AV-Comparatives otestoval 250 antivirů z Google Play

Server AV-Comparatives otestoval 250 antivirů, které lze stáhnout na Google Play a používat na chytrých telefonech se systémem Android. Výsledek? V řadě případů to jsou podvodné programy, které si na antiviry jen hrají.

To, že si autoři těchto děl vybrali zrovna systém Android, není náhodný. Při porovnání s Microsoft Windows je Google Android stále mladá záležitost. Navíc díky fungování systému Android je vývoj bezpečnostních řešení jednodušší. Výrobci nemusí řešit tak velký technologický deficit a dohánět velkou časovou ztrátu jako velcí hráči, nebo ti, kteří na trh vstoupili již před lety. Ani havěť nemá za sebou tak dlouhou historii jako na platformě Microsoft Windows a k zajištění zpětné detekce není nutné věnovat tolik času.

Z 250 antivirů jich jen 80 dokázalo detekovat přes 30% havěti a to bez falešných poplachů. Mezi těmi 80 antiviry lze najít spoustu podprůměrných, ale alespoň mají nějakou "snahu" (23 z nich dosahovalo 100% detekce). Nicméně onen zbytek, tedy 170 údajných antivirů, to byl jasný odpad. Typickým chováním takových "antivirů" byl zvýšený výskyt falešných poplachů, kdy označují legitimní aplikace za zavirované a neustále tak obtěžují uživatele. Navíc kvalita detekce byla u těchto 170 kousků pod 30%. Těchto 170 "antivirů" tak můžeme v klidu zařadit do kategorie podvodných/fake antivirů či do kategorie PUA (potentially unwanted applications).

Další zajímavosti:

• Hodnocení antivirů na Google Play nevypovídá o jejich kvalitně. Většina z testovaných 250 produktů měla 4 hvězd z 5 nebo více. Bohužel toto může platit všeobecně pro jakoukoliv aplikaci na Google Play :-/ Podobná je situace s počtem stažení.
• 15 antivirů z těch 80 používalo shodný antivirový "motor" OpenAVL a všechny tak skončily na 87,8% kvality detekce.
• Hodně antivirů běželo i na známém "motoru" BitDefender. Celkem 7. Některým to stačilo na 100% detekci, některým ne.
• Mezi těmi nejhoršími 170 kousky bylo evidentní, že často vycházejí ze společného základu, pouze se prezentují v jiných barvách či s jinými texty.
• Některé z nejhorších "antivirů" pracovaly pouze na principu whitelistu a vše ostatní považovaly za škodlivé. Whitelist byl přitom postaven na názvech balíčků. Takže například všechny názvy balíčků začínající na com.twitter.* byly považovány za čisté, ač pro útočníka není problém pod com.twitter.* vystavit vlastní škodlivý kód. Některé z těchto "antivirů" pak na whitelist zapomněly přidat samy sebe, takže samy sebe označovaly za havěť!
• O podvodných antivirech informoval v minulosti například článek na We Live Security. Perličkou bylo, že když už něco podvodný antivirus opravdu regulérně detekoval jako nebezpečnou aplikaci, tak to byl konkurenční podvodný antivirus.