Google ha anunciado nuevas funciones de escaneo en tiempo real para Google Play Protect que dificultan que las aplicaciones maliciosas que emplean polimorfismo evadan la detección.
Esto representa un paso importante hacia la mejora de la seguridad para todos los usuarios de Android y tiene como objetivo disminuir las infecciones de malware en la plataforma.
Escaneos de código en tiempo real
La plataforma Play Protect de Google es el sistema de protección integrado de Android para realizar análisis en el dispositivo en busca de software y malware no deseados, impulsado por datos derivados de 125 mil millones de análisis diarios. En la jerga de Google, estas aplicaciones son llamadas "Aplicaciones potencialmente dañinas (PHA)".
La herramienta funciona para aplicaciones descargadas de Google Play, la tienda de aplicaciones oficial de Android y APK (paquetes de Android) descargados de fuentes externas y tiendas de aplicaciones de terceros. Cuando Play Protect detecta algo sospechoso en una aplicación, advierte a los usuarios que no continúen con su instalación.
El problema es que los autores de aplicaciones maliciosas promocionadas fuera de Google Play han recurrido a la inteligencia artificial y al malware polimórfico que frecuentemente altera la información identificable en un programa malicioso para eludir las plataformas de seguridad automatizadas, lo que hace que esos análisis sean ineficaces.
Una vez que las aplicaciones se instalan en el dispositivo del usuario, obtienen código adicional de un recurso externo, completando su funcionalidad maliciosa en la fase de verificación posterior, donde no hay mecanismos para detenerlas.
Sin embargo, Google le dijo a BleepingComputer que vuelven a revisar las aplicaciones, incluida la recopilación de señales de carga dinámica de código para proteger a los usuarios cuando se encuentra este comportamiento.
Para abordar esta brecha, Google ahora ha mejorado Play Protect con la capacidad de realizar escaneo en tiempo real a nivel de código y agrega una recomendación para realizar escaneos en aplicaciones que no han sido escaneadas antes.
El escaneo extraerá señales de la aplicación y las enviará a la infraestructura backend de Play Protect para un análisis en profundidad a nivel de código y arrojará un resultado sobre la seguridad de la aplicación.
"Nuestras protecciones de seguridad y algoritmos de aprendizaje automático aprenden de cada aplicación enviada a Google para su revisión, y analizamos miles de señales y comparamos el comportamiento de las aplicaciones", explica Google en un comunicado de prensa.
"Google Play Protect mejora constantemente con cada aplicación identificada, lo que nos permite fortalecer nuestras protecciones para todo el ecosistema de Android".
El escáner mejorado de Play Protect aprovecha el análisis estático, junto con la heurística y el aprendizaje automático, para identificar patrones indicativos de actividad maliciosa. Las señales extraídas de la aplicación sirven como entradas clave para su análisis impulsado por IA.
Dicho esto, es posible que todavía haya algunas aplicaciones maliciosas que puedan pasar desapercibidas en el nuevo sistema agregando largos retrasos antes de que se descargue el código malicioso u otro comportamiento.
Sin embargo, este nuevo sistema debería reducir la cantidad de malware no detectado, al menos hasta que los autores de malware puedan ajustar sus técnicas para engañar o eludir estos análisis.
El escaneo a nivel de código en tiempo real en Google Play Protect ya está disponible en India y otros países seleccionados y se implementará gradualmente en todo el mundo en los próximos meses. Play Protect funciona y se actualiza periódicamente en la mayoría de los dispositivos Android, incluido Android 5 y versiones posteriores. Esto permite que el sistema de seguridad se actualice periódicamente independientemente de la publicación mensual de actualizaciones de Android.
Fuente: BC