Detectar aplicaciones maliciosas antes de que se ofrezcan para su descarga y a su vez eliminarlas es un reto difícil para cada distribuidor de aplicaciones de Android, incluyendo Google Play, pero una investigación reciente de un grupo de científicos de varias universidades de Estados Unidos y de China ofrece una considerable mejora para esta tarea.

La técnica MassVet sirve para crear una investigación de antecedentes de las aplicaciones a gran escala y no se basa en el comportamiento de la aplicación.

"A diferencia de los mecanismos de detección existentes, que a menudo utilizan técnicas avanzadas para el análisis, nuestro enfoque simplemente compara una aplicación nueva con todas aquellas que están en el mercado, centrándose en la diferencia entre los que comparten una interfaz de usuario similar (lo que resaltaría un posible reempaquetado de la app) y el común entre las aparentemente sin relación. Una vez que las bibliotecas públicas y demás código legítimo que se repite es eliminado, tales componentes que hacen la diferencia entre programas se vuelve muy sospechoso", explicaron en una publicación.

Los investigadores indican que su técnica MassVet puede analizar una aplicación en menos de 10 segundos, y que además, los falsos positivos son pocos.

El mecanismo también es particularmente eficaz en la detección de aplicaciones- -maliciosas que fueron nuevamente empaquetadas, pues así es la mayoría del malware para Android. Además, al parecer tambien es adecuado para la detección de malware de día cero (usando esta técnica se encontraron más de 20).

La prueba se realizó en más de 1.2 millones de aplicaciones de 33 distribuidores de aplicaciones de todo el mundo, incluyendo a Google Play y Amazon Appstore. Se revelaron más de 127,429 aplicaciones catalogadas como malware.

"Nuestro sistema ha capturado decenas de miles de muestras de malware, incluyendo aquellas que pasaron bajo del radar de la mayoría de todos los analizadores existentes, con esto logramos la cobertura de detección más alta de todos los escáneres de malware populares dentro de VirusTotal y así se lograron vetar nuevas aplicaciones en un rango de diez segundos", señalaron. "Algunas piezas de malware se han instalado millones de veces y 5,000 muestras de malware se han instalado más de 10,000 veces cada una, lo que afecta a cientos de millones de dispositivos móviles."

Su investigación no sólo mostró los mecanismos que los creadores de malware utilizan para ocultar y distribuir sus aplicaicones maliciosas, sino también los errores que Google comete cuando prohibe una aplicación y cuando comprueba las aplicaciones antiguas en Google Play: cierra las puertas al desarrollador pero no a la aplicación, no prohibe la misma aplicación con un nombre diferente, no prohibe la misma aplicación (el mismo MD5 y mismo nombre) inmediatamente después de subirla de nuevo.

Al finalizar la investigación, de las 127,429 aplicaciones maliciosas que se encontraron, 30,552 estaban en Google Play.