Why Does Google Think My App Is Harmful? — выступление Алека Гертина (Alec Guertin) на Android Dev Summit’19, посвященное облачному антивирусу Google Play Protect.
Еще по теме: Как вирусы попадают в Google Play Market?
В своей работе Google Play Protect полагается на свыше чем 30 тысяч серверов, которые проводят статический анализ и постоянно запускают в эмуляторах и на реальных устройствах приложения, опубликованные в Google Play и за его пределами. Система обращает внимание на следующее поведение приложений:
- к каким URL обращается приложение, нет ли их в базе фишинговых URL;
- какие файлы записывает приложение и нет ли среди них файлов, которые не должны перезаписываться;
- не использует ли приложение известные методы получения прав root (имеются в виду эксплоиты, а не приложения для уже рутованных устройств);
- не слишком ли это приложение похоже на известное зловредное приложение (совпадение в 97%).
Отдельно автор доклада остановился на том, как рядовому разработчику не попасть под подозрение. Google Play Protect может посчитать твое приложение не вызывающим доверия в следующих случаях:
- неполное раскрытие информации о поведении приложения, например уведомить о сборе информации уже после ее сбора или не оговаривая, какие конкретно данные будут отправлены на сервер разработчика;
- использование сторонних SDK со зловредной функциональностью;
- альтернативные методы монетизации вроде майнинга крипты, а также неразглашение цены или автоматические платежи без согласия;
- неполное исправление уязвимостей, о которых сообщает консоль разработчика;
- неожиданное поведение приложения, например показ рекламы, которого, судя по коду, быть не должно.