A Equipe de Segurança do Google Derruba uma Grande Família PHA Chamada Chamois
Os engenheiros de segurança cibernética da equipe de segurança do Google descobriram e derrubaram uma enorme família de aplicativos potencialmente prejudiciais (PHAs) chamada Chamois. Os pesquisadores detectaram os aplicativos maliciosos enquanto faziam uma verificação de rotina durante a avaliação do tráfego de anúncios.
Verifique se os aplicativos tiveram um papel imenso na descoberta e destruição do Chamois, pois esses aplicativos não aparecem na lista de aplicativos instalados; portanto, a maioria dos usuários nem percebeu que possui programas indesejados e potencialmente prejudiciais no dispositivo. Ao analisar os aplicativos maliciosos, os pesquisadores também descobriram que o adware baseado no Chamois tem vários métodos para evitar a detecção enquanto exibe gráficos enganosos, na tentativa de atrair a vítima a clicar nos anúncios. Em alguns casos, clicar nos anúncios levava ao download de programas adicionais no dispositivo, como malware cometendo fraudes por SMS.
Os especialistas afirmam que o Chamois é uma das maiores famílias de PHA já vistas até agora, enquanto ao mesmo tempo possui uma ampla gama de recursos e se espalha por vários canais. Os aplicativos podem enviar mensagens de texto premium, realizando assim fraudes de telefonia. Outros recursos incluem a instalação de aplicativos adicionais em segundo plano, além de baixar e executar plug-ins sem o consentimento do usuário, todos com o objetivo de promover aplicativos artificialmente. A camurça também pode gerar tráfego inválido exibindo anúncios com gráficos enganosos.
O Verify Apps provou ser eficaz não apenas na detecção e remoção de aplicativos indesejados, mas também no monitoramento do estado geral do ecossistema Android e na descoberta de PHA desconhecido por meio de análise comportamental. Muitos dos aplicativos baixados pelo Chamois PHA tinham uma pontuação alta no DOI, o que implica que não seriam detectados sem a implementação dos aplicativos de verificação.
Vários recursos do fluxo de trabalho do Chamois o diferenciam de outras ameaças semelhantes e dificultam a detecção. O código malicioso é executado em quatro estágios separados, usando diferentes formatos de arquivo. Essa execução de carga útil em vários estágios torna muito difícil para os pesquisadores reconhecerem os aplicativos da família como prejudiciais, pois precisam analisar cada camada antes de atingir a parte maliciosa do código. Além disso, a ofuscação e as técnicas anti-análise usadas pelo PHA podem impedir a detecção pelos sistemas de segurança cibernética. Além disso, o Chamois usa armazenamento criptografado especial para seus arquivos de configuração, que também precisam ser analisados minuciosamente, enquanto a outra dificuldade era o tamanho do APK malicioso que também exigia um entendimento mais profundo.
Os usuários e anunciantes do Android não precisam mais se preocupar com o Chamois, pois o Google já adicionou regras no Verify Apps para garantir a proteção contra essa ameaça.