Megan Ruthven, Ingeniero de Software en Android, explica que, con ayuda el equipo de desarrollo de software, Android tiene incorporada una escala métrica que le permite detectar cuando un teléfono está Muerto o es Inseguro (Dead or Insecure, también conocido por el acrónimo DOI) en base a qué tan frecuentemente ha respondido al llamado de verificación de aplicaciones. Si no responde en absoluto a la verificación de aplicaciones, entonces se lo considera muerto o inseguro y se procede a buscar malwares o posibles aplicaciones que estén interfiriendo en en la verificación corriente de aplicaciones.
Con la llegada de Android Marshmallow, el sistema Verify apps (Verificar aplicaciones) fue introducido con la intención de descubrir aplicaciones potencialmente maliciosas (Potentially Harmful Apps, también conocidas por el acrónimo PHAs). El sistema funciona emitiendo una petición de verificación de aplicaciones cada vez que una aplicación sea descargada. Con el tiempo, descubrieron que algunas aplicaciones no respondían al comando de Verify apps y que eso se debía a que o bien el usuario había cambiado de teléfono o bien algo más importante estaba sucediendo.
Si el dispositivo no responde al comando de Verify Apps es porque alguna otra aplicación está interfiriendo en esa comunicación. Se utilizan esos índices de respuesta para identificar también otras aplicaciones maliciosas. Cuando un teléfono responde y pasa la verificación de la aplicación descargada, se considera que ese teléfono está cubierto. Cuantas más veces una aplicación pasa la verficación (a ritmo de una verificación por dispositivo) esa es el índice de cobertura que tiene la aplicación y, por lo tanto, qué tan segura es para los demás dispositivos.
Cuando una aplicación tiene un índice de cobertura similar al de la mayoría de las aplicaciones, es considerada una aplicación segura. Por el contrario, si la aplicación tiene un índice menor, es inmediatamente recategorizada como PHA y se la borra de la Play Store. Este mismo sistema fue el que acabó con los malware Hummingbad, Ghost Push y Googligan que habían, antaño, afectado a tantos dispositivos.
Fuente: Google