检测和消除 Chamois Android 上的欺诈僵尸网络

Question

Google 努力保护各种设备和环境中的用户。这项工作的一部分涉及保护用户免遭 潜在有害应用 （PHAs），这一方面使我们有机会观察针对我们生态系统的各种类型的威胁。例如，我们的安全团队最近发现并捍卫了我们的广告和 Android 系统的用户，针对我们命名为 Chamois 的新 PHA 家族。

Chamois 是一个 Android PHA 系列，能够：

• 通过在广告中具有欺骗性图形的广告弹出窗口生成无效流量
• 执行人工应用推广通过自动安装应用程序在后台
• 通过发送 高级短信 来执行电话欺诈
• 下载并执行其他插件

干扰广告生态系统

我们在例行的广告通讯质量评估中检测到了 Chamois。我们分析了基于 Chamois 的恶意应用程序，发现他们采用了几种方法来避免检测，并试图通过显示欺骗性图形来欺骗用户点击广告。这有时导致下载其他发生短信欺诈的应用程序。所以我们使用 Verify Apps(验证应用程序) 阻止了 Chamois 应用程序家族 ，并且踢出了试图游戏我们的广告系统的坏角色。

我们以前的广告欺诈应用程序的经验使我们的团队能够迅速采取行动来保护我们的广告客户和 Android 用户。由于恶意应用没有出现在设备的应用列表中，大多数用户将无法看到或已知卸载不需要的应用。这就是为什么 Google 的 Verify Apps(验证应用程序) 非常有价值，因为它可以帮助用户发现 PHA 并将其删除。

在 Chamois 的敞篷下

Chamois 是迄今为止在 Android 上看到的最大的 PHA 家族之一，并通过多个渠道分发。据我们所知，Google 是第一个公开识别和追踪 Chamois。

Chamois 有许多功能使其不寻常，包括：

• 多阶段有效载荷：其代码使用不同的文件格式在 4 个不同阶段执行，如图所示。

这个多阶段过程使得立即识别为 PHA 这个家庭中的应用程序变得更加复杂，因为这些层必须先剥离以达到恶意部分。然而，谷歌的管道并没有被欺骗，因为它们旨在正确地解决这些情况。

• 自我保护：Chamois 试图使用模糊和反分析技术来避开检测，但是我们的系统能够对付它们并相应地检测应用程序。
• 自定义加密存储：该系列使用自定义的加密文件存储，用于其配置文件和需要更深入分析以了解 PHA 的附加代码。
• 尺寸：我们的安全团队筛选了超过 10 万行的看似专业的开发人员编写的复杂代码。由于 APK 的庞大尺寸，需要一些时间来详细了解 Chamois。

Google 打击 PHA 的方法

验证应用程序通过在下载时被确定为 PHA 的应用程序时警告它们，从而保护用户免受已知的 PHA 的攻击，并且还允许用户卸载应用程序（如果已安装）。此外，验证应用程序会监视 Android 生态系统的异常状态，并调查其发现的状态。它还通过设备上的行为分析来帮助查找未知的 PHA。例如，由 Chamois 下载的许多应用程序被 DOI 得分手高度评级。我们已经在验证应用中实施了规则，以保护用户免受 Chamois。

Google 继续大力投资于 Android 及其广告系统的反滥用技术，我们为许多团队在幕后对抗像 Chamois 的 PHA 恶意程序的工作感到自豪。

我们希望本摘要能够深入了解 Android 僵尸网络日益复杂的情况。要了解有关 Google 反 PHA 工作的更多信息，并进一步改善其对用户，设备和广告系统的风险，请随时关注即将推出的“Android Security 2016 年度回顾”报告。