“Play Protect”, el antivirus de Google para Android, es el peor. Quizá deba de ser así por ahora

ElevenPaths    30 octubre, 2017
AV-Test, el test de antivirus más “objetivo” conocido para comparar el rendimiento de los “tecnologías anteriormente conocidas como antivirus”, ha incorporado a “Play Protect” por primera vez en la lista de sistemas de protección para Android. Y ha resultado que es el peor, de lejos. El chiste fácil y los titulares están servidos… O no.

Google, en el medio, es la que peor rinde en protección. Solo está a la altura en usabilidad.


Como se puede ver en los resultados, el rendimiento está muy lejos de la media. Un resultado muy embarazoso. Pero, ¿qué es Play Protect y cuál es su historia? ¿Se es totalmente honesto si nos fijamos solo en el porcentaje de detección? Quizás con algo más de contexto se entienda.

Muy por debajo de la media

Partamos de la base de que las comparativas de este tipo, en concreto de av-test.org, aunque rigurosas y muy valiosas, no son siempre justas al 100%. Ni nunca lo serán. En la industria lo saben, pero nadie aporta una fórmula estándar en la que todo el mundo quede satisfecho así que es lo mejor de lo que disponemos. Podríamos discutir si las 5000 muestras usadas para el test son suficientes. O si el conjunto de malware de “referencia” (que se supone debe ser detectado por todos al 100%) está bien escogido, o si el conjunto de “real world” que av-test.org considera como válido es el mismo mundo en el que vive Google o cualquier usuario. O por qué valorar el acceso a URLs con Play Protect cuando es una funcionalidad de la que carece. O por qué en el mundo Windows, casi todos alcanzan en av-test por igual el 99% de protección cuando en la vida real esto está lejos de ser cierto… Pero sería otra discusión. 

Qué es Play Protect
 
Es la evolución de “Verify Apps”. Esta tecnología lleva funcionando desde más de 5 años en Android, con relativamente poca visibilidad. Se trata de un “proto antivirus” que detenía las instalaciones que eran consideradas sospechosas por Google. Pero Google no es una compañía antivirus. Si ahora Play Protect gana visibilidad (ya aparece públicamente en cada descarga desde el Store) es porque los atacantes se están cebando con Android y por más que se esfuerza en limpiar su imagen, no lo consigue. Renombrar y dar brillo a Verify Apps entendemos que pretende calmar los ánimos. 

Impresión de pantalla Verify Apss
Así bloqueaba antes Verify Apps las apps maliciosas

 ¿Es tan malo?

“Proto antivirus” significa que Play Protect elimina lo que Google considera malicioso y normalmente llega a Google Play. Aquí está el gran truco por el que, más que posiblemente, su rendimiento en cuanto a detección no pueda ser comparado siquiera con cualquier otro antivirus. En ElevenPaths hemos analizado a fondo este asunto en numerosas entradas y estudios. Simple y llanamente, lo que es malware para la mayoría, no lo es para Google. En concreto, Google ni siquiera utiliza la palabra malware sino PHA (Potentially Harmful Applications). Y con respecto al adware, su relación es muy diferente. Existen numerosas familias que cualquier motor detecta como adware, spyware o troyano mientras que Google la deja pasar sin problemas. Porque Google es una empresa que vive en buena parte de la publicidad, y su listón está a una altura muy diferente con respecto a lo que se puede considerar tolerable. Los atacantes han encontrado un nicho de mercado importante en Google Play, que sigue siendo “desprendido” en su carrera para ganar mercado de apps y no quiere ninguna fricción con los desarrolladores (les pone pocas pegas para subir apps). Existe todo un negocio en el que los difusores de adware crean cuentas a diario, lo que supone una inversión de 20 euros cada una. Las apps (y las cuentas) son retiradas entre 48 horas y una semana después de ser subidas. Dependiendo de su sutileza, a veces permanecen más tiempo. Cada instalación o clic posterior suelen ganar unos céntimos. Cuando más agresiva la publicidad, más le pagan por cada instalación. Recuperan la inversión en pocos días, con cierta facilidad, cientos o pocos miles de instalaciones. Y vuelven a empezar…

Esta puede ser una de las razones. Pero hay más. Play Protect es un producto más complejo de lo que pueda parecer. De hecho, de su informe de final de 2016, se advierten datos que no se publican normalmente, y que pasamos a resumir algunos de los más curiosos.

  • Play Protect no solo analiza las apps de Google Play sino que en el cliente realiza un análisis del sistema cada 6 días como mínimo. Si el dispositivo está considerado como peligroso, será más frecuente. Desde abril de 2016, si se bloquea o Play Protect deja de funcionar, el dispositivo se convierte en un DOI (Dead or Insecure). Esta tecnología aporta a Google una visión muy interesante. A través de sus APIs (como SafetyNet) pueden llegar a ordenar análisis más profundo en el sistema si se detecta algo muy sospechoso, buscando apps similares. ¿Cómo no disponer de una visión privilegiada del malware con esta base de dispositivos? La apuesta es que la realidad es diferente a los conjuntos usados en los test de av-test y la deformación profesional nos lleva a pensar que lo que procesa Play Protect está más cerca de realidad. Y eso es un punto positivo para Play Protect puesto que, si bien no cubre todo el espectro, es posible que cubra una parte muy oscura que el resto de la industria ni siquiera esté viendo. 
  • El 37% de las veces que una app intenta instalar otra, la descargada es considerada PHA (malware en la terminología Google). Desde septiembre de 2016 (cuando aún era Verify Apps) se bloquea por defecto toda instalación de app considerada PHA.
  • En 2016, solo el 0.02% de las instalaciones descargadas de Google Play fueron falsos negativos, o sea, no detectadas por Play Protect. Para instalaciones de fuera de Google Play, los números que se les escapan son mayores. La media es 2.6% en los primeros 90 días (primero el malware se cuela, y luego dentro de los tres primeros meses, se reconoce que era malware). 0.02% no es una mala tasa, pero en realidad deberían tener un bloqueo más estricto dentro de su propio Store. Fuera de Google Play, la tasa de falso negativo es normal, incluso alta.
  • Parece que, con algunas excepciones, la salud general de Google Play ha aumentado año tras año. Sin embargo, en el mismo informe del año pasado afirmaban (sin titulares) que las aplicaciones de fraude vía SMS habían aumentado un 282% y el fraude “de peaje” (toll fraud) en un 592% durante 2016. Lo que significa, respectivamente, 5 y 2 veces más fraude de SMS y aplicaciones de fraude de peaje en el market oficial. El fraude de peaje corresponde a cualquier otro medio (diferente de los SMS o llamadas premium) a través del cual un atacante podría estafar al usuario (tráfico WAP, etc.). 
  • La tasa de instalación de PHAs (equipos con malware) en España ha pasado del 15.04% en 2015 al 7.73% in 2016.

Estos son datos extraídos del informe de seguridad Android del año pasado. En la Virus Bulletin de 2017, celebrada en octubre en Madrid, Google presentó lo bueno que era Google contra el malware, y Play Protect en particular. Cifras muy elocuentes pero presentando solo la cara amable del informe del año pasado, con datos más actualizados. También presentaron algunos retos interesantes que se plantean para el año que viene.

Interesantes reflexiones finales en la Virus Bulletin por parte de Jason Woloz, responsable de Play Protect

 ¿Es tan bueno?

En su defensa también (además de su visión del “malware real”) hay que decir que sin duda, Play Protect puede ser el que más rápido prevenga ciertas detecciones. Cuando ocurre algún problema grave en Google Play, los fabricantes alertan a Google y además de retirar las apps peligrosas, despliegan firmas rápidamente. Pero no podemos dejar de tener ese regusto amargo. Se agradece la protección pero… les queda muchísimo trabajo por hacer. A veces nos preguntamos si están por la labor totalmente. Google sigue siendo un coladero de phishing, malware y adware (aunque esto como hemos dicho, es tolerado). Si hace años teníamos ejemplos cada semana de malware muy agresivo en Google Play, hace unos meses era el momento de los troyanos bancarios. Y aun hoy, 5 años después casi, seguimos viendo ejemplos de malware en Google Play. Incluso utilizando iconos muy parecidos entre aplicaciones. Aun a pesar de que patentó en 2014 un sistema para evitar el plagio entre apps.

Imagenn de búsqueda en Google Play
Esto era una búsqueda típica de 2014 en Google Play.
Las marcadas en rojo eran apps falsas haciéndose pasar por las reales y contenían adware o malware

Conclusiones

Android tiene un serio problema con el malware, es necesario y justo admitirlo. El hecho de que ciertos fabricantes hayan llegado a acuerdos con sistemas antivirus como Avast, para incrustar de serie en su distribución el antivirus, da que pensar. Normaliza la situación. Esto no es malo, sino un hecho. Lo malo es no combatirlo adecuadamente o usar la alfombra de los PHA para esconder el polvo del malware, y las listas comparativas para la mofa en vez de para mejorar la situación.

Imagen
Por ejemplo, Avast se integra con viertas versiones de Android 7 sin problema

Las comparaciones son odiosas. Pero además del av-test no podemos más que recordar que Play Protect nos recuerda mucho al “Defender” de Windows, incrustado en el sistema operativo desde 2008, aunque con versión “básica” (proto-antivirus) desde hace mucho más… (en forma de MSTF, Microsoft Software Removal Tool) con la que consiguieron una visibilidad imposible para otros antivirus, y que hace que hoy Defender sea muy eficaz para cierto tipo de amenazas. El antimalware de Windows hace su trabajo lo mejor posible, pero compararlo con otras soluciones antivirus no parece justo. No por calidad, sino por jugar en otras ligas. Cuando Windows decidió introducir tecnología antivirus en tiempo real de serie en sus sistemas operativos hubo cierta polémica. Pero la industria antivirus no acabó ahí. Microsoft se mantuvo como motor de respaldo, dejando hacer al resto de empresas dedicadas al 100% a la protección. El estatus quo se ha mantenido, y Defender (o Essentials, puesto que ha cambiado de nombre según el sistema operativo…) tiene su hueco en el mercado, donde conviven sin que se dude en exceso de su eficacia. Y a eso debe aspirar Play Protect. ¿Que sus números, aun así, deberían mejorar? Sin duda. ¿Que es necesario combinarlo con otro tipo de protección? También.

Sergio de los Santos
Innovación y Laboratorio
ssantos@11paths.com
@ssantosv

También te puede interesar:
» ¿Y si el ransomware fuese legal?

ElevenPaths
ElevenPaths

Somos la unidad global de ciberseguridad del Grupo Telefónica, creemos que es posible un mundo digital más seguro. Apoyamos a nuestros clientes en su transformación digital, creando innovación disruptiva, aportando la privacidad y la confianza necesaria en nuestra vida digital diaria.

Te puede interesar

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *