发现恶意软件时 沉默比雄辩更权威

Question

在 Android 安全性方面，我们不断致力于更好地了解如何使 Android 设备更加顺畅，安全地运行。Google Play 所有设备上包含的一种安全解决方案是 验证应用 。验证应用程序检查你的设备上是否存在潜在有害应用程序（PHAs）。如果找到 PHA，验证应用程序会向用户发出警告并使其能够卸载该应用程序。

但是，有时，设备会使用 Verify 应用程序停止检查。这可能是因为非安全相关的原因，如购买新的手机，或者这可能意味着更多的事情正在进行。当设备停止检查与验证应用程序，它被认为是死或不安全（DOI）。一个具有足够高的 DOI 设备下载量的应用程序被认为是 DOI 应用程序。我们使用 DOI 指标以及其他安全系统来帮助确定应用程序是否是 PHA 来保护 Android 用户。另外，当我们发现漏洞时，我们使用我们的 安全更新系统 来修补 Android 设备。

这篇博客文章探讨了 Android Security 团队的研究，以确定设备停止工作并防止将来发生的安全相关原因。

举报 DOI 应用程式

为了更深入地了解此问题，Android Security 团队将应用安装尝试和 DOI 设备相关联，以找到危害设备的应用程序，以保护用户。

考虑到这些因素，我们将重点放在“保留”上。如果在应用程序下载后继续执行定期验证应用程序安全检查，则设备被视为保留。如果没有，它被认为是潜在的死亡或不安全（DOI）。应用的保留率是在一天内下载该应用的所有保留设备的百分比。由于保留是设备健康的重要指标，我们致力于最大限度地提高生态系统的保留率。

因此，我们使用一个应用程序 DOI 评分起，它假定所有应用程序都应具有类似的设备保留率。如果应用程序的保留率是低于平均水平的几个标准差，则 DOI 评分器将其标记。计算平均值的标准偏差数量的常用方法称为 Z 分数。Z 分数的方程如下。

• N =下载应用程序的设备数量
• x =下载应用程序的保留设备数量。
• p =下载任何应用程序的设备的概率将被保留。

在这种情况下，我们将应用程序的保留率的 Z 分数称为 DOI 分数。DOI 评分器表明，如果 Z 得分远小于-3.7，则应用程序具有统计学上显着的较低保留率。这意味着如果零假设是真实的，那么 Z 分数的大小几乎不到 0.01％的几率。在这种情况下，零假设意味着应用程序与较低的保留率意外相关，与应用程序的功能无关。

这允许极端应用程序（保留率低，下载量大）渗透到 DOI 列表的顶部。从那里，我们将 DOI 分数与其他信息相结合，以确定是否将该应用程序分类为 PHA。然后，我们使用 Verification 应用程序删除现有的应用程序安装，并阻止将来安装该应用程序。

常规和 DOI 应用程序在同一设备上下载的区别。

在野外的结果

其中，DOI 评分标记了三个知名的恶意软件家族中的许多应用程序 - Hummingbad ， Ghost Push 和 Gooligan 。尽管它们的行为方式不一样，但是由于 DOI 评分器可以将 Android 体验降级到不可忽略的用户数量的重新设置或放弃设备的程度，所以这三个恶意软件系列中的 DOI 评分器标记了超过 25,000 个应用。这种方法为我们提供了另一种观察方式来发现 PHA，并在他们受欢迎之前阻止它们。没有 DOI 评分器，许多这些应用程序将免除对手动审查的额外审查。

DOI 评分器和所有 Android 的反恶意软件工作是保护 Android 用户和开发者的多层次之一。有关 Android 的安全性和透明度工作的概述，请查看 我们的页面 。