Google geht gegen Ad Fraud-Netzwerk Chamois vor

Google hat sich kürzlich von dem neusten Android-Schädling befreit und in dem Zuge eine Reihe weiterer schädlicher Apps aus dem Google Play Store gelöscht, die in der Lage sind, den Werbe-Traffic zu manipulieren, Textnachrichten an Premium-Nummern zu senden und zusätzliche Plugins zu laden.

Am Montag erschien im Blog von Google ein neuer Eintrag darüber, wie es dem Sicherheitsdienst des Unternehmens gelungen ist, die potentiell gefährliche Software aufzuspüren, sie aus dem Google Play Store zu eliminieren und den Schutz der Nutzer somit zu gewährleisten. Laut Angaben der Autoren des Blogeintrags tauchten die Schädlinge der Familie Chamois („Gämse“) im Zuge einer planmäßigen Maßnahme zur Beurteilung der Qualität des Werbe-Traffics auf. Wie sich herausstellte, ist die neue Schadfamilie äußerst groß und weitverzweigt und wird über viele Kanäle verbreitet.

Bei Tests zeigte Chamois dem Nutzer irreführende Bilder an, unter denen sich Popup-Werbung verbarg: Wenn das Opfer Interesse daran zeigt und auf die Bilder klickt, lenkt es betrügerischen Traffic auf sein Gerät. Überdies kann dieser Schädling den Platz im Rating von Apps verbessern, indem er sie automatisch im Hintergrundmodus installiert, er ist in der Lage, ohne Wissen des Nutzers kostenpflichtige SMS zu versenden und weitere Plugins zu laden und zu starten.

Der Nutzer bekommt laut Google aller Wahrscheinlichkeit nach nichts von der Infektion mit, da die Autoren von Chamois dafür gesorgt haben, dass der Schädling nicht in der Liste der installierten Anwendungen erscheint. Die neue Adware ist zudem peinlich darauf bedacht, die Entdeckung durch Analyse-Tools zu vermeiden: Sie setzt Obfuskation ein, verwendet einen speziellen Speicher für die verschlüsselten Konfigurationsdateien und zusätzlichen Codes sowie ein komplexes Infektionsschema mit wechselnden Dateiformaten.

Google geht gegen Ad Fraud-Netzwerk Chamois vor

„Dieser mehrstufige Prozess erschwert die Identifikation der Anwendungen dieser Familie als potentiell gefährliche Software noch zusätzlich, denn um bis zu einem schädlichen Fragment vordringen zu können, müssen zunächst alle oberen Schichten abgetragen werden“, schreiben die Forscher.

Chamois schließlich doch den Garaus zu machen, gelang mit Hilfe von Verify Apps, dem Antiviren-Scanner von Google. Die Lösung Verify Apps überwacht den Zustand des Android-Ökosystems, indem sie Anomalien erkennt und untersucht, sie informiert die Nutzer über den Download verdächtiger Software und hilft, solche Apps wieder zu deinstallieren. Verify Apps ist auch in der Lage, mit Hilfe einer Verhaltensanalyse, eine neue Bedrohung auf den Geräten zu erkennen.

Über sein System zur Erkennung und Einordnung potentiell gefährlicher Programme (DOI, Dead or Insecure) berichtete Google zu Beginn des Jahres. Android-Apps werden in Abhängigkeit von ihrer Fähigkeit, sich auf dem Gerät festzusetzen – retention rate -, beurteilt. Wenn dieser Parameter – der Grad des Festsetzens – einen Grenzwert überschreitet und auch andere IT-Sicherheitswerte von einer möglichen schädlichen Aktivität zeugen, wird das Programm markiert. Innerhalb der letzten zehn Monate trug Verify Apps dazu bei, eine Reihe von Chamois-Verwandten aufzuspüren und unschädlich zu machen, darunter auch Ghost Push, Gooligan und Hummingbad.

Im Blogeintrag über Chamois heißt es, dass „viele von Chamois geladene Apps im System DOI hoch eingestuft wurden“.

Die Zahl der Infektionen mit dem neuen Schädling gab Google nicht bekannt. Über HummingBad ist beispielsweise bekannt, dass sich dieses Programm, das zum Zwecke des Werbebetrugs ein Rootkit einsetzt, innerhalb eines halben Jahres auf 10 Millionen Android-Geräten angesiedelt hat, und dass es seinen Betreibern 300.000 Dollar im Monat einbringt.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.