Při neopatrnosti mohou uživatelé snadno do svého přístroje se systémem Android zavléci nějaký škodlivý software čili malware (viry, červy, trojské koně apod.). Starší verze obsahují navíc i slabiny, které umožňují proniknout takovému kódu do systému i bez vědomí uživatele – hlavní z těchto děr byly odstraněny ve verzi 4.1. Do Androidu 4.2 firma Google připravila technologii (application verification service), která by měla škodlivý kód odhalovat.
Xuxian Jiang, docent ze Státní univerzity v Severní Karolině (NCSU), se svými kolegy tuto technologii otestoval a výsledky jsou poměrně šokující. Z otestovaných vzorků (nasbíraných v rámci projektu Android Malware Genome Project; celkem 1260 vzorků ze 49 skupin) jich bylo detekováno jen zhruba 15 %. Ještě zajímavější je to v porovnání s deseti antivirovými programy – v tomto testu byl z každé skupiny malwaru náhodně vybrán jeden vzorek. Dva z antivirů detekovaly všechny vzorky, dalších pět překročilo 90 %, dva detekovaly přes 70 % a jeden přes 50 %. Technologie firmy Google zde měla účinnost pouhých 20 %.
Autoři testu se velmi podivují, že Google nevyužívá svoji službu VirusTotal (která umožňuje prověřovat programy ve výše uvedených antivirových programech a byla právě použita pro test účinnosti těchto programů) a místo toho implementuje samostatné, neúčinné řešení.
