Comment Google détecte les applications Android contenant des logiciels malveillants
Google a expliqué dans son blog pour les développeurs le processus qu’il suit pour localiser les logiciels malveillants dans les applications Android.
A voir aussi : Une startup vous paiera jusqu'à 3 millions si vous découvrez une vulnérabilité iOS ou Android
Dans cette publication, Megan Ruthven, experte en logiciels, parle du protocole Android Verify Apps, qui est utilisé pour déterminer quelles applications potentiellement nuisibles sont installées sur un appareil, et ce qui se passe quand un appareil cesse de communiquer avec lui.
Vérifier les applications est une fonction de sécurité qui analyse périodiquement les applications téléchargées à partir du Play Store pour s’assurer qu’elles ne sont pas dangereuses, mais Ruthven précise que parfois les téléphones ou tablettes cessent d’interagir avec elle. Parfois, cela se produit parce que l’appareil est passé à une vie meilleure, par exemple parce que l’utilisateur a cessé de l’utiliser, mais d’autres fois, c’est parce que des logiciels malveillants ont été installés.
A lire également : Google sait où vous êtes même si les services de localisation sont désactivés
Lorsqu’un appareil cesse de communiquer avec Verify Apps, l’appareil est considéré comme mort ou non sécurisé (DOI). Une application qui a été téléchargée par un pourcentage élevé de périphériques DOI est une application de type DOI. L’inverse est également vrai, si un appareil continue à communiquer avec Verify App après avoir téléchargé une application, cette application est considérée comme un type “hold”.
Android attribue un score DOI aux applications en fonction du nombre total de périphériques qui ont téléchargé l’application, du nombre de périphériques conservés qui ont téléchargé l’application et de la probabilité qu’un périphérique télécharge une application qui sera conservée. Sur la base de ce score, Google détermine si une application est ou non une menace.
C’est la formule mathématique utilisée par l’équipe de sécurité Android :
N = Nombre de périphériques ayant téléchargé l’application
x = Nombre de périphériques conservés ayant téléchargé l’application
p = Probabilité qu’un périphérique télécharge une application qui sera conservée.
Z = score DOI
Si le score DOI est inférieur à “-3,7”, cela signifie qu’un grand nombre de périphériques ont cessé de communiquer avec Verify Apps après avoir installé l’application en question. Google combine ce score avec “d’autres informations” pour déterminer s’il est réellement nocif, avant d’entreprendre toute action telle que la suppression des installations actuelles ou futures.
Ruthven explique que la mise en œuvre de ce processus de sécurité a contribué à la découverte d’applications contenant des logiciels malveillants tels que Hummingbad, Ghost Push et Gooligan.