sábado, agosto 22, 2015

Google discrepa (y mucho) con las casas de Antivirus sobre las apps maliciosas en Google Play

Si habéis seguido el mundo de la seguridad en Google Play, habréis visto que hay discrepancias muchas veces sobre lo que Google considera software malicioso y lo que no considera software malicioso peligroso para el usuario. Las casas de seguridad antimalware suelen catalogar muchas más apps como maliciosas que las que Google es proclive a eliminar de Google Play. De hecho, muchas de las que son marcadas como maliciosas por las casas de antivirus, siguen estando activas y disponibles para que cualquier usuario se las descargue.

Figura 1: Google discrepa {y mucho} con las casas de Antivirus sobre las apps maliciosas en Google Play

Pudiera ser que en ocasiones se trate de apps mal catalogadas por las casas de antivirus - no sería ni el primer falso positivo ni el último que veamos - . Estos falsos positivos son muy comunes, sobre todo en casos de firmas puntuales que hacen detección automática. En otras ocasiones, son discrepancias en cuanto a la peligrosidad. Una app con mucha publicidad o que captura mucha información del dispositivo puede ser catalogada como adware, a pesar de que Google opine lo contrario. Algunos de ellos han firmado en el pasado la app de Google Play, YouTube o Google Chrome para Android.

Figura 2: Apps en Google Play activas marcadas por 2 o más motores AV

Dicho esto, nosotros en Tacyt tenemos la posibilidad de buscar no solo por las cadenas de las firmas de los AntiVirus, sino además también por el número de motores AV que detectan una determinada app como maliciosa. Esto nos permite focalizarnos en apps que sean detectadas por muchos motores AV, evitando así al máximo posible perder tiempo con falsos positivos.

Figura 3: Más de 9.000 aps marcadas por 5 o más motores AV

Lo que llama la atención es cuántas apps, activas actualmente en Google Play, están detectadas como maliciosas por 3, por 5, por 10 y hasta por 30 motores de AV. Está claro que no es una métrica para nada 100% fiable, pero sí que llama la atención la gran discrepancia que hay entre Google y las casas de seguridad. 

Figura 4: Más de 2.800 apps marcadas por 10 o más motores AV activas en Google Play

Como nota destacable para los amantes de los Records Guiness, la app llamada M-City (Avatar for Malaysia) que está activa en Google Play y es detectada por 30 motores de Antivirus, tal y como podéis ver directamente en Virus Total. Os he hecho un pequeño vídeo para que veáis los resultados directamente salidos de Tacyt.


Figura 5: Vídeo de funcionamiento de Tacyt buscando apps marcadas por antivirus en Google Play

¿Tendría Google Play que hacer un poco más de caso a las casas de Antivirus? ¿Lleva Google razón? ¿Son los mecanismos de colaboración entre las casas de seguridad y Google lo suficientemente ágiles para acabar con las apps maliciosas? Ahí os dejo las preguntas...

Saludos Malignos!

5 comentarios:

Ivan de la Jara dijo...

Todos sabemos que las casas de antivirus son unas mafias... TODAS. Normal que no les haga ni caso... Cuantos mas positivos da la gente se cree que funcionan mejor y ya de paso nos cargamos a quien nos cae mal, a quien no nos paga no como la mierda de itunes que si lo hace y por eso no salta... o norton... Y mientras tanto sigue sonando la musica del circo de los virus... Lo que hace falta son mejores servicios de a la hora de otorgar permisos de seguridad y hacer irrelevantes a los antivirus. A fin de cuentas hacen un decretazo y le cuelan un backdoor al sistema quedandose tan panchos..

Pablo Marino dijo...

Es cierto que los antivirus dan falsos positivos aveces y que tienen su negocio y que no son totalmente infalibles, pero coincido con Chema que llama la atención la cantidad de discrepancias. Eso me hace pensar que debemos ser muy cuidadosos con las app que bajamos y fijarnos bien que permisos solicitan...si son permisos que nos hacen desconfiar hay que cancelar sin dudar. Tambien concidero que existen algunas empresas comprometidas con la seguridad...no hay que meter a todas en la misma bolsa. Gracias por la info Chema.

Anónimo dijo...

Me gustó mucho la conferencia de Sergio de los Santos sobre el malware en Google Play y Android que publicastes en tu blog en el mes de mayo.

http://www.elladodelmal.com/2015/05/conferencia-sobre-el-malware-en-android.html?m=1

Gracias por tu dedicación y por explicar día a día el entorno que nos rodea

Cuídate Chema

Servando Pestano dijo...

En respuesta a las preguntas del último párrafo: Sí, Google debería hacerles más caso; De 30 motores y Google, Google solo tiene el 1/31 de razón; No son lo suficientemente ágiles, de ahí los problemas.

Servando Pestano dijo...

En respuesta a las preguntas del último párrafo: Sí, Google debería hacerles más caso; De 30 motores y Google, Google solo tiene el 1/31 de razón; No son lo suficientemente ágiles, de ahí los problemas.

Entrada destacada

Navaja Negra: La CON de Albacete el 29 de Septiembre @navajanegra_ab @elevenpaths @0xWord

Es la sexta edición de esta CON que comenzó hace ya más de un lustro en la ciudad de Albacete , reúne el próximo 29 de Septiembre a una b...

Entradas populares