駭客發功！Google 是如何應對及消除 Chamois 惡意程式？

駭客發功！Google 是如何應對及消除 Chamois 惡意程式？

一直以來，針對 Android 的各種惡意程式從未間斷，究竟 Google 是如何應對呢？近期一款針對 Android 以及廣告的潛在有害應用程式 (Potentially Harmful Applications，簡稱 PHAs) Chamois「羚羊」正在坊間蔓延，而 Chamois 其實是屬於 Android 的 PHA 系列，它們會：

－在廣告中展示虛假圖像製造無效的流量
－透過在背景自動安裝應用程式誤導系統為應用程式作推廣
－發出特級短訊 (premium text message) 的電話詐騙
－下載並執行額外插件

而針對這種程式，Google 採取以下方法應對。

有關團隊在日常進行的廣告流量品質評估中偵測到 Chamois，同時亦分析了 Chamois 為基礎的惡意應用程式，發現它們用盡方法逃避偵測，並試圖以虛假圖像欺騙用戶點擊廣告，又或者以短訊詐騙用戶下載其他應用程式。因此，團隊便利用 Verify Apps 去阻擋 Charmois，同時亦剔除試圖欺騙 Google 廣告系統的壞分子。

根據以往應對廣告詐騙應用程式的經驗，惡意應用程式並不會在用戶裝置中的應用程式清單上出現，用戶大多不會發現和懂得剷除這些惡意應用程式，而 Google 的 Verify Apps 將能有效幫助用戶發現和刪除 PHA。

Chamois 是目前為止在 Android 中其中一個最大的 PHA 系列，並透過不同渠道散播。Google 相信是首家公開發現並追蹤 Chamois 的公司。

Chamois 之所以有別於其他 PHA，就是因為以下特點：

－多階段隱藏 (Multi-staged payload)：Chamois 的編碼以不同檔案格式、分四個階段執行 (如下圖所示)，讓即時偵測 PHA 的過程變得困難，需要透過分層剝開才能發現到惡意程式部分。

－自我保護基制：Chamois 試圖透過模糊化和反分析技術迴避偵測。
－自制加密儲存：Chamois 系列會利用自制的加密檔案儲存方式保護其系統設定檔案及額外編碼，因而需要更深入的分析才能辨認它們是否 PHA。
－檔案體積：團隊仔細檢查了超過 10 萬行精密的編碼，由於 APK 的檔案體積龐大，需要更多時間去深入了解 Chamois。

當用戶下載疑似 PHA 的應用程式時，Verify Apps 會發出警告並協助用戶刪除已安裝的相關應用程式，從而保障用戶免受 PHA 的威脅。有關方面亦會監測 Android 生態系統的狀況，一旦發現異常情況就會追蹤和仔細調查，也會分析各裝置的表現找出未被發現的 PHA。例如，有不少由 Chamois 下載的應用程式都在 DOI（Dead or Insecure）scorer 排行較高，而有關方面也會在 Verify Apps 中加強偵查規則，以保障用戶免受 Herole 的威脅。