В ходе рутинной внутренней проверки специалисты компании Google обнаружили крупный ботнет, заражавший пользователей Android-устройств через приложения, размещенные в каталоге Google Play. Ботнет и семейство малвари получили название Chamois. Впрочем, сами инженеры Google классифицируют Chamois не как малварь, а потенциально опасное ПО (Potentially Harmful Application, PHA)
Приложения, содержащие Chamois, не только показывают пользователю навязчивую рекламу, но и тайно устанавливают на устройство дополнительные приложения, продвигая последние таким образом, а также подписывают пострадавших на услуги различных платных сервисов, рассылая SMS-сообщения за спиной жертв. При этом вредоносное приложение не отображается в списке установленных, что затрудняет его удаление, и исследователи отмечают, что Chamois «пытается избегать обнаружения, используя обфускацию и другие методики, затрудняющие проведение анализа». К примеру, в отчете Google сказано, что приложения написаны полупрофессиональными разработчиками и содержат более 100 000 строк запутанного и сложного кода.
После обнаружения Chamois в Google Play специалисты обновили систему проверки приложений, чтобы та была способна распознавать данную угрозу. «Мы блокировали Chamois, используя Verify Apps, и избавились от злоумышленников, которые пытались одурачить наши рекламные системы. Именно этим так ценен Verify Apps, данный механизм помогает пользователям обнаруживать потенциально опасное ПО и удалять его», — пишут исследователи.
В заключение специалисты Google отмечают, что Chamois – это одно из крупнейших PHA-семейств, обнаруженных в экосистеме Android за всю время наблюдений.
