ΑρχικήsecurityΤο Android κατατρόπωσε ένα επικίνδυνο botnet

Το Android κατατρόπωσε ένα επικίνδυνο botnet

Android

Ένα ιδιαίτερα εξελιγμένο botnet, το οποίο είχε ενσωματωθεί σε εφαρμογές, με σκοπό την εξάπλωση απατηλών διαφημίσεων και SMS, ήταν σε θέση να εντοπίσει και να εξουδετερώσει με επιτυχία, η ομάδα ασφαλείας του Android. Το botnet ανήκε σε μια οικογένεια κακόβουλων προγραμμάτων γνωστή ως “Chamois“, η οποία κυκλοφορούσε ήδη από το 2016 και εξαπλωνόταν τόσο μέσω του Google Play όσο και μέσω καταστημάτων εφαρμογών τρίτων. Η ομάδα ασφαλείας του Android κινήθηκε επιθετικά και άρχισε να επισημαίνει και να βοηθά στην απεγκατάσταση των λογισμικών Chamois, μέχρι να βεβαιωθεί ότι ήταν παρελθόν.

Μετά την επιτυχημένη τους προσπάθεια ωστόσο, το Νοέμβριο του 2017, τα κακόβουλα λογισμικά Chamois, επέστρεψαν πιο δυνατά από πριν και μέχρι το Μάρτιο του 2018 κατάφεραν να μολύνουν 20,8 εκατομμύρια συσκευές. Η ομάδα ασφαλείας του Android έχει τώρα καταφέρει να μειώσει τον αριθμό σε λιγότερο από 2 εκατομμύρια μολύνσεις. Στο Kaspersky Security Analyst Summit στη Σιγκαπούρη αυτή την εβδομάδα, η μηχανικός ασφαλείας του Android, Maddie Stone παρουσιάζει μια πλήρη ανάλυση για το πώς η Google αγωνίστηκε ενάντια στα Chamois.

Μετά το αποκορύφωμα της εξάπλωσης το Μάρτιο του 2018, η ομάδα ασφάλειας του Android ξεκίνησε να συνεργάζεται και με άλλες ομάδες ασφαλείας της Google, για να αντιμετωπίσουν τη νέα απειλή. Ενώ οι πρώτες εκδόσεις των κακόβουλων λογισμικών αποτελούνταν από τέσσερα στάδια μόλυνσης, οι καινούριες αποτελούνταν από έξι και επιπλέον περιείχαν μηχανισμούς που τις βοηθούσαν να μένουν απαρατήρητες.

Η οικογένεια των λογισμικών Chamois, όπως και τα περισσότερα είδη botnet, δέχεται εντολές εξ αποστάσεως από έναν command and control server, που συντονίζει τις μολυσμένες συσκευές για να δουλέψουν σε συγκεκριμένες εργασίες. Στην προκειμένη περίπτωση αφορούσαν απάτες μέσω SMS και διαφημίσεων.

Ένα μεγάλο μέρος της επανεμφάνισης των Chamois προέκυψε από τους προγραμματιστές εφαρμογών και τους κατασκευαστές συσκευών Android που εξαπατήθηκαν για να ενσωματώσουν τον κώδικα του Chamois στις εφαρμογές τους και ακόμη και το προεγκατεστημένο λογισμικό. Οι επιτιθέμενοι δημιούργησαν έναν ιστότοπο και διέδωσαν το Chamois ως νόμιμο κιτ ανάπτυξης λογισμικού διαφημίσεων, που θα μπορούσε να παρέχει υπηρεσίες διανομής διαφημίσεων.

Το Google Play Protect, το οποίο βοηθάει στην εξάλειψη των ψεύτικων εφαρμογών Android, έχει όλο και περισσότερες δυνατότητες να ανιχνεύει πότε το Chamois τρέχει σε μια συσκευή και το απενεργοποιεί. Επίσης, η Google επέκτεινε πρόσφατα τη σάρωση του προεγκατεστημένου κώδικα στις συσκευές συνεργατών και ενθάρρυνε περαιτέρω τους κατασκευαστές συσκευών να ελέγξουν τον κώδικα τρίτων, πριν από την κυκλοφορία των προϊόντων.

Η ομάδα ασφαλείας του Android κατέληξε στο συμπέρασμα ότι το πιο αξιοσημείωτο χαρακτηριστικό του botnet ήταν ο επαγγελματισμός των προγραμματιστών του. Η ομάδα αποκάλυψε δεκάδες προσεκτικά οργανωμένους command and control servers για το botnet και επίσης παρατήρησε ότι το κακόβουλο πρόγραμμα περιλάμβανε έναν μηχανισμό που ονομάζεται “feature flags” και το οποίο χρησιμοποιείται συνήθως στη νόμιμη ανάπτυξη λογισμικού για την ενεργοποίηση και την απενεργοποίηση συγκεκριμένων χαρακτηριστικών σε διάφορα μέρη του κόσμου.

Οι προγραμματιστές του Chamois εργάστηκαν επίσης για να διατηρήσουν χαμηλό προφίλ και ενσωμάτωσαν τις ενημερωμένες εκδόσεις του κακόβουλου λογισμικού τους σταδιακά σε μολυσμένες συσκευές.

Η Google χρησιμοποιεί τώρα ένα συνδυασμό μεθόδων ανίχνευσης για τα λογισμικά Chamois, ενώ κάνει επίσης μηνιαία και τριμηνιαία check-in σε όλα τα stats των Chamois, ώστε να μπορέσουν να σταματήσουν γρήγορα οποιαδήποτε νέα έξαρση του botnet. Και η Stone λέει ότι η ομάδα ασφαλείας του Android εξακολουθεί να απομακρύνει τις υπόλοιπες 1,8 εκατομμύρια μολύνσεις.

Η ομάδα του Android υπόσχεται να μείνει σε επαγρύπνηση, γνωρίζοντας ότι οι δημιουργοί των Chamois δεν θα παραιτηθούν τόσο εύκολα.

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS