La detección y eliminación de Chamois ( Gamuza ) , una red de bots fraude en Android




Google trabaja duro para proteger a los usuarios a través de una variedad de dispositivos y entornos. Parte de este trabajo consiste en defender a los usuarios contra las  aplicaciones potencialmente dañinas  (PHA – Process Hazad Analysis o análisis de los peligros de los procesos ), un esfuerzo que nos da la oportunidad de observar varios tipos de amenazas dirigidas a nuestro ecosistema. Por ejemplo, nuestros equipos de seguridad recientemente descubiertos y defendidos usuarios de nuestros anuncios y los sistemas de Android en contra de una nueva familia de PHA hemos llamado gamuza.



Gamuza es una familia de PHA ( Process Hazad Analysis ) androide capaz de:


  • La generación de tráfico no válido  a través de las ventanas emergentes de anuncios gráficos que tienen engañosas dentro del anuncio
  • Realización de  la promoción de aplicaciones artificiales  por instalar automáticamente en segundo plano
  • Realización de  fraude de telefonía  mediante el envío de  mensajes de texto premium
  • Descargar y ejecutar plugins adicionales

La interferencia con el ecosistema anuncios


Detectamos Gamuza durante una evaluación de rutina de la calidad del tráfico de anuncios. Se analizaron aplicaciones maliciosas sobre la base de gamuza, y encontramos que emplean varios métodos para evitar la detección y trataron de engañar a los usuarios a hacer clic en los anuncios de visualización de gráficos engañosos. A veces, esto dio lugar a la descarga de otras aplicaciones que cometen fraude SMS. Así que hemos bloqueado la familia de aplicaciones de la gamuza usando  Verificar aplicaciones  y también echaron fuera los malos actores que estaban tratando de juego nuestros sistemas de anuncios.

Nuestra experiencia previa con aplicaciones ad fraude como éste permitió a nuestros equipos para tomar rápidamente medidas para proteger tanto a nuestros anunciantes y los usuarios de Android. Debido a que la aplicación maliciosa no apareció en la lista de aplicaciones del dispositivo, la mayoría de los usuarios no han visto o conocido para desinstalar la aplicación no deseada. Esta es la razón de Google  Verificar aplicaciones  es tan valiosa, ya que ayuda a los usuarios a descubrir las PHA y eliminarlos.


Bajo el capó de Gamuza


Gamuza fue una de las mayores familias de PHA visto en Android hasta la fecha y distribuidos a través de múltiples canales. A lo mejor de nuestro conocimiento Google es el primero en identificar y realizar un seguimiento de la gamuza públicamente.

Gamuza tenía una serie de características que lo hicieron inusual, incluyendo:


  • Carga útil de múltiples etapas : Su código se ejecuta en 4 etapas distintas utilizando diferentes formatos de archivo, como se indica en este diagrama.


    Este proceso de varias etapas hace que sea más complicado identificar inmediatamente las aplicaciones de esta familia como PHA porque las capas tienen que ser pelado primero en llegar a la parte maliciosa. Sin embargo, las tuberías de Google no fueron engañados ya que están diseñados para hacer frente a estos escenarios correctamente.


    • Autoprotección : Gamuza trató de evadir la detección mediante técnicas de ofuscación y anti-análisis, pero nuestros sistemas fueron capaces de contrarrestarlas y detectar las aplicaciones en consecuencia.
    • Cifrada personalizada de almacenamiento : La familia utiliza una costumbre, el almacenamiento de archivos cifrados para sus archivos de configuración y código adicional que requerían un análisis más profundo para entender la PHA.
    • Tamaño : Nuestros equipos de seguridad tamiza a través de más de 100K líneas de código sofisticada escrito por los desarrolladores en apariencia profesional. Debido al gran tamaño del archivo APK, le tomó algún tiempo para entender la gamuza en detalle.

    El enfoque de Google para la lucha contra las PHA


    Verificar las aplicaciones protege a los usuarios de los PHAs conocidos, advirtiéndole de que se están descargando una aplicación que se determina que es un PHA, y también permite a los usuarios desinstalar la aplicación si ya se ha instalado. Además, verificar las aplicaciones supervisa el estado del ecosistema Android en busca de anomalías e investiga los que encuentre. También ayuda a encontrar las PHA desconocidos a través de análisis de comportamiento en los dispositivos. Por ejemplo, muchas de las aplicaciones descargadas por Gamuza fueron altamente calificados por la  media luna DOI . Hemos implementado reglas en Aplicaciones Verify para proteger a los usuarios contra Gamuza.


    Follow me:
    Twitter
    Visit Us
    Facebook
    Facebook
    Instagram
    RSS
    Follow by Email

    También te puede interesar

    Deja un comentario

    error: Content is protected !!