Google zou de lokale app-scanmogelijkheden van Play Protect binnenkort kunnen verbeteren. Nu zou het systeem krachtiger en efficiënter zijn dankzij de implementatie van de YARA-tool. De verandering zou een nieuwe stap zijn in de gemengde malware-scanbenadering die vorig jaar door het bedrijf werd geïmplementeerd.
Play Protect, Play Services en Play Store zijn de belangrijkste tools van Google om uw Android-apparaat vrij te houden van malware. Play Protect werkt zowel op apps die u downloadt van de Play Store als op APK’s van externe bronnen. Voorheen gebruikte het bedrijf een cloudgebaseerde aanpak waarbij APK’s van externe bronnen naar Google moesten worden gestuurd voor analyse.
Sinds vorig jaar kan Google Play Protect echter onbekende APK’s lokaal scannen op malware. Op deze manier heeft de gigant uit Mountain View een gemengde malware-scanbenadering aangenomen in plaats van een volledig cloudgebaseerde. Nu kan de lokale malwarescan van Play Protect krachtiger worden dankzij de implementatie van YARA.
YARA zou de lokale APK-scanning van Google Play Protect verbeteren
YARA is niet bepaald een nieuwe tool, en wordt zelfs al lange tijd gebruikt in traditionele antivirusprogramma’s. YARA is een tool die malware kan detecteren door deze te classificeren in ‘families’. Het werkt door te zoeken naar code die veel voorkomt in een ‘familie’ van malware. Families worden ingesteld via ‘YARA-regels’ waarbij bestanden (in dit geval apps) voldoen aan bepaalde gemeenschappelijke kenmerken.
Deze aanpak voorkomt dat malware traditionele hash-gebaseerde scanning omzeilt. De laatste werkt door te zoeken naar een exacte hash-match, maar moderne malware kan zichzelf aanpassen om een nieuwe hash te genereren. Dus in principe zou lokale malware-scanning binnenkort efficiënter en effectiever moeten worden, met een grotere detectiecapaciteit. YARA-scanverwijzingen zijn beschikbaar in de nieuwste Play Store v41.7.16-update, zoals opgemerkt door Android Authority.
Het is opvallend dat lokaal scannen minder krachtig is dan cloudgebaseerd scannen. Mobiele apparaten hebben niet de hardwarebronnen die nodig zijn om alle scantools uit te voeren die Google op zijn krachtige servers uitvoert. Daarom hanteert het bedrijf een gemengde aanpak in plaats van alleen lokaal. De implementatie van YARA zal de lokale malware-analyse van Play Protect echter capabeler, krachtiger en autonomer maken.
