman la "retención". Un dispositivo se considera retenido si continúa realizando comprobaciones periódicas contra Verify Apps de aplicaciones después de descargar una determinada aplicación. Si no lo hace, se considera potencialmente muerto o inseguro (DOI). La tasa de retención de una aplicación es el porcentaje de todos los dispositivos retenidos que descargaron la aplicación en un día determinado. Debido a que la retención es un fuerte indicador de la salud del dispositivo, Google trata de maximizar la tasa de retención del ecosistema Android.

Diferencia entre la descarga de una aplicaciones normal y una DOI en el mismo dispositivo.

Con el parámetro anterior utilizan un evaluador de aplicaciones DOI, que asume que todas las aplicaciones deben tener una tasa de retención de dispositivos similar. Si la tasa de retención de una aplicación es un par de desviaciones estándar inferior a la media, el marcador del DOI la señala como sospechosa. Una forma común de calcular el número de desviaciones estándar de la media es lo que se denomina puntuación Z. La ecuación para la puntuación Z es la siguiente:

Puntuacion-Z

Siendo:

  • N = el número de dispositivos que descargaron la aplicación.
    X = el número de dispositivos retenidos que descargaron la aplicación.
    P = la probabilidad de que un dispositivo que se descargue cualquier aplicación siga "retenido".

En este contexto, a la puntuación Z de la tasa de retención de una aplicación se le denomina "puntuación DOI". La puntuación DOI indica que una aplicación tiene una tasa de retención baja estadísticamente significativa si la puntuación Z es mucho menor que -3,7. Esto significa que si la hipótesis nula es verdadera, hay mucho menos de un 0,01% de probabilidad de que la magnitud de la puntuación Z sea tan alta. En este caso, la hipótesis nula indica que la aplicación ha sido correlacionada accidentalmente con una menor tasa de retención, aunque no haga nada realmente para ello.

Esto permite que las aplicaciones "extremas" (es decir, con baja tasa de retención y un alto número de descargas) se muevan de manera natural hacia la parte superior de la lista DOI. A partir de ahí, combinan la puntuación DOI con otras informaciones para determinar si finalmente clasifican la aplicación como PHA. Luego usan Verify apps para eliminar las instalaciones existentes e impedir futuras instalaciones de la aplicación maliciosa.

Los resultados en el mundo real

Entre otras cosas, el uso de la puntuación DOI en el mundo real sirvió para clasificar multitud de aplicaciones maliciosas dentro de tres familias de malware conocidas: Hummingbad, Ghost Push y Gooligan.  A pesar de que se comportan de manera muy diferente, la puntuación DOI identificó más de 25.000 aplicaciones dentro de estas tres familias de malware, ya que todas pueden degradar la experiencia de Android hasta tal punto que una cantidad importante de los usuarios hacen un "reset a fábrica" o incluso llegan a dejar de usar el dispositivo.

Este enfoque proporciona a Google otra perspectiva para descubrir PHAs y bloquearlas antes de que se extiendan entre muchos usuarios. Sin el evaluador DOI, muchas de estas aplicaciones habrían escapado al escrutinio que se hace de forma manual.

El clasificador DOI y todo el trabajo anti-malware que Google hace con Android es tan solo una de las múltiples capas de protección para los usuarios y los desarrolladores de la plataforma.

Para obtener una visión general de los esfuerzos que hace Google en seguridad y transparencia de Android, echa un vistazo a la página de seguridad de Android.

Nota: Este artículo es una adaptación del original del equipo de seguridad de Google.

campusMVP campusMVP es la mejor forma de aprender a programar online y en español. En nuestros cursos solamente encontrarás contenidos propios de alta calidad (teoría+vídeos+prácticas) creados y tutelados por los principales expertos del sector. Nosotros vamos mucho más allá de una simple colección de vídeos colgados en Internet porque nuestro principal objetivo es que tú aprendas. Ver todos los posts de campusMVP

No te pierdas ningún post

Únete gratis a nuestro canal en Telegram y te avisaremos en el momento en el que publiquemos uno nuevo.

Archivado en: Desarrollo móvil

La mejor formación online para desarrolladores como tú

Agregar comentario

Los datos anteriores se utilizarán exclusivamente para permitirte hacer el comentario y, si lo seleccionas, notificarte de nuevos comentarios en este artículo, pero no se procesarán ni se utilizarán para ningún otro propósito. Lee nuestra política de privacidad.