Google pone freno a Chamois, un malware publicitario para Android

Hace unos días, Google eliminó otro malware para Android en su tienda: quitó el acceso a una serie de aplicaciones maliciosas que pueden manipular el tráfico publicitario, enviar mensajes de texto a números premium y descargar complementos adicionales.

El lunes 13 de marzo, en el blog de la compañía apareció la historia de cómo su servicio de seguridad informática pudo detectar software potencialmente peligroso, expulsarlo de Google Play, y garantizar la protección de los usuarios. Según los autores de la entrada del blog, los programas maliciosos de la familia Chamois (“Gamuza”) salieron a flote durante actividades rutinarias de evaluación de calidad del tráfico publicitario. Se puso en claro que la nueva familia de malware es bastante grande y se propaga por muchos canales.

Durante las pruebas que se hicieron, Chamois mostraba imágenes que se superponían a una publicidad emergente. Si la víctima mostraba interés y hacía clic, su dispositivo empezaba a enviar tráfico fraudulento. Además, este malware es capaz de aumentar ilegalmente la calificación de aplicaciones instalándolas automáticamente en segundo plano, enviar SMS premium sin que el usuario se dé cuenta, y descargar y ejecutar complementos adicionales.

De esta manera, según Google, es improbable que el usuario note la infección, ya que los autores de Chamois tomaron precauciones para que no aparezca en las listas de aplicaciones instaladas. El nuevo adware también se esmera en evitar que los métodos analíticos lo detecten: utiliza la ofuscación, un repositorio especial para los archivos de configuración cifrados y códigos adicionales, así como un esquema complejo de infección que contempla el cambio del formato de los archivos.

“Este proceso de varias etapas hace que sea más complicado identificar de inmediato las aplicaciones de esta familia como software potencialmente peligroso, porque primero hay que quitar varias capas para llegar a la parte maliciosa”, escribieron los investigadores.

La eliminación de Chamois se hizo posible mediante Verify Apps, el escáner antivirus de Google. Verify Apps hace un seguimiento constante del estado del ecosistema Android, rastrea e investiga anomalías, notifica a los usuarios de la descarga de software sospechoso, y ayuda a desinstalar dichas aplicaciones. También puede usar el método de análisis de comportamiento para detectar nuevas amenazas en los dispositivos.

A principios de este año Google dio detalles sobre su sistema de detección y clasificación de programas potencialmente peligrosos (DOI, Dead or Insecure). Las aplicaciones Android se evalúan según su capacidad de permanecer en el dispositivo (parámetro “retention rate”). Si este parámetro -índice de retención- supera el valor límite y los demás índices de seguridad informática también muestran la posibilidad de que se estén realizando actividades maliciosas, el sistema pone una marca al programa. En los últimos 10 meses, Verify Apps ha ayudado a detectar y expulsar varios parientes de Chamois, entre ellos Ghost Push, Gooligan y Hummingbad.

En una entrada de blog sobre Chamois se dice que “muchas aplicaciones descargadas por Chamois recibieron una alta puntuación DOI”.

Google no mencionó el número de infecciones llevadas a cabo. Pero se sabe, por ejemplo, que en un año y medio HummingBad sentó raices en 10 millones de dispositivos Android y reporta a sus operadores ganancias de 300 000 dólares al mes.

Fuentes: Threatpost