@JoeZi Jeder Dienst, jeder Prozess oder jede Aktivität bei Android basiert auf einer App und deren APK (Installationsdatei). Die APK enthält vorkompilierten (Java-)Code, der bei Installation der App in einen für Android, bzw. für die Dalvik-VM, les- und ausführbaren Code umgewandelt wird (*.odex, *.vdex Dateien / DEX = Dalvik Executable). Das ist nötig, um eine App direkt starten zu können und nicht jedesmal erst bei Gebrauch kompilieren zu müssen.
So viel kurz zur grundsätzlichen Funktionsweise.
Viren und andere Schadsoftware bei Android sind nur Codes, die ausgeführt werden und zwar so, wie oben beschrieben. Kurzum:
Du musst also eine solche App installieren. Ohne dein aktives zutun kann bei Android aufgrund der Sicherheitsmechanismen keine App von selbst installiert werden. Du musst also eine Datei mit der Endung
.apk auswählen, öffnen und installieren. Nichts anderes machst du z.B. auch im Play Store, wenn du eine neue App installieren willst - nur eben über das UI des Play Stores.
Der Ansatz bei Antiviren (AV) Apps oder Play Protect ist der, dass APKs schon vor der Installation als schädlich enttarnt werden.
Denn anhand der APK kann ganz leicht der Paketname einer App ermittelt werden, der einmalig ist. Der Paketname hat nicht unbedingt etwas mit dem angezeigten Namen der App zu tun und ist eher nur systemrelevant. Ist ein Paketname bereits als schädlich eingestuft worden und somit als Schadsoftware bekannt, wird dich Play Protect oder deine AV App sofort nach Speicherung der APK warnen, noch bevor du sie installieren willst.
Das war es aber auch schon, denn mehr ist technisch nicht umsetzbar.
Eine APK und deren Code kann nicht dekompiliert werden, sodass der Quellcode als Java wieder lesbar vorliegt. Hier wird der Unterschied zwischen "Closed" und "Open" Source deutlich. Bei Closed Source gibt es lediglich die APK.
Bei Open Source stellt der Entwickler den nicht zu dekompilierenden Quellcode öffentlich (meist bei github.com) bereit und er kann "gelesen" werden. Diese Open Source-Mentalität ist immer auch gleichzeitig ein Sicherheitsmerkmal, dass alternative App Stores wie bspw. F-Droid so beliebt macht. Auch in der Modding-Szene rund um das Thema Root und entsperrte Geräte wird darauf großen Wert gelegt, v.a. bei Custom ROMs.
Bei forum.xda-developers.com gilt der Grundsatz: Ohne Quellcode, keine Veröffentlichung. Neben rechtlichen Gründen (Linux GPL und ähnliches) steht hierbei die Sicherheit im Vordergrund.
Viele User sind im Glauben, eine AV App würde andere Apps auf deinem Gerät Codezeile für Codezeile auseinander nehmen und auf Herz und Nieren prüfen. Das stimmt leider nicht. Schadsoftware muss schon bereits vorher erkannt und vermerkt worden sein, damit Play Protect oder eine AV App eine Warnung ausgibt.
Zusammenfassend kann man sagen: Play Protect bietet ganz genau den Schutz, den dir auch AV Apps versprechen. Nur ohne den ganzen Müll, den AV Apps für einen Aufpreis oder kostenlos zusätzlich anbieten. ALLE Extras einer AV App wie RAM-Booster oder sicheres surfen etc. sind entweder sinnlos oder auch ohne die AV App zu haben.
Aber ganz wichtig ist immer: Installiere nicht jeden Müll, den du irgendwo im Netz findest! Auch bekannte APKs mit bekannten Paketnamen können Schadsoftware beinhalten. Das nennt man dann "modded" APKs. Diese erkennt man leicht an einer veränderten Signatur, die online für jede APK ermittelt und mit der originalen verglichen werden kann. Diese Signatur verhält sich wie eine Prüfsumme, die bei der Änderung eines einzigen Byte eine völlig andere ist.
Ganz leicht auch daran zu erkennen, dass der Play Store diese App nicht wahrnimmt und sie keine Updates darüber erhalten kann. Denn der Play Store arbeitet ebenso mit den Signaturen.
