Антивирусы для Android

s

Архитектура движка сканирования: системные вызовы vs. пользовательское пространство

Современные антивирусные решения для Android базируются на двух принципиально разных архитектурах сканирования. Первая — классическая, работающая исключительно в userspace через API AccessibilityService или Storage Access Framework. Производительность таких решений ограничена пропускной способностью FUSE-прослойки — не более 45–60 МБ/сек при последовательном чтении на NVMe-накопителях. Вторая, более прогрессивная архитектура использует перехват системных вызовов (syscall hooking) на уровне ядра Linux через модуль kernel same-page merging (KSM) или eBPF. Реализация на eBPF (например, в движке Kaspersky Endpoint Security 12.5) снижает накладные расходы на ввод-вывод до 3–5% против 15–20% у userspace-аналогов. Однако для работы такого движка требуется ядро не ниже 5.10 (Android 13+) и поддержка BPF Type Format (BTF).

Спецификации эвристического анализа и машинного обучения

Современные продукты (Bitdefender Mobile Security 2026, ESET Mobile 9.0) используют гибридные модели: статический анализ на основе графов потока управления (CFG) с разрешением 1:1000 и динамический — через эмуляцию Dalvik/ART в изолированном sandbox (QEMU-пользовательский режим). Ключевое отличие от десктопных антивирусов — обязательная поддержка dex2oat и обфускации через ProGuard/DexGuard. Минимальные требования к ОЗУ для работы полноценного ML-детектора — 2 ГБ; на устройствах с 1.5 ГБ и менее движок автоматически переключается в режим сигнатурного поиска по хешам SHA-256 с базой объёмом 12 млн записей. Качество детекции malware семейства BankBot и XHelper при использовании ML-моделей на свёрточных сетях (CNN с 32 слоями) достигает 99.2% против 91.4% у сигнатурных аналогов.

Аппаратные требования и совместимость с чипсетами

Поддержка ARMv8.2-A с инструкциями Dot Product (UDOT) является обязательной для аппаратного ускорения нейросетевых вычислений на GPU (Mali-G78, Adreno 660 и новее). Продукты, сертифицированные по стандарту Google Play Protect (версия 4.8+), используют Hardware-backed Keystore для шифрования сигнатурной базы. Отсутствие аппаратного сопроцессора Titan M2 (Pixel 6–8) или SE for TEE (Samsung Knox 3.9) приводит к снижению скорости инспекции установленных пакетов на 30–40% из-за необходимости программной эмуляции. Тесты на эталонном устройстве с Snapdragon 8 Gen 3 (Xiaomi 14 Ultra) показывают, что полное сканирование 64 ГБ памяти занимает 4.2 секунды при использовании аппаратного акселератора против 18.7 секунд чисто программного метода.

Стандарты качества и сертификации

Соответствие требованиям AV-Comparatives Mobile Security Test (2026) подразумевает защиту от 100% образцов из коллекции предыдущих 12 месяцев при ложном срабатывании не чаще 0.02%. На уровне отраслевых стандартов — обязательное прохождение аудита ISO 27001:2022 и SOC 2 Type II для облачных модулей (облачные репутационные базы, анализ URL). Критическое отличие Android-антивирусов от iOS-решений — необходимость тестирования на фрагментации: не менее 5000 конфигураций (разные версии Android, vendor-модификации MIUI, One UI, ColorOS). Соблюдение спецификации MDFPP (Mobile Device Fundamentals Protection Profile) NIAP требует использования только проверенных криптографических библиотек (OpenSSL 3.2, BoringSSL) с ключами не менее 256 бит для хранения сигнатур.

Материалы и методы реализации защищённого хранилища

Критический компонент — база сигнатур, размещаемая в защищённой области. Новейшие решения (Trend Micro Mobile 2026, Norton 360 12.0) используют LUKS2-encrypted dm-crypt том с алгоритмом AES-256-XTS, монтируемый исключительно после верификации подписи apk через APK Signature Scheme v4. Это принципиально отличается от десктопных антивирусов, хранящих базы в открытом виде в ProgramData. Обновление сигнатур осуществляется по протоколу HTTPS с Certificate Pinning (CA: Let's Encrypt R10) через выделенные CDN-серверы с геораспределением (минимум 6 точек присутствия). Инкрементальные обновления занимают 0.2–1.5 МБ, полный набор — 85 МБ; для экономии трафика используется сжатие Brotli с уровнем 5.

Отличия от альтернативных платформ

Главное техническое отличие от антивирусов для iOS — наличие рантайм-сканирования установленных приложений через мониторинг файлового ввода-вывода (inotify + fanotify). На iOS, из-за sandbox-ограничений и запрета на межпроцессное взаимодействие в режиме реального времени, такие решения невозможны — поэтому iOS-антивирусы (Norton, Avira) работают исключительно как сканеры URL и VPN-фильтры на уровне Network Extension. Android-решения, сертифицированные по Google's Device Policy, также обязаны использовать Android Enterprise API для корпоративных профилей, что требует отдельного модуля для разделения контейнеров (Work Profile). В отличие от Windows, где широко применяются Filter Manager minifilters, Android-антивирусы начиная с 2024 года переходят на DexFile и PackageInstaller SSAID для сканирования apk до инсталляции.

Технология обновления и качество сборки

Процедура OTA-обновления модулей (не чаще 1 раза в 6 часов) реализована через Split APK с проверкой целостности по SHA-384. Сборка движка производится под NDK r27 с флагами -O3 -fvisibility=hidden, что минимизирует размер .so-файлов до 2.3–3.1 МБ. Контроль качества включает обязательную верификацию на Android Compatibility Test Suite (CTS) версии 15.0 — без прохождения CTS антивирус не может получить статус 'device admin'. Порог отбраковки в QA: не более 0.5% падений при сканировании 10 000 разнородных apk (тестовая выборка из Google Play Top 1000 + база AndroZoo).

Добавлено: 07.05.2026