กูเกิลอธิบายเทคนิคการตรวจจับมัลแวร์บน Android ด้วยหลักการทางสถิติ ช่วยให้ค้นพบมัลแวร์ที่ไม่สามารถตรวจจับได้โดยตรง

ปกติแล้ว กูเกิลมีระบบที่เรียกว่า Verify Apps ที่ผูกกับบัญชีกูเกิลของผู้ใช้ ระบบนี้จะคอยตรวจสอบแอพที่ติดตั้งภายในเครื่องเป็นระยะ (แม้ไม่ได้ติดตั้งแอพผ่าน Google Play ก็ตรวจสอบได้) ถ้าตรวจพบมัลแวร์ก็จะแจ้งเตือนผู้ใช้ให้ถอนการติดตั้งออก

อย่างไรก็ตาม ผู้สร้างมัลแวร์อาจมีวิธีหลบเลี่ยงการตรวจสอบ Verify Apps (เช่น ฝังมัลแวร์ลงได้แล้วแอบปิดระบบ Verify Apps ทิ้ง) หรือผู้ใช้เลิกใช้งานอุปกรณ์เครื่องนั้นเพราะประสบการณ์ใช้งานแย่ กูเกิลจึงรับมือปัญหานี้ด้วยหลักทางสถิติแทน

หลักการคืออุปกรณ์ที่ถูกปิดระบบหรือไม่ถูกเช็คกับ Verify Apps จะถูกเรียกว่า Dead or Insecure (DOI) กูเกิลจะตรวจสอบว่าแอพตัวไหนมีความสัมพันธ์กับอัตรา DOI บ้างจากสถิติของตัวเอง ถ้าหากพบว่าแอพตัวใดตัวหนึ่งมีสัดส่วนอุปกรณ์ DOI สูงผิดปกติ กูเกิลจะถือว่าแอพตัวนั้นมีความเสี่ยงสูงและเข้าไปตรวจสอบอย่างละเอียดอีกครั้ง

กูเกิลบอกว่าเทคนิคการคิดคะแนน DOI ช่วยให้กูเกิลค้นพบมัลแวร์ได้เป็นจำนวนมาก ที่ระบุชื่อคือมัลแวร์ 3 ตระกูล ได้แก่ Hummingbad, Ghost Push, Gooligan ครอบคลุมแอพถึง 25,000 ตัว

ที่มา - Android Developers Blog