Может показаться, что Android избежал массовых эпидемий вирусов, как на Windows. Однако это лишь самообман, ибо даже десятки миллионов зараженных смартфонов окажутся незаметными на фоне общего количества в миллиард девайсов. Android также становился жертвой массовых эпидемий, и одну из крупнейших породило приложение Chamois. Вот как Google удалось обуздать вспышку.
В марте 2017 года команда безопасности Android завершила успешную нейтрализацию изящного ботнета, который использовал зараженные приложения для мошеннического показа рекламы и отправки SMS. Семейство вредоносного программного обеспечения впервые заметили в 2016 году, и оно распространялось через магазины приложений, включая Google Play.
Команда безопасности Android активно удаляла обнаруженные приложения с Chaimos и вроде победила. Однако восемь месяцев спустя, в ноябре 2017 года, Chamois проявил себя значительно агрессивнее. До марта 2018 года он заразил 20,8 млн гаджетов. Сегодня он не уничтожен, но эпидемию удалось почти обуздать – заражено менее 2 млн устройств.
Инженер по безопасности Android Мэдди Стоун рассказала, что авторы меняли Chamois на их глазах. «Через 72 часа после моей публикации они начали менять байты и другие индикаторы, о которых я вспомнила, – говорит она. – Мы видели, как они манипулируют кодом. Разработчики Chamois скопировали нашу среду анализа безопасности Android и создали защиту от некоторых использованных нами решений».
Пик заражения Chaimos пришелся на март 2018 года, и команда безопасности Android поняла, что не справится самостоятельно. Эксперты попросили помощи у других подразделений Google, включая специалистов из рекламной безопасности, программных инженеров и т.п.
Первые варианты Chamois, которые обнаружили в 2016 и 2017 годах, включали четыре этапа маскировки. Версия 2018 года имела уже шесть стадий, которые были направлены на избежание разоблачения антивирусами и инструментами анализа программного кода. Вредоносное программное обеспечение могло обнаруживать, что его запустили в тестовой среде, и пыталось максимально скрыть свою вредоносную суть. Интересно, что Chamois полностью деактивируется, когда определяет, что его запустили в Китае.
Как и большинство ботнетов современности, Chamois получает удаленные команды с центрального сервера. Это позволяет миллионам зараженных гаджетов «плясать под дудку» одного руководителя и слаженно выполнять поставленные им задачи. Все версии Chamois фокусировались на показе вредоносной рекламы и рассылке платных SMS. И если об отправке SMS пользователь узнавал сразу, как опустошался его мобильный счет, показ рекламы мог продолжаться годами.
«Chamois есть хорошо созданным программным кодом. Снимаю перед ними шляпу, – говорит Стоун. – Но также страшно, что вредоносное программное обеспечение стало таким».
Хотя масштабную эпидемию Chaimos удалось сдержать, а один-два миллиона зараженных устройств в масштабах Android является незаметной цифрой, это программное обеспечение продолжает развиваться. С марта 2018 года исследователи обнаружили 14 тысяч новых образцов этого вредителя. «Они не останавливаются и не замедляются. Мы лишь пытаемся обыграть их и задержать, – говорит Стоун. – Они до сих пор пытаются стать массовыми, но мы сейчас в фазе контроля».