特稿 >

行业洞察 >

谷歌从Play Store中捣毁迄今为止最大Android恶意软件家族Chamois

谷歌从Play Store中捣毁迄今为止最大Android恶意软件家族Chamois

Xtecher原创 丨 行业洞察

9711
167

2017-03-15

赵逸禅

Xtecher特稿作者

关注

据外媒报道,随着手机应用商城的兴起,恶意广告软件已经成为了世界上最流行的移动威胁之一。广告软件通常会在移动设备上弹出窗口或横幅广告,以此来赚钱。


麻烦的一点是,恶意广告软件变得更加复杂和木马化,它可以侵犯用户的隐私,在没有用户的同意下收集来自移动设备上的个人数据,包括姓名、出生日期、位置、序列号、联系人和浏览器数据。


但是,由于安卓手机的应用程序有额外的权限,因此风险要高于其他平台。


虽然谷歌在过去几年中尽可能加紧努力从Google Play 商店中下架潜在有害的应用,并对新应用添加了更严格的恶意软件检查功能,但恶意广告软件最终在其应用商店中感染了数百万的Android用户。


android-adware-malware-google.png


谷歌最近发现了一个大型广告欺诈软件家族,它通过其官方Play商店上托管的应用感染Android用户。


这个家族名为Chamois,它能够显示弹出广告轰炸用户,通过在后台自动安装其他应用程序来进行推广,还能进行发送短信,下载插件,让用户订阅服务等行为。


谷歌安全软件工程师Bernhard Grill、Megan Ruthven、Xin Zhao在官方博客上指出,他们是在常规广告流量质量评估中发现可疑的广告流量后,抓住了Chamois。


尽管应用程序使用混淆和反分析技术来逃避检测,但Google工程师还是发现了一个大规模的开发人员网络,来欺骗用户在手机上安装恶意应用程序。


谷歌表示,Chamois是Android生态系统迄今为止遇到过的最大的恶意软件家族之一,它能够通过多种方式进行传播。


android-adware-virus.png


Chamois采用多级payload结构,代码会在4个不同的阶段使用不同的文件格式进行执行,还有针对配置文件和额外代码准备的加密存储区域,整个结构颇为复杂,需要进行更深入的分析,据Google工程师透露,他们的安全团队必须查看超过10万行的的复杂代码,以便确定Chamois相关应用程序的功能。


Google的一名安全软件工程师在一篇博文中说:“我们分析了基于Chamois的恶意应用程序,发现他们使用了几种方法来避免检测,并试图诱骗用户通过显示欺骗性图形来点击广告”。


据了解,Chamois恶意软件似乎不会出现在设备的软件列表中,难以卸载。发现Chamois后,Google使用其验证应用程序(Verify Apps)来阻止Chamois,并禁止一些试图利用恶意软件在谷歌软件系统上赚钱的人。Verify Apps将为用户提供持续的监测,查看应用中是否含有恶意代码或潜在威胁,避免恶意应用偷偷运行,提高安全性能。通过这套工具,用户可以检测到设备内可能对其存有危害的软件并将其删除。


此外,谷歌还更新了应用程序测试系统,现在能检测到和这种恶意软件相关的威胁,


目前,谷歌并未透露遭Chamois感染的软件名字。    

打开微信“扫一扫”,打开网页后点击屏幕右上角分享按钮

账号登录

重置密码

还没有账号?立即注册>

账号注册

已有账号?立即登录>注册企业会员

重置密码

返回

绑定手机