Ứng dụng quét thời gian thực mới của Android nhằm chống lại các ứng dụng cài đặt không đáng tin cậy

three screenshots showing Google Play Protect's real-time app scanning in effect

Google Play Protect của Android có tính năng quét ứng dụng thời gian thực để chống lại các ứng dụng độc hại được cài đặt từ bên ngoài. Tính năng mới này giúp phát hiện các ứng dụng giả mạo hoặc độc hại được cài đặt từ những nguồn không phải từ cửa hàng ứng dụng chính thức. Các ứng dụng này thường thay đổi giao diện hoặc sử dụng trí tuệ nhân tạo (AI) để thay đổi mã nguồn và tránh bị phát hiện.

Google đã công bố tính năng quét ứng dụng thời gian thực của Google Play Protect vào tháng 10. Công ty cho biết tính năng này có thể giúp phát hiện các ứng dụng độc hại hoặc giả mạo được cài đặt từ bên ngoài cửa hàng ứng dụng. Trước đây, khi cài đặt một ứng dụng mới chưa từng được quét, Google chỉ đề xuất quét một lần. Nhưng hiện nay, quá trình quét các tín hiệu quan trọng từ ứng dụng và gửi chúng đến cơ sở hạ tầng Play Protect để đánh giá mã nguồn được thực hiện thời gian thực.

Ngay cả khi cửa hàng ứng dụng Android có hàng tỷ ứng dụng được Google kiểm tra nhằm phát hiện phần mềm độc hại, không phải lúc nào cũng hiệu quả. Nhiều người dùng cũng tìm đến cách cài đặt ứng dụng Android từ nguồn không phải từ cửa hàng ứng dụng, điều này rất phổ biến dù có nguy cơ cài đặt ứng dụng độc hại. Một trong những lý do chính khiến Google giới thiệu tính năng quét mã nguồn thời gian thực nâng cao là để chống lại sự lan rộng của các ứng dụng cho vay lừa đảo. Những ứng dụng này đã gây phiền toái và ám hại người dùng, thậm chí dẫn đến các vụ tự tử. Kẻ xấu lợi dụng dữ liệu người dùng, bao gồm danh bạ và ảnh, để uy hiếp người dùng. Google đã hạ xuống hơn 3.500 ứng dụng như vậy trong năm vì vi phạm yêu cầu chính sách của công ty. Nhưng những kẻ tấn công vẫn tìm cách tìm mục tiêu của họ.

Để kiểm tra phạm vi của cập nhật Play Protect, chúng tôi sử dụng một chiếc điện thoại Pixel 7a với cài đặt mới của Android 14 và phiên bản cửa hàng ứng dụng Google Play cập nhật tính năng quét mã nguồn thời gian thực.

Chúng tôi đã thử cài đặt hơn 30 ứng dụng độc hại khác nhau, từ phần mềm gián điệp và gián điệp đến các ứng dụng cho vay lừa đảo và các phiên bản nhái giả của các ứng dụng phổ biến. Hầu hết các ứng dụng độc hại đều bị Play Protect chặn lại với các cảnh báo như “Các ứng dụng từ các nhà phát triển không xác định có thể không an toàn” và “Ứng dụng này cố gắng theo dõi dữ liệu cá nhân của bạn, chẳng hạn như tin nhắn SMS, ảnh, ghi âm hoặc lịch sử cuộc gọi” hoặc “Ứng dụng này là giả mạo”. Tuy nhiên, một số ứng dụng cho vay lừa đảo gần đây đã cài đặt thành công.

Các ứng dụng giả mạo của các ứng dụng phổ biến khác được Google Play Protect cho phép cài đặt, mặc dù chưa rõ mục đích ban đầu của các ứng dụng giả mạo này.

Google đã nói rằng tính năng quét mã nguồn thời gian thực của Play Protect sẽ ngăn chặn các ứng dụng độc hại mới, bất kể chúng có được tải xuống từ Google Play hay từ các nguồn khác. Tuy nhiên, công ty cũng cho biết các khả năng này sẽ tiếp tục phát triển và cải tiến theo thời gian, khi Play Protect thu thập và phân tích các loại mối đe dọa mới đối với hệ sinh thái Android.

Sideloading cho phép người dùng cài đặt bất kỳ ứng dụng Android nào, nhưng không mà không có rủi ro. Trước một lượng lớn các ứng dụng thay đổi nhanh chóng hình dạng và mã nguồn, tính năng quét ứng dụng thời gian thực mới của Google là đường phòng ngự cuối cùng quan trọng cho hàng tỷ người dùng và hứa hẹn sẽ ngày càng hoàn thiện trong tương lai.#GooglePlayProtect #quétthờingianthựcmãnguồn #ảnhhưởngcácứngdụnggiảmạo #ứngdụngđộc hại

Nguồn: https://techcrunch.com/2023/11/04/google-play-android-real-time-app-scanning-sideload-apps/

Android’s in-built security engine Google Play Protect has a new feature that conducts a real-time analysis of an Android app’s code and blocks it from installing the app if it’s considered potentially harmful.

Google announced in October the new real-time app scanning feature built into Google Play Protect that the company says can help catch malicious or fake sideloaded apps installed from outside the app store. These apps will morph their appearance or use AI to alter the apps’ code in a way that helps them avoid detection.

Google said this Play Protect feature now recommends a real-time app scan for any new app that has never been scanned before. This consists of a code analysis that will “extract important signals from the app and send them to the Play Protect backend infrastructure for a code-level evaluation.”

Android’s app store has billions of apps that Google screens for malware, though not always successfully. Many device owners also take to sideloading Android apps, which skirt the app store altogether and its many lines of defense. Sideloading remains a popular feature for Android users, even if it means having to trust that the app they are installing is not malicious.

One of the key reasons for Google to introduce its enhanced real-time code-level scanning feature is to counter the proliferation of predatory loan apps. These apps have resulted in the harassment of users, leading in some cases to victims taking their own lives. Bad actors gain access to user data, including contacts and photos, which are used to bully users. TechCrunch extensively covered the impact of predatory loan apps on Indian users. Google also said it took down over 3,500 such apps in the year for violating its policy requirements. Attackers still find ways to target their victims.

“Our policies are making it tougher for predatory apps to be listed on the Play Store. But the bad actors are inventive, and they are finding new ways to trick people and that is why we take additional measures,” said Saikat Mitra, Google’s head of trust and safety for APAC at the Google for India event in New Delhi last month, while announcing the update to Play Protect.

Google initially launched the Play Protect update in India, with plans to soon expand internationally. TechCrunch tried the feature out for ourselves by loading a phone with a variety of malicious and bad apps to see what would make it through.

We tried to install more than 30 different malicious apps, from stalkerware and spyware to predatory loan apps and fake ripoffs of popular apps. Google Play Protect blocked nearly all of the malicious apps with warnings like, “Apps from unknown developers can sometimes be unsafe,” and “This app tries to spy on your personal data, such as SMS messages, photos, audio recordings, or call history,” or, “This app is fake.” A handful of recently created predatory loan apps, however, were successfully installed.

three screenshots showing Google Play Protect's real-time app scanning in effect

Screenshots showing Google Play Protect’s real-time app scanning checking to see if an app is malicious. Image Credits: Google

To test out the scope of the Play Protect update, we used a Pixel 7a with a fresh install of Android 14 with the updated Google Play Store featuring real-time code-level scanning.

We began the testing on the Pixel 7a by trying to install various spyware apps that have rebranded or been cloned, or otherwise had code changes that would attempt to evade detection. (We’re not naming or linking to the apps given their malicious nature.) Commercial surveillance apps, like stalkerware or spouseware, are typically surreptitiously installed by someone with physical access to a person’s phone, often a spouse or domestic partner. These spyware apps silently and continually upload the contents of the person’s phone, including messages, photos, and real-time location data, and present a major security and privacy risk to the people whose phones are compromised.

Play Protect intervened each time we tried to install spyware and stalkerware. The feature blocked the apps from installing, labeling the apps “harmful.”

We also picked a handful of predatory loan apps that were disguised as popular Android apps. These loan apps upload the device’s contact list to a server under the guise of fraud prevention, and loan agents can use this access to send threatening and intimidating messages and calls to their contacts. The landing page of one of the predatory loan apps resembled a regular Google Play listing, but required the user to download and manually sideload the app from outside the app store.

The Play Protect update did not restrict five predatory loan apps from installing at the time of our testing.

We also tried to install a couple of apps that appear to be fake versions of other popular apps listed on Google Play. The apps we tested are similarly named and feature near-identical designs and user experiences, but are clearly underdeveloped knock-offs. One of the fake apps imitated a popular game and the other masqueraded as a widely used VPN app.

Play Protect allowed these two apps to be installed, though it’s unclear for what purpose the fake apps were initially developed.

“With this recent enhancement, we’re adding real-time scanning at the code-level to Google Play Protect to combat novel malicious apps, regardless of if the app was downloaded from Google Play or elsewhere,” said Google spokesperson Scott Westover in an email to TechCrunch when reached for comment. “These capabilities will continue to evolve and improve over time, as Google Play Protect collects and analyzes new types of threats facing the Android ecosystem.”

Sideloading allows the freedom to install any Android app but not without risk. Faced with an ongoing deluge of apps that quickly change their appearance and code, Google’s new real-time app scanning feature is an important last line of defense for billions of users and bound to only improve over time.


Leave a Reply

Your email address will not be published. Required fields are marked *