Joe Hindy / Autoridade Android
Resumo
- O Google Play Protect oferece a capacidade de escanear localmente APKs instalados de fora da Google Play Store.
- Esse recurso de verificação local poderá em breve ser atualizado para usar o modelo YARA para uma abordagem baseada em regras para detectar famílias de malware.
- O YARA deve permitir que o Play Protect detecte uma rede maior de malware com mais eficiência.
O Google Play Protect, juntamente com o Google Play Services e a Play Store, desempenha um papel muito importante em manter seu carro-chefe Android livre de malware. O Play Protect permite que você execute uma verificação de segurança não apenas em aplicativos que você baixou da Google Play Store, mas também em APKs que você instalou manualmente. O Google pode em breve atualizar a verificação de APK com uma verificação local mais poderosa baseada em regras, potencialmente protegendo os usuários de uma gama maior de malware.
Um Desmontagem do APK ajuda a prever recursos que podem chegar a um serviço no futuro com base no código do trabalho em andamento. No entanto, é possível que tais recursos previstos não cheguem a um lançamento público.
No ano passado, o Google adicionou a capacidade de analisar localmente aplicativos desconhecidos em busca de malware com a Play Store v37.5. Isso evita que o usuário carregue e envie aplicativos suspeitos para o Google para análise. Isso também afasta a varredura de ameaças no Play Protect de um modelo do lado do servidor.
Com a Play Store v41.7.16, o Google está atualizando as habilidades de escaneamento local do Play Protect integrando o YARA a ele. Nós identificamos um novo sinalizador na versão mais recente da Play Store que aponta claramente para “novos recursos de escaneamento YARA na análise de APK”.
Código
PlayProtect__enable_new_yara_scanning_features_in_apk_analysisMas o que exatamente é YARA? YARA é uma ferramenta que ajuda a identificar e classificar amostras de malware, focando mais nas famílias de malware mais amplas do que em malware individual. Os detectores de malware tradicionais baseados em hash procuram uma correspondência de hash exata (que o malware pode contornar alterando pequenas partes sobre si mesmo, criando um novo hash). YARA funciona detectando código comum (também conhecido como família de malware) em vez de um hash exato, e faz isso adotando uma abordagem baseada em regras para criar uma descrição de família. Isso permite que YARA detecte uma rede mais ampla de malware e faça isso de forma eficiente.
Pelo que podemos ver, o Google Play Protect pode em breve oferecer recursos de escaneamento local por meio do modelo YARA. Isso seria uma boa atualização para o escaneamento local de APK e, embora ainda possa não ser páreo para o escaneamento baseado em nuvem, deve funcionar bem o suficiente para escaneamentos básicos.
