Google偵測及消除Chamois惡意應用程式,保障廣大Android用戶 | TechRitual

Google偵測及消除Chamois惡意應用程式,保障廣大Android用戶


Google偵測及消除Chamois惡意應用程式,保障廣大Android用戶



Google 一直努力保障用戶在不同裝置和情況下的安全,包括協助用戶抵禦潛在有害應用程式 (Potentially Harmful Applications,簡稱PHAs),這也讓我們了解不同類型的威脅,例如最近我們的網絡安全團隊發現並抵禦針對廣告及Android系統的全新PHA系列,名為Chamois(「羚羊」)。

Chamois 屬於 Android PHA系列,它們會:

Arlo Pro 家居保安鏡頭 - 防水防塵、內置鋰電池,無需拉線
詳情請點擊:http://netgear.anlander.com

  • 在廣告中展示虛假圖像製造無效的流量
  • 透過在背景自動安裝應用程式誤導系統為應用程式作推廣
  • 發出特級短訊 (premium text message) 的電話詐騙
  • 下載並執行額外插件

我們已採取一系列措施保護用戶免受「羚羊」傷害。

干擾廣告的正常運作

我們在日常進行的廣告流量品質評估中偵測到Chamois,同時亦分析了Chamois 為基礎的惡意應用程式,發現它們用盡方法逃避偵測,並試圖以虛假圖像欺騙用戶點擊廣告,又或者以短訊詐騙用戶下載其他應用程式。因此,我們利用 Verify Apps 阻擋Charmois,同時亦剔除試圖欺騙Google廣告系統的壞分子。

根據以往應對廣告詐騙應用程式的經驗,我們能迅速採取行動保障廣告客戶和Android用戶。

由於惡意應用程式不會在用戶裝置中的應用程式清單上出現,用戶大多不會發現和懂得剷除這些惡意應用程式,Google 的Verify Apps 就能大派用場,幫助用戶輕鬆發現和刪除PHA。

龐大的Chamois系列

Chamois 是目前為止在 Android 中其中一個最大的PHA系列,並透過不同渠道散播。Google 相信是首家公開發現並追蹤Chamois的公司。

Chamois 之所以有別於其他PHA,就是因為以下特點:

  • 多階段隱藏 (Multi-staged payload)Chamois的編碼以不同檔案格式、分四個階段執行 (如下圖所示),讓即時偵測PHA的過程變得困難,需要透過分層剝開才能發現到惡意程式部分,然而Google已有應對措施專門處理這些情況。

  • 自我保護基制:Chamois試圖透過模糊化和反分析技術迴避偵測。Google系統已克服這些問題,成功偵測PHA。
  • 自制加密儲存:Chamois系列會利用自制的加密檔案儲存方式保護其系統設定檔案及額外編碼,因而需要更深入的分析才能辨認它們是否PHA。
  • 檔案體積:我們的保安團隊仔細檢查了超過10萬行精密的編碼,由於APK的檔案體積龐大,我們需要更多時間去深入了解Chamois。

Google應對PHA的方法

當用戶下載疑似PHA的應用程式時,Verify Apps會發出警告並協助用戶刪除已安裝的相關應用程式,從而保障用戶免受PHA的威脅。我們亦會監測Android生態系統的狀況,一旦發現異常情況就會追蹤和仔細調查,也會分析各裝置的表現找出未被發現的PHA。例如,有不少由Chamois下載的應用程式都在DOI(Dead or Insecure )scorer排行較高。我們也在Verify Apps中加強偵查規則,以保障用戶免受Herole的威脅。

Google 將在 Android 反濫用技術和廣告系統方面繼續投入資源,抵禦Chamois等PHA。我們希望藉本文為大家闡述愈來愈複雜的Android傀儡網絡。

預告:大家亦可留意即將推出的「2016 Android 安全回顧」報告(Android Security 2016 Year In Review)。









此文章首發於TechRitual;標題:Google偵測及消除Chamois惡意應用程式,保障廣大Android用戶





You may also like...