Google ha anunciado nuevas funciones de escaneo en tiempo real para Google Play Protect que dificultan que las aplicaciones maliciosas que emplean polimorfismo evan la detección.
Esto representa un paso significativo hacia la mejora de la seguridad para todos los usuarios de Android y tiene como objetivo disminuir las infecciones de malware en la plataforma.
Escaneos de código en tiempo real
La plataforma Play Protect de Google es el sistema de protección integrado de Android para realizar análisis en el dispositivo en busca de software no deseado y malware, impulsado por datos derivados de 125 mil millones de escaneos diarios.
La herramienta funciona para aplicaciones descargadas de Google Play, la tienda de aplicaciones oficial de Android, y APK (paquetes de Android) descargados de fuentes externas y tiendas de aplicaciones de terceros.
Cuando Play Protect detecta algo sospechoso en una aplicación, advierte a los usuarios que no continúen con su instalación.
El problema es que los autores de aplicaciones maliciosas promocionadas fuera de Google Play han recurrido a la IA y al malware polimórfico que con frecuencia altera la información identificable en un programa malicioso para eludir las plataformas de seguridad automatizadas, lo que hace que esos escaneos sean ineficaces.
Una vez que las aplicaciones se instalan en el dispositivo del usuario, obtienen código adicional de un recurso externo, completando su funcionalidad maliciosa en la fase posterior a la verificación donde no hay mecanismos para detenerlas.
Sin embargo, Google le dijo a BleepingComputer después de la publicación que vuelven a revisar las aplicaciones, incluida la recopilación de señales de carga de código dinámico para proteger a los usuarios cuando se encuentra este comportamiento.
Para abordar esta brecha, Google ahora ha mejorado Play Protect con la capacidad de realizar escaneos en tiempo real a nivel de código y agrega una recomendación para realizar escaneos en aplicaciones que no se han escaneado antes.
El escaneo extraerá las señales de la aplicación y las enviará a la infraestructura de backend de Play Protect para realizar un análisis detallado a nivel de código, lo que devolverá un resultado sobre la seguridad de la aplicación.
«Nuestras protecciones de seguridad y algoritmos de aprendizaje automático aprenden de cada aplicación enviada a Google para su revisión, y observamos miles de señales y comparamos el comportamiento de la aplicación», explica Google en un comunicado de prensa.
«Google Play Protect mejora constantemente con cada aplicación identificada, lo que nos permite fortalecer nuestras protecciones para todo el ecosistema de Android».
El escáner mejorado de Play Protect aprovechará el análisis estático, junto con la heurística y el aprendizaje automático, para identificar patrones indicativos de actividad maliciosa. Las señales extraídas de la aplicación sirven como insumos clave para su análisis impulsado por IA.
Dicho esto, es posible que todavía haya algunas aplicaciones maliciosas que puedan pasar desapercibidas para el nuevo sistema añadiendo largos retrasos antes de que se descargue el código malicioso u otro comportamiento.
Sin embargo, la cantidad de malware no detectado debería reducirse con este nuevo sistema, al menos hasta que los autores de malware puedan ajustar sus técnicas para engañar o eludir estos análisis.
El escaneo a nivel de código en tiempo real en Google Play Protect ya está disponible en India y otros países seleccionados y se implementará gradualmente en todo el mundo en los próximos meses.
Play Protect funciona y se actualiza regularmente en la mayoría de los dispositivos Android, incluidos Android 5 y versiones posteriores.
Esto permite que el sistema de seguridad se actualice regularmente independientemente de la versión mensual de las actualizaciones de Android.
Actualización 10/18/23: Se agregaron algunas aclaraciones de Google.
Fuente: https://www.bleepingcomputer.com
