Pubblicato da Bernhard Grill, Megan Ruthven e Xin Zhao, Security Software Engineers
Google si impegna moltissimo nel proteggere gli utenti che utilizzano un'ampia gamma di dispositivi e ambienti. Parte del lavoro consiste nel difendere gli utenti contro le
Potentially Harmful Applications (applicazioni potenzialmente dannose, PHA), e questo sforzo ci dà l'opportunità di osservare i vari tipi di minacce rivolte al nostro ecosistema. Ad esempio, i team di sicurezza recentemente hanno scoperto e difeso gli utenti che usufruiscono dei nostri annunci e sistemi Android contro una nuova famiglia di PHA denominata Chamois.
Chamois è una famiglia di PHA Android in grado di:
- generare traffico non valido tramite pop up pubblicitari, che hanno una grafica ingannevole, all'interno dell'annuncio
- promuovere artificialmente le app installando automaticamente le app in background
- commettere frodi telefoniche inviando messaggi di testo credibili
- scaricare ed eseguire plug-in aggiuntivi
L'interferenza con l'ecosistema pubblicitario
Abbiamo scoperto Chamois nel corso di una normale valutazione della qualità del traffico degli annunci. Analizzando le app dannose basate su Chamois, ci siamo resi conto che impiegavano metodi diversi per evitare di essere identificate e cercavano di indurre gli utenti a fare clic sugli annunci mostrando elementi grafici ingannevoli. A volte ciò portava al caricamento di altre app che commettevano frodi tramite SMS. Così abbiamo bloccato la famiglia delle app Chamois utilizzando
Verify Apps e abbiamo anche eliminato gli attori nocivi che cercavano di ingannare i nostri sistemi pubblicitari.
Grazie alle precedenti esperienze con app fraudolente pubblicitarie di questo tipo, i nostri team sono riusciti ad agire tempestivamente per proteggere sia gli inserzionisti che gli utenti Android. Poiché l'app dannosa non appariva nella lista delle app del dispositivo, la maggior parte degli utenti non vedeva o sapeva di dover disinstallare l'app indesiderata. Ecco perché
Verify Apps di Google è così importante: aiuta gli utenti a individuare ed eliminare le PHA.
Chamois più nel dettaglio
Fino a oggi Chamois viene considerata una delle più grandi famiglie di PHA rilevata su Android e distribuita per mezzo di molteplici canali. Per quanto ne sappiamo, Google è stata la prima a identificare e tenere traccia di Chamois pubblicamente.
Chamois presenta una serie di caratteristiche che la rendono particolare.
- Payload multifase: il codice viene eseguito in 4 fasi distinte utilizzando diversi formati di file, come illustrato in questo diagramma.
Il processo multifase complica il riconoscimento tempestivo delle app di questa famiglia come PHA perché prima è necessario penetrare i diversi strati per poter raggiungere la parte dannosa. Tuttavia, questo non è stato un deterrente sufficiente per le pipeline di Google, che sono progettate allo scopo di far fronte a questo tipo di scenari in modo corretto.
- Auto protezione: Chamois ha cercato di eludere il rilevamento utilizzando tecniche di offuscamento e anti-analisi, ma i nostri sistemi sono stati in grado di contrastarla e quindi individuare le app in questione.
- Archiviazione criptata personalizzata: Chamois utilizza un sistema di archiviazione criptato personalizzato per i suoi file di configurazione ed extra codice che richiede un'analisi più approfondita per poter conoscere le PHA.
- Dimensioni: i nostri team di sicurezza hanno setacciato più di 100.000 righe di codice alquanto sofisticato scritto da sviluppatori, apparentemente professionali. A causa della vastità dell'APK, c'è voluto del tempo per conoscere Chamois nel dettaglio.
L'approccio di Google nella lotta contro le PHA
Verify Apps protegge gli utenti da PHA note avvertendoli quando scaricano un'app riconosciuta come una PHA, e consente loro di disinstallare l'app se l'hanno già stato installata. Inoltre Verify Apps monitora lo stato dell'ecosistema Android in caso di anomalie e, se rilevate, ne valuta la sicurezza. Consente anche di individuare PHA sconosciute attraverso l'analisi del comportamento sui dispositivi. Ad esempio, parecchie app scaricate da Chamois hanno mostrato un ranking molto alto nel
DOI scorer. Abbiamo implementato le necessarie regole nell'ambito di Verify Apps per proteggere gli utenti contro Herole.
Google continua a investire in modo significativo nelle tecnologie anti-abuso per Android e i suoi sistemi pubblicitari, e siamo orgogliosi del lavoro che molti team svolgono dietro le quinte al fine di combattere le PHA come Chamois.
Ci auguriamo che questa sintesi ti aiuti a comprendere meglio la crescente complessità delle botnet di Android. Informati sulle attività anti-PHA di Google e su come ridurre ulteriormente i rischi che comportano per gli utenti, i dispositivi e i sistemi pubblicitari. Per ulteriori dettagli, non perderti l'imminente rapporto "Android Security 2016 Year In Review".
