Понедельник, 25 ноября, 2024

Как Android победил одну из самых больших эпидемий

Может показаться, что Android избежал массовых эпидемий вирусов, как на Windows. Однако это лишь самообман, ибо даже десятки миллионов зараженных смартфонов окажутся незаметными на фоне общего количества в миллиард девайсов. Android также становился жертвой массовых эпидемий, и одну из крупнейших породило приложение Chamois. Вот как Google удалось обуздать вспышку.

В марте 2017 года команда безопасности Android завершила успешную нейтрализацию изящного ботнета, который использовал зараженные приложения для мошеннического показа рекламы и отправки SMS. Семейство вредоносного программного обеспечения впервые заметили в 2016 году, и оно распространялось через магазины приложений, включая Google Play.

Команда безопасности Android активно удаляла обнаруженные приложения с Chaimos и вроде победила. Однако восемь месяцев спустя, в ноябре 2017 года, Chamois проявил себя значительно агрессивнее. До марта 2018 года он заразил 20,8 млн гаджетов. Сегодня он не уничтожен, но эпидемию удалось почти обуздать – заражено менее 2 млн устройств.

Инженер по безопасности Android Мэдди Стоун рассказала, что авторы меняли Chamois на их глазах. «Через 72 часа после моей публикации они начали менять байты и другие индикаторы, о которых я вспомнила, – говорит она. – Мы видели, как они манипулируют кодом. Разработчики Chamois скопировали нашу среду анализа безопасности Android и создали защиту от некоторых использованных нами решений».

Пик заражения Chaimos пришелся на март 2018 года, и команда безопасности Android поняла, что не справится самостоятельно. Эксперты попросили помощи у других подразделений Google, включая специалистов из рекламной безопасности, программных инженеров и т.п.

Первые варианты Chamois, которые обнаружили в 2016 и 2017 годах, включали четыре этапа маскировки. Версия 2018 года имела уже шесть стадий, которые были направлены на избежание разоблачения антивирусами и инструментами анализа программного кода. Вредоносное программное обеспечение могло обнаруживать, что его запустили в тестовой среде, и пыталось максимально скрыть свою вредоносную суть. Интересно, что Chamois полностью деактивируется, когда определяет, что его запустили в Китае.

Как и большинство ботнетов современности, Chamois получает удаленные команды с центрального сервера. Это позволяет миллионам зараженных гаджетов «плясать под дудку» одного руководителя и слаженно выполнять поставленные им задачи. Все версии Chamois фокусировались на показе вредоносной рекламы и рассылке платных SMS. И если об отправке SMS пользователь узнавал сразу, как опустошался его мобильный счет, показ рекламы мог продолжаться годами.

«Chamois есть хорошо созданным программным кодом. Снимаю перед ними шляпу, – говорит Стоун. – Но также страшно, что вредоносное программное обеспечение стало таким».

Хотя масштабную эпидемию Chaimos удалось сдержать, а один-два миллиона зараженных устройств в масштабах Android является незаметной цифрой, это программное обеспечение продолжает развиваться. С марта 2018 года исследователи обнаружили 14 тысяч новых образцов этого вредителя. «Они не останавливаются и не замедляются. Мы лишь пытаемся обыграть их и задержать, – говорит Стоун. – Они до сих пор пытаются стать массовыми, но мы сейчас в фазе контроля».

Євген
Євген
Евгений пишет для TechToday с 2012 года. По образованию инженер,. Увлекается реставрацией старых автомобилей.

Vodafone

Залишайтеся з нами

10,052Фанитак
1,445Послідовникислідувати
105Абонентипідписуватися