Google недавно избавилась от очередного Android-зловреда в своем магазине: из открытого доступа изъят ряд вредоносных приложений, способных манипулировать рекламным трафиком, отправлять текстовые сообщения на премиум-номера и загружать дополнительные плагины.

В понедельник в блоге компании появился рассказ о том, как ее ИБ-службе удалось обнаружить потенциально опасное ПО, изгнать его с Google Play и обеспечить защиту пользователей. По свидетельству авторов блог-записи, зловреды семейства, нареченного Chamois («Серна»), всплыли в ходе плановых мероприятий по оценке качества рекламного трафика. Как оказалось, новое вредоносное семейство весьма обширно и распространяется по многим каналам.

В ходе тестирования Chamois демонстрировал изображения, маскирующие всплывающую рекламу: если жертва заинтересуется и начнет реагировать кликами, с ее устройства пойдет мошеннический трафик. Кроме того, этот зловред умеет накручивать рейтинг приложений, автоматически устанавливая их в фоновом режиме, отправлять платные SMS без ведома пользователя, загружать и запускать дополнительные плагины.

При этом пользователь, по словам Google, вряд ли заметит заражение, так как авторы Chamois позаботились о том, чтобы он не светился в списках установленных приложений. Новое adware также тщательно избегает обнаружения аналитическими средствами: использует обфускацию, специальное хранилище для зашифрованных конфигурационных файлов и дополнительных кодов, а также сложную схему заражения со сменой формата файлов.

Google Chamois multistage

«Этот многоэтапный процесс еще более затрудняет идентификацию приложений данного семейства как потенциально опасного ПО, так как, чтобы добраться до вредоносного фрагмента, нужно сначала снять все верхние слои», — пишут исследователи.

Истребить Chamois в итоге удалось с помощью Verify Apps, антивирусного сканера Google. Verify Apps мониторит состояние экосистемы Android, отслеживая и исследуя аномалии, уведомляет пользователей о загрузке подозрительного ПО и помогает деинсталлировать такие приложения. Он также способен обнаружить новую угрозу на устройствах с помощью поведенческого анализа.

О своей системе обнаружения и ранжирования потенциально опасных программ (DOI, Dead or Insecure) Google рассказала в начале текущего года. Android-приложения оцениваются в зависимости от их способности удержаться на устройстве — retention rate. Если этот параметр, степень удержания, превышает пороговое значение и другие ИБ-показатели говорят о возможности вредоносной активности, для программы устанавливается флаг. За последние десять месяцев Verify Apps помог обнаружить и изгнать ряд родственников Chamois, в том числе Ghost Push, Gooligan и HummingBad.

В блог-записи о Chamois сказано, что «многие приложения, загруженные Chamois, получили высокие баллы по системе DOI».

Количество заражений новым зловредом Google не указала. О HummingBad, например, известно, что за полтора года этот использующий руткит рекламщик успел обосноваться на 10 млн Android-устройств и приносит своим операторам $300 тыс. в месяц.

Категории: вредоносные программы, кибероборона

Leave A Comment

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

  *