Im März 2017 zeigte sich das Android-Sicherheitsteam zufrieden. Die Gruppe hatte ein ausgeklügeltes Botnetz entdeckt, analysiert und neutralisiert, das auf manipulierten Apps basierte, die alle zusammengearbeitet hatten, um Werbung und SMS-Betrug voranzutreiben. Chamois, die Malware-Familie, war bereits 2016 aufgetaucht und wurde sowohl über Google Play als auch über App-Stores von Drittanbietern verbreitet. Also begann das Android-Team aggressiv mit dem Markieren und Deinstallieren von Chamois, bis sie sicher waren, dass es tot war.
Acht Monate später, im November 2017, kehrte Chamois in das Android-Ökosystem zurück und war noch wilder als zuvor. Im März 2018, ein Jahr nachdem Google dachte, es sei besiegt worden, erreichte Chamois ein Allzeithoch und infizierte 20, 8 Millionen Geräte. Jetzt, ein Jahr nach diesem Höhepunkt, hat das Android-Team diese Zahl auf weniger als 2 Millionen Infektionen gesenkt. Auf dem Kaspersky Security Analyst Summit in Singapur in dieser Woche präsentiert der Android-Sicherheitsingenieur Maddie Stone post mortem, wie Google erneut gegen Chamois gekämpft hat und wie persönlich die Rivalität wurde.
"Ich habe letztes Jahr bei Black Hat einen Vortrag über die dritte Phase von Chamois gehalten", sagte Stone vor ihrem Vortrag zu WIRED. "Und innerhalb von 72 Stunden, nachdem ich diesen Vortrag gehalten hatte, versuchten sie, die Bytes und die einzelnen Indikatoren, über die ich sprach, zu ändern. Wir konnten sehen, wie sie sie manipulierten. Die Chamois-Entwickler haben auch unsere genaue Android-Sicherheitsanalyseumgebung mit Fingerabdrücken überprüft und Schutzfunktionen für eingebaut." einige der Anpassungen, die wir verwenden."
Zurück mit einer Rache
Nach dem Höhepunkt der Infektion im März 2018 begann das Android-Sicherheitsteam mit anderen Verteidigern in ganz Google zusammenzuarbeiten, z. Die ersten beiden Varianten, die das Team 2016 und 2017 verfolgt hat, infizierten Geräte in vier Stufen, um den Angriff zu organisieren und zu maskieren. Die Version 2018 enthielt jedoch sechs Stufen, Antiviren-Test-Engines und noch ausgefeiltere Anti-Analyse- und Anti-Debugging-Schutzschilde, um Entdeckungen zu vermeiden. Malware-Entwickler bauen diese Funktionen in ihren Code ein, damit er erkennen kann, wenn er in einer Testumgebung ausgeführt wird (z. B. in der Sicherheitsanalyseumgebung von Android), und versuchen, die schädlichen Funktionen zu verbergen.
Die Chamois-Malware empfängt, wie die meisten Arten von Botnetzen, Befehle von einem "Command and Control" -Server aus der Ferne, der infizierte Geräte für die Bearbeitung bestimmter Aufgaben koordiniert. Alle Iterationen von Chamois haben sich darauf konzentriert, böswillige Anzeigen zu schalten und Premium-SMS-Betrug zu betreiben.
Wenn Sie einer Wohltätigkeitsorganisation Geld spenden oder einen digitalen Dienst per SMS bezahlen, senden Sie diese Nachricht an eine Premium-Telefonnummer. Premium-SMS-Betrug bringt Sie dazu, dieses Geld stattdessen an Cyberkriminelle zu senden. Android bietet seit 2014 Schutz vor dieser Art von Betrug und erfordert die ausdrückliche Erlaubnis, eine Premium-Nummer per SMS zu versenden. Die Chamois-Malware überprüfte jedoch zuerst, ob die infizierten Geräte verwurzelt waren, und nutzte in diesem Fall diese erweiterte Funktionalität, um Premium-SMS-Warnungen heimlich zu deaktivieren.
Ein Opfer des Premium-SMS-Betrugs von Chamois würde die Attacke sofort nach Erhalt der Mobilfunkrechnung entdecken. Stone gibt jedoch an, dass die Nutzdaten der Malware im Hintergrund infizierter Geräte im Hintergrund liefen und ohne den Besitzer von schädliche Anzeigen in die Welt gespuckt hätten das infizierte Telefon realisiert. In den Jahren 2016 und 2017 haben die Angreifer im Rahmen ihrer Vertriebsstrategie mit Chamois behaftete, gutaussehende Apps in den Google Play Store geschleust. Da Google jedoch zunehmend in der Lage war, diese Eindringlinge zu erkennen und zu blockieren, mussten sich die Angreifer diversifizieren.
„Früher wurde viel darüber diskutiert, dass es mit Android-Malware viele herunterhängende Früchte gibt“, sagt Stone. „Aber Chamois zeigt, wie raffiniert man als Angreifer sein muss, um erfolgreich zu sein. Es ist ein ausgereifter Code, den ich ihnen geben muss, aber es ist auch beängstigend, dass sich die Malware an dieser Stelle befindet."
Ein großer Teil des Wiederauflebens von Chamois stammte von App-Entwicklern und Android-Geräteherstellern, die dazu verleitet wurden, den Chamois-Code in ihre Apps und sogar in vorinstallierte Software zu integrieren. Die Angreifer erstellten eine Website und vermittelten Chamois an diese Dritten als legitimes Werbesoftware-Entwicklungskit, mit dem Werbeverteilungsdienste bereitgestellt werden könnten.
Mit Google Play Protect, mit dem sich gefälschte Android-Apps aussortieren lassen, wurde es zunehmend möglich, zu erkennen, wann Chamois auf einem Gerät ausgeführt wird, und es zu deaktivieren. Vor kurzem hat Google auch das Scannen von vorinstalliertem Code auf Partnergeräten ausgeweitet und Gerätehersteller aufgefordert, Code von Drittanbietern vor dem Versand von Produkten zu prüfen - und diesen Code überhaupt nicht zu versenden, wenn sie nicht sicher sind, dass sie ihn vollständig überprüfen können.
Vollendete Profis
Als sie Chamois im Laufe der Jahre zunehmend kennen lernten, gelangte das Android-Sicherheitsteam zu dem Schluss, dass das bemerkenswerteste Merkmal des Botnets die Professionalität seiner Entwickler war. Das Team entdeckte Dutzende sorgfältig organisierter Befehls- und Kontrollserver für das Botnetz und stellte fest, dass die Malware einen Mechanismus namens Feature-Flags enthielt, die in der legitimen Softwareentwicklung häufig verwendet werden, um bestimmte Funktionen in verschiedenen Teilen der Welt zu aktivieren und zu deaktivieren. Vor allem fanden die Android-Forscher heraus, dass Chamois vollkommen träge wird, wenn es feststellt, dass es in China läuft. Stone lehnte es ab, eine Theorie darüber vorzulegen, warum.
Die Chamois-Entwickler bemühten sich auch, ein unauffälliges Profil zu bewahren und aktualisierten Versionen ihrer Malware schrittweise auf infizierten Geräten. Sie würden ein Update für Geräte in einer bestimmten geografischen Region testen, um zu bestätigen, dass der neue Code wie beabsichtigt funktioniert, bevor er allgemeiner herausgegeben wird.
Google verwendet jetzt eine Kombination von Erkennungsmethoden zur Überwachung von Gämsen, einschließlich signaturbasierter Markierungen, maschineller Lernbewertung und Verhaltensanalysen. Das Team checkt außerdem monatlich und vierteljährlich alle Chamois-Statistiken ein, um neue Impulse, die das Botnetz gewinnt, schnell zu stoppen. Und Stone sagt, dass das Android-Sicherheitsteam die verbleibenden 1, 8 Millionen Infektionen immer noch ignoriert. Aber wie immer wehren sich die Chamois-Entwickler weiter. Im vergangenen Jahr, seit dem Infektionshoch im März 2018, haben die Forscher 14.000 neue Gämsenproben gesehen.
