Společnost Damballa minulý týden v rámci RSA Conference přišla s výsledky rozsáhlého výzkumu, podle nějž je mobilní malware silně přehypovanou záležitostí, kterou lze plně srovnat s Ebolou. Hodně se o ní mluví, všichni se jí bojí, určité riziko skutečně představuje, ale pravděpodobnost nákazy je extrémně nízká.

Damballa monitoruje zhruba 50 % mobilní komunikace v USA a svá slova podkládá statistickými daty. Vychází z předpokladu, že malware, tedy skutečně škodlivý software, zpravidla komunikuje s doménami, které jsou na black-listech. Zjistila, že ve čtvrtém kvartálu loňského roku se pouze 9688 ze 151 milionů aktivních mobilních zařízení pokoušelo kontaktovat některou z těchto domén. Mluvíme tedy o 0,0064 % malwarem stižených zařízení. Podle statistických dat americké The National Weather Services je pravděpodobnější (0,01 %), že zařízení odejde zásahem blesku.

Zcela opačnou zprávu připravil Symantec. Podle jeho slov je každá šestá aplikace pro Android (17 %, zhruba 1 milion) stižena škodlivým software. Své závěry společnost staví na vlastní analýze jednotlivých aplikací. Navíc ještě operuje termíny grayware a madware, pod něž řadí aplikace jakkoli sledující činnost uživatele (bez zjevných negativních dopadů) a aplikace zobrazující reklamu. Těch je (obou dohromady) dalších 36 %.

Pro tak velký rozpor mezi závěry dvou známých společností je třeba hledat vysvětlení. Nabízí se hned dvě. Symantec sice spočítal, že nemalé procento aplikací s sebou nese škodlivý software, ale nezohledňuje, jak jsou právě tyto škodlivé aplikace mezi uživateli rozšířené. Podle Dambally je jejich zastoupení v aktivních systémech poměrně nízké. To souvisí i s faktem, že jen malé procento (Symantec nebyl přesnější) skutečně škodlivých aplikací se vyskytuje na ověřených platformách jako Google Store, který preferuje většina uživatelů. Také lze předpokládat, že Symantec, který ochrana před škodlivým softwarem živí, bude mít zřejmě dělící čáru mezi tím, co ještě považuje za neškodné a co je již škodlivé, nastavenou trochu jinde než Damballa, která monitoruje pouze reálně uskutečněnou komunikaci (nebo pokusy o ni) mezi nakaženým zařízením a příslušným serverem.