Инженеры Google рассказали, как именно работает Google Play Protect. Оказалось, что защитное решение анализирует не только приложения из официального каталога, но также использует машинное обучение и находит приложения в интернете.

Проект Google Play Protect был запущен в мае 2017 года и пришел на смену системе Verify Apps. Тогда сообщалось, что новый механизм будет встроен в приложение Google Play Store на всех авторизованных устройствах на Android. Каждый раз, когда пользователь устанавливает или обновляет приложение из каталога Google Play или стороннего источника, Play Protect проверяет его на признаки вредоносного поведения, основываясь на множестве индикаторов, собранных специалистами Google за последние годы. Так Google определяет потенциально вредоносные приложения (Potentially Harmful Applications, PHA), то есть, попросту говоря малварь. Play Protect ежедневно анализирует более 500 000 приложений.

Но, как выяснилось теперь, Play Protect работает и с другими датасетами, в том числе регулярно сканирует интернет в поисках любых приложений для Android, расположенных вне официального каталога. Эти приложения так же сканируются, проверяются на предмет вредоносного поведения, а затем классифицируются и заносятся в базу.

«Google Play Protect анализирует каждое приложение, которое может найти в интернете. Мы создали датасет, анализируя каждое APK и извлекая PHA-сигналы путем глубоко анализа. Мы выполняем ряд процессов для каждого приложения, чтобы обнаружить конкретные функции и поведение, связанное с различными категориями PHA (например, SMS-фрод, фишинг повышение привилегий). Статический анализ проверяет различные ресурсы внутри APK, тогда как динамический анализ проверяет поведение приложения в работающем состоянии. Два эти подхода дополняют друг друга. К примеру, динамический анализ требует выполнения приложения, независимо от того насколько обфусцировн его код (обфускация затрудняет статический анализ), а статический анализ может помочь обнаружить скрытые в коде попытки обмана динамического анализа. В конечном итоге, данный анализ предоставляет нам данные о характеристиках приложений, что служит фундаментальным источником данных для алгоритмов машинного обучения», — рассказывают специалисты Google в блоге.

В итоге, когда пользователь загружает и устанавливает приложение из стороннего каталога или другого источника, Play Protect все равно «узнает» его и сможет немедленно уведомить пользователя, в случае если приложение представляет опасность.

Теги: CSS, Play Google приложения Protect анализ