Quase três anos após ser detectado, o Chamois continua infectando
mais de um milhão de aparelhos
O Chamois foi detectado pela primeira vez em agosto de 2016
e, hoje, quase três anos depois, continua fazendo vítimas. Por sua
complexidade, é considerado um dos mais devastadores malwares para o sistema
operacional Android. Mesmo com atuação agressiva da equipe de segurança do
Google, ele infectou, no pico, 20,35 milhões de dispositivos no mundo, em março
do ano passado, e persiste em 1,8 milhão de aparelhos.
É uma sofisticada rede de bots para Android que infecta
aplicativos para promover fraudes de anúncios e de SMS — afirmou Maddie Stone,
engenheira de segurança do Google, no Security Analyst Summit, promovido pela
Kaspersky nesta semana, em Cingapura. — Eu considero o Chamois o malware que
mais impactou o sistema Android em 2018.
De acordo com a especialista, o Chamois se mostrou um
adversário difícil a ser batido por unir complexidade técnica, um modelo bem
estruturado de distribuição e atualizações rápidas. Por isso, é provável que
por trás dessa rede exista uma operação robusta, com profissionais experientes
e forte financiamento para a infraestrutura.
Aparelhos infectados permitem que os criminosos executem,
basicamente, dois tipos de fraude: em anúncios, redirecionando os ganhos de
publicidade pelas páginas visitadas para os criminosos, e por SMS, no qual o smartphone
envia silenciosamente mensagens para determinados números, como se fossem
assinaturas de serviços.
— A vítima só percebe quando olha a conta de celular —
explicou Maddie.
Para gerar ganhos financeiros para os criminosos, o malware
precisa ser instalado no maior número possível de aparelhos, criando uma rede
de bots. Por isso, foi criada uma rede complexa de distribuição. O Chamois era
oferecido a desenvolvedores de aplicativos e fabricantes de celulares como uma
solução legítima de pagamento.
Dessa forma, eles conseguiram carregar o malware até mesmo em
aplicativos pré-instalados de fábrica em mais de mil modelos de aparelhos, de
mais de 250 fabricantes.
— No início, eles conseguiram colocar o Chamois em
aplicativos na Google Play. Em março de 2017, o Google conseguiu erradicar o
malware da loja — contou Maddie. — Mas o Chamois é esperto. Se a gente corta um
canal de distribuição, ele possui backups para continuar avançando. Não é
trabalho de um engenheiro, mas de uma equipe.
Para não ser pego pelos sistemas de segurança, o Chamois é
mutante. Foram identificadas quatro variantes principais, com quase 30 mil
amostras diferentes. E cada uma possui nomes de arquivos e sequências de
programação próprias, o que torna impossível a detecção por padrão.
— Um dos aspectos mais complicados do Chamois é a técnica
realmente sofisticada de antidetecção — afirmou a especialista.
Todo o esquema por trás do Chamois é profissional. As
atualizações, por exemplo, são testadas em apenas algumas regiões antes de
serem implementadas em toda a rede. Esse é o modelo usado por grandes
companhias de tecnologia, como Facebook e o próprio Google.
Para derrotar a ameaça, o Google usa uma combinação de
métodos de detecção, que inclui modelos de aprendizado de máquina, similaridade
de código e análise de comportamento. Com uma equipe destacada para lidar com o
problema, a companhia vem conseguindo minimizar os danos provocados pelo
malware. As 1,8 milhão de instalações persistem, mas estão bem abaixo do pico.
E a queda no número de aparelhos infectados se dá mesmo com a forte atuação dos
criminosos. Entre março de 2018 e março deste ano foram identificadas mais de
12,8 mil novas amostras diferentes.
— Mas nós conseguimos um declínio de 91% no número de
infecções — comemorou Maddie. — É por isso que eu digo que o Chamois é a maior
rede de bots no Android que provavelmente vocês nunca ouviram falar.
Fonte: O Globo
Tópicos:
Tecnologia