Les chercheurs d’AV-Comparatives ont étudié 250 applications de sécurité populaires du catalogue officiel de Google Play et ont abouti à des conclusions décevantes: près des deux tiers des antivirus Android ne remplissent pas les fonctions énoncées dans leurs publicités. Pire encore, de telles applications appellent parfois elles-mêmes Malwares, ne «voient» pas de véritables menaces et ne font en réalité rien d’utile.
Les tests ont été réalisés de manière très simple: les experts ont installé des antivirus sur des périphériques distincts sur lesquels le navigateur ouvrait et téléchargeait automatiquement des applications malveillantes. Cela a été fait 2 000 fois avec chaque application, en utilisant 2 000 images différentes du «populaire» Malware trouvé l’an dernier. Dans ce cas, le mot “détecté” implique que les solutions antivirus auraient dû être au courant de ces malwares. Hélas, en réalité, tout s’est avéré complètement différent.
Seules 80 applications sur 250 étudiées ont été en mesure de reconnaître au moins 30% des menaces sans faux positifs. Autrement dit, les 170 autres applications “ont inondé le test”. Je dois dire que seules 23 applications sur 250 ont détecté 100% des menaces, essentiellement des solutions de développeurs de logiciels antivirus renommés, notamment Avast, Bitdefender, ESET, F-Secure, G-Data, Kaspersky Lab, McAfee, Sophos, Symantec. , Tencent, Trend Micro et Trustwave.
Les chercheurs écrivent que de nombreux antivirus n’analysent pas du tout les applications téléchargées et installées par l’utilisateur, mais ne vérifient que les listes blanches et noires, en vérifiant uniquement les noms de package, pas leur code. Par conséquent, de nombreuses applications sont marquées comme malveillantes par défaut, simplement parce qu’elles ne figurent pas dans la liste appropriée. Pour cette raison, il arrive parfois que des situations amusantes se produisent, par exemple, de tels «antivirus» peuvent être considérés comme malveillants même si leurs auteurs ont oublié d’ajouter le nom de leur propre produit à la liste blanche. D’autres solutions, au contraire, considèrent que les applications dont le nom commence par «com.adobe. *» Sont inoffensives. Autrement dit, tout logiciel malveillant dont com.adobe est le nom contournera les restrictions.
Les experts d’AV-Comparatives écrivent que le fait que nombre de ces applications antivirus ne soient pas développées par des spécialistes de l’IB est alarmant: elles ont été créées par des amateurs ou par des entreprises dont l’activité principale est extrêmement éloignée de la sécurité de l’information (par exemple, les développeurs de jeux). “La dernière catégorie est représentée par les développeurs qui créent des applications de tout type dans un but de monétisation et de publicité, ou qui souhaitent avoir une solution de sécurité pour Android dans leur portefeuille”, expliquent des experts.
Pire encore, beaucoup de solutions défensives semblent avoir appartenu aux mêmes «pipelines»: des dizaines d’applications ont une interface presque identique et leurs créateurs sont évidemment plus intéressés par la diffusion d’annonces que par l’écriture d’un scanner Malware en état de marche.
Il est peu probable que les résultats de l’étude AV-Comparatives surprendront ceux qui observent la situation dans le domaine des solutions antivirus pour Android. Par exemple, au printemps dernier, les spécialistes ESET ont découvert 35 applications publicitaires sur Google Play, également déguisées en antivirus et téléchargées plus de 7 000 000 de fois. Les analystes d’ESET ont appelé de tels «nuls» Malware, n’imitant que le travail de ce logiciel de protection.