Google ha annunciato un’importante novità per la funzionalità Play Protect su Android. La protezione è stata migliorata per effettuare la scansione in tempo reale delle app installate all’esterno del Play Store (sideloading) che sfruttano il polimorfismo per infettare il dispositivo.
Google Play Protect: scansione a livello di codice
Google Play Protect è una protezione proattiva contro malware e app indesiderate presente su tutti i dispositivi Android con Play Services. Ogni giorno vengono effettuate oltre 125 miliardi di scansioni. Se viene rilevata un’app infetta, Play Protect mostra un avviso di sicurezza, blocca l’installazione o disattiva l’app automaticamente.
Sempre più spesso i cybercriminali utilizzano malware polimorfi nascosti nelle app distribuite all’esterno del Play Store. I link ai file APK vengono inviati principalmente tramite email, SMS o messaggi. Le app sembrano “pulite” al momento dell’installazione, ma il codice infetto viene scaricato successivamente per evitare la rilevazione.
Google Play Protect effettua ora la scansione a livello di codice. Il risultato verrà inviato all’infrastruttura di backend del servizio e l’utente saprà se l’app è sicura o infetta. Nella schermata ci sono i pulsanti per la scansione e per bloccare l’installazione dell’app, quindi non sembra esserci l’opzione per evitare la scansione e installare ugualmente l’app.
Google utilizza il machine learning e altre tecniche avanzate per rilevare le app polimorfe. La versione aggiornata di Play Protect sarà disponibile per tutti i dispositivi Android con Play Services. Il rollout è in corso a partire dall’India e verrà completato nei prossimi mesi.