В официальном блоге Google появилась заметка, в которой специалисты отдела безопасности рассказали о процедуре обнаружения вирусных приложений на просторах магазина приложений Play Market. Внедрение новой системы отслеживания вредоносных и шпионских программ потребовалось после многочисленных случаев обхода злоумышленниками функции Verify Apps, которая проверяла приложения на наличие вирусов сразу после их установки на устройство.
В заметке упоминается, что для определения и понимания проблемы команде по безопасности пришлось применить систему соотношения числа установок приложения и числа зараженных устройств. Для этого был введен специальный термин — DOI (Dead or Insecure Devices), а также выведена формула, которая в автоматическом режиме подсчитывает данные для дальнейшей обработки. Каждому приложению присваивается рейтинг — это процент всех поврежденных устройств, на которые было загружено приложение за один день. Высчитывается он по формуле:
Z = специальный рейтинг приложения (DOI)
N = количество девайсов, на которые приложение было загружено
x = количество зараженных устройств после загрузки приложения
p = вероятность сохранения работоспособности функции Verify Apps
Если рейтинг (DOI) падает ниже отметки -3.7, это значит, что функция подтверждения безопасности приложения была приостановлена вирусной программой на большом количестве устройств. Дальше сотрудники более детально изучают приложение, ограничивают доступ к нему или вовсе удаляют из Play Market. В компании говорят, что этот способ помог команде безопасности быстро обнаружить огромное количество вредоносного контента с вирусами вроде Hummingpad и Gooligan.