Може здатися, що Android уникнув масових епідемій вірусів, як на Windows. Однак це лише самообман, бо навіть десятки мільйонів заражених смартфонів виявляться непомітними на фоні загальної кількості в мільярд девайсів. Android також ставав жертвою масових епідемій, і одну з найбільших породив додаток Chamois. Ось як Google вдалося приборкати спалах.
У березні 2017 року команда безпеки Android завершила успішну нейтралізацію витонченого ботнета, який використовував заражені додатки для шахрайського показу реклами та відправки SMS. Сімейство шкідливого програмного забезпечення вперше помітили у 2016 році, і воно поширювалося через магазини додатків, з Google Play включно.
Команда безпеки Android активно видаляла виявлені додатки з Chaimos і начебто перемогла. Однак вісім місяців потому, у листопаді 2017 року, Chamois проявив себе значно агресивніше. До березня 2018 року він заразив 20,8 млн гаджетів. Сьогодні його не знищено, але епідемію вдалося майже приборкати – заражено менше 2 млн пристроїв.
Інженер з безпеки Android Медді Стоун розповіла, що автори змінювали Chamois на їхніх очах. «Через 72 години після моєї публікації вони почали змінювати байти та інші індикатори, про які я згадала, – каже вона. – Ми бачили, як вони маніпулюють кодом. Розробники Chamois скопіювали наше середовщие аналізу безпеки Android та створили захист від деяких використаних нами рішень».
Пік зараження Chaimos прийшовся на березень 2018 року, і команда безпеки Android зрозуміла, що не впорається самостійно. Експерти попрохали допомоги в інших підрозділів Google, зокрема, спеціалістів з рекламної безпеки, програмних інженерів тощо.
Перші варіанти Chamois, які виявили у 2016 та 2017 роках, мали чотири етапи маскування. Версія 2018 року мала вже шість стадій, які були направлені на уникнення викриття антивірусами та інструментами аналізу програмного коду. Шкідливе програмне забезпечення могло виявляти, що його запустили в тестовому середовищі, і намагалося максимально приховати свою шкідливу суть. Цікаво, що Chamois повністю деактивується, коли визначає, що його запустили в Китаї.
Як і більшість ботнетів сучасності, Chamois отримує віддалені команди з центрального сервера. Це дозволяє мільйонам заражених гаджетів «танцювати під дудку» одного керівника і злагоджено виконувати поставлені ним задачі. Усі версії Chamois фокусувалися на показі шкідливої реклами та розсиланні платних SMS. І якщо про відправлення SMS користувач дізнавався відразу, як порожнів його мобільний рахунок, показ реклами міг продовжуватися роками.
«Chamois є добре створеним програмним кодом. Знімаю перед ними капелюха, – каже Стоун. – Але також страшно, що шкідливе програмне забезпечення стало таким».
Хоча масштабну епідемію Chaimos вдалося стримати, а один-два мільйони заражених пристроїв в масштабах Android є непомітною цифрою, це програмне забезпечення продовжує розвиватися. З березня 2018 року дослідники виявили 14 тисяч нових зразків цього шкідника. «Вони не зупиняються та не сповільнюються. Ми лише намагаємося обіграти їх та затримати, – говорить Стоун. – Вони досі намагаються стати масовими, але ми зараз у фазі контролю».
