2017年谷歌安全团队发现 “Chamois” 恶意软件家族时,他们指出了其非同一般的复杂性。
该恶意软件最初是在一次常规广告流量质量评估中被发现的,该广告欺诈恶意软件通过一系列渠道传播,悄悄成为了安卓历史上最大型最多面的恶意应用。
Chamois的编码十分优美,有4个阶段的投送载荷,使用多种混淆和反分析技术,其配置文件采用定制加密存储,且该恶意软件十分庞大。
正如安卓安全工程师在初次发现Chamois时所描述的:
为分析该恶意软件,我们的安全团队筛查了超过10万行代码。这些代码似乎是专业程序员编写的,十分复杂。
《报告》指出,Chamois采用多种分发机制,包括作为预装应用和广告SDK(软件开发包)安装和注入到流行侧加载应用中,是一种工程精巧的复杂恶意软件。
谷歌 Play Protect 将Chamois分类为后门,因为该恶意软件拥有远程命令与控制功能。Chamois的载荷多种多样,从一系列广告欺诈载荷到短信欺诈到动态代码加载都有。
《报告》指出:应用被复用为某种商业VPN的终端,通过受影响安卓设备路由流量。该SDK使用websocket与命令与控制(CnC)服务器通信,然后通过‘正常’套接字连接CnC控制下的主机。这些行为都是隐秘进行,用户设备不知不觉中就成为了代理网络的一部分。
2018年这两大安卓威胁都源自潜在有害应用(PHA)和带后门SDK的增长;前者通过供应链漏洞利用或原始设备制造商(OEM)推荐 “合法” 应用,以及将合法系统更新与PHA绑定的无线(OTA)更新。
该年度安卓安全报告更加强调的是安全成就,包括:
- 2018年里,只使用谷歌Play下载应用的设备仅0.08%受PHA影响。
- 使用非谷歌Play渠道安装应用的设备受PHA影响的比例高出8倍,但相比前一年,这些设备感染恶意软件的概率还是降低了15%。
- 2018年,谷歌 Play Protect 阻止了16亿PHA安装尝试。
谷歌在报告中称,2018年提升安卓安全的工作还包括:交付增强的应用沙箱、强化开发者API,以及增加基于硬件的安全投入。
Chamois初始报道:
https://android-developers.googleblog.com/2017/03/detecting-and-eliminating-chamois-fraud.html
谷歌《2018安卓安全报告》:
https://source.android.com/security/reports/Google_Android_Security_2018_Report_Final.pdf
谷歌 Play Protect 开发者网站:
