Google Play Protect untersucht Android-Smartphones statisch auf Malware-Apps. Ein Echtzeit-Scan soll helfen, unbekannte Apps zu analysieren.
Auf Android-Smartphones mit Googles Play-Diensten ist in der Regel auch Google Play Protect aktiv. Das System untersucht, ob auf dem Smartphone Schädlings-Apps installiert sind. Um mehr schädliche Apps zu erkennen, ergänzt der Hersteller nun einen Echtzeit-Scan.
Wie Google in einem Blog-Beitrag erläutert, untersucht Google Play Protect täglich 125 Milliarden Apps auf Malware oder unerwünschte Software. Wenn es eine solche App findet, kann es die Handy-Nutzer warnen, die Installation der App verhindern oder die App automatisch deaktivieren.
Google Play Protect: Betrüger verstecken Malware vor Entdeckung
Cyberkriminelle würden jedoch versuchen, der Erkennung durch Play Protect zu umgehen. Etwa durch polymorphe Malware und Apps außerhalb des Google Play Stores. Zudem nutzen sie Social-Engineering-Tricks, um Nutzerinnen und Nutzer dazu zu bringen, gefährliche Dinge zu tun – etwa vertrauliche Informationen preisgeben oder bösartige Apps aus zweifelhaften Quellen herunterladen. Meist geschehe dies durch Links auf diese Apps oder direkte Downloads mittels Messenger-Nachrichten.
Deshalb hat sich Google Play Protect bislang nicht um die App-Quelle geschert, sondern alle Apps untersucht. Bei der Installation hat Play Protect eine Echtzeit-Prüfung vorgenommen und Nutzer gegebenenfalls gewarnt. Dies geschieht auf Basis von existierenden Scan-Ergebnissen (also faktisch Virensignaturen), wenn Apps mit Maschinenlernen auf dem Gerät als verdächtig eingestuft werden, Ähnlichkeitsvergleichen und weiteren Techniken, die Google permanent entwickelt.
Der neue Echtzeit-Scan soll bei unbekannten oder noch nicht untersuchten Apps einen Scan vorschlagen oder alternativ die Installation unterbinden. Das soll helfen, aufkommende Bedrohungen zu erkennen. Der Scan soll "wichtige Signale" der App extrahieren und an die Play Protect-Backend-Infrastruktur schicken für eine Untersuchung auf Code-Ebene. Nach Abschluss der Analyse erhalten Nutzer die Rückmeldung, ob die App sicher erscheint oder sie als potenziell gefährlich eingestuft wurde.
Damit soll der Schutz vor bösartigen polymorphen Apps verbessert werden, die verschiedene Methoden wie KI nutzen, um verändert zu werden und so der statischen Erkennung zu entgehen. Die Schutzmechanismen und der Maschinenlern-Algorithmus lernen anhand jeder an Google zur Prüfung gesendeten App. Dabei schaue das System auf tausende Signale und vergleiche App-Verhalten. Mit jeder untersuchten App verbessere sich das System. Das System klingt nach einer Art Sandbox oder Verhaltensblocker, der bestimmte Aktionen von Apps bewertet und daraus eine Art Schädlichkeitsprofil erstellt.
Die Funktion soll in den kommenden Monaten global an alle Android-Geräte verteilt werden. Den Start macht jetzt Indien.
Der neue Erkennungsmechanismus erweist sich hoffentlich als nützliche Erweiterung des Google Play Protect-Schutzes. Cyberkriminelle nutzen immer wieder unterschiedliche Methoden, um ihre Malware-Apps vor der Erkennung zu verstecken. So versuchen sie etwa, mit manipulierten Archiven oder deformierten Dateien nicht aufgespürt zu werden. Andere Mechanismen probieren, die automatische Erkennung beim Play-Store-Upload zu umgehen, indem sie etwa keine Webview-Komponente einsetzen, sondern direkt via http auf URLs zugreifen. Oftmals rüsteten Cyberkriminelle bösartige Funktionen auch erst deutlich später nach, nachdem die Apps lange Zeit unauffällig im Play Store waren.
Quelle; heise
Auf Android-Smartphones mit Googles Play-Diensten ist in der Regel auch Google Play Protect aktiv. Das System untersucht, ob auf dem Smartphone Schädlings-Apps installiert sind. Um mehr schädliche Apps zu erkennen, ergänzt der Hersteller nun einen Echtzeit-Scan.
Wie Google in einem Blog-Beitrag erläutert, untersucht Google Play Protect täglich 125 Milliarden Apps auf Malware oder unerwünschte Software. Wenn es eine solche App findet, kann es die Handy-Nutzer warnen, die Installation der App verhindern oder die App automatisch deaktivieren.
Google Play Protect: Betrüger verstecken Malware vor Entdeckung
Cyberkriminelle würden jedoch versuchen, der Erkennung durch Play Protect zu umgehen. Etwa durch polymorphe Malware und Apps außerhalb des Google Play Stores. Zudem nutzen sie Social-Engineering-Tricks, um Nutzerinnen und Nutzer dazu zu bringen, gefährliche Dinge zu tun – etwa vertrauliche Informationen preisgeben oder bösartige Apps aus zweifelhaften Quellen herunterladen. Meist geschehe dies durch Links auf diese Apps oder direkte Downloads mittels Messenger-Nachrichten.
Deshalb hat sich Google Play Protect bislang nicht um die App-Quelle geschert, sondern alle Apps untersucht. Bei der Installation hat Play Protect eine Echtzeit-Prüfung vorgenommen und Nutzer gegebenenfalls gewarnt. Dies geschieht auf Basis von existierenden Scan-Ergebnissen (also faktisch Virensignaturen), wenn Apps mit Maschinenlernen auf dem Gerät als verdächtig eingestuft werden, Ähnlichkeitsvergleichen und weiteren Techniken, die Google permanent entwickelt.
Du musst dich
Anmelden
oder
Registrieren
um diesen Inhalt sichtbar zu machen!
Der neue Echtzeit-Scan soll bei unbekannten oder noch nicht untersuchten Apps einen Scan vorschlagen oder alternativ die Installation unterbinden. Das soll helfen, aufkommende Bedrohungen zu erkennen. Der Scan soll "wichtige Signale" der App extrahieren und an die Play Protect-Backend-Infrastruktur schicken für eine Untersuchung auf Code-Ebene. Nach Abschluss der Analyse erhalten Nutzer die Rückmeldung, ob die App sicher erscheint oder sie als potenziell gefährlich eingestuft wurde.
Damit soll der Schutz vor bösartigen polymorphen Apps verbessert werden, die verschiedene Methoden wie KI nutzen, um verändert zu werden und so der statischen Erkennung zu entgehen. Die Schutzmechanismen und der Maschinenlern-Algorithmus lernen anhand jeder an Google zur Prüfung gesendeten App. Dabei schaue das System auf tausende Signale und vergleiche App-Verhalten. Mit jeder untersuchten App verbessere sich das System. Das System klingt nach einer Art Sandbox oder Verhaltensblocker, der bestimmte Aktionen von Apps bewertet und daraus eine Art Schädlichkeitsprofil erstellt.
Die Funktion soll in den kommenden Monaten global an alle Android-Geräte verteilt werden. Den Start macht jetzt Indien.
Der neue Erkennungsmechanismus erweist sich hoffentlich als nützliche Erweiterung des Google Play Protect-Schutzes. Cyberkriminelle nutzen immer wieder unterschiedliche Methoden, um ihre Malware-Apps vor der Erkennung zu verstecken. So versuchen sie etwa, mit manipulierten Archiven oder deformierten Dateien nicht aufgespürt zu werden. Andere Mechanismen probieren, die automatische Erkennung beim Play-Store-Upload zu umgehen, indem sie etwa keine Webview-Komponente einsetzen, sondern direkt via http auf URLs zugreifen. Oftmals rüsteten Cyberkriminelle bösartige Funktionen auch erst deutlich später nach, nachdem die Apps lange Zeit unauffällig im Play Store waren.
Quelle; heise
