Tecnologia

Tem celular Android? Conheça seu inimigo número 1

Quase três anos após ser detectado, o Chamois continua infectando mais de um milhão de aparelhos

Sérgio Matsuura, de Agência O Globo

O Chamois foi detectado pela primeira vez em agosto de 2016 e, hoje, quase três anos depois, continua fazendo vítimas. Por sua complexidade, é considerado um dos mais devastadores malwares para o sistema operacional Android. Mesmo com atuação agressiva da equipe de segurança do Google, ele infectou, no pico, 20,35 milhões de dispositivos no mundo, em março do ano passado, e persiste em 1,8 milhão de aparelhos.

Foto: Reprodução

— É uma sofisticada rede de bots para Android que infecta aplicativos para promover fraudes de anúncios e de SMS — afirmou Maddie Stone, engenheira de segurança do Google, no Security Analyst Summit, promovido pela Kaspersky nesta semana, em Cingapura. — Eu considero o Chamois o malware que mais impactou o sistema Android em 2018.

De acordo com a especialista, o Chamois se mostrou um adversário difícil a ser batido por unir complexidade técnica, um modelo bem estruturado de distribuição e atualizações rápidas. Por isso, é provável que por trás dessa rede exista uma operação robusta, com profissionais experientes e forte financiamento para a infraestrutura.

Aparelhos infectados permitem que os criminosos executem, basicamente, dois tipos de fraude: em anúncios, redirecionando os ganhos de publicidade pelas páginas visitadas para os criminosos, e por SMS, no qual o smartphone envia silenciosamente mensagens para determinados números, como se fossem assinaturas de serviços.

— A vítima só percebe quando olha a conta de celular — explicou Maddie.

Para gerar ganhos financeiros para os criminosos, o malware precisa ser instalado no maior número possível de aparelhos, criando uma rede de bots. Por isso, foi criada uma rede complexa de distribuição. O Chamois era oferecido a desenvolvedores de aplicativos e fabricantes de celulares como uma solução legítima de pagamento.

Dessa forma, eles conseguiram carregar o malware até mesmo em aplicativos pré-instalados de fábrica em mais de mil modelos de aparelhos, de mais de 250 fabricantes.

— No início, eles conseguiram colocar o Chamois em aplicativos na Google Play. Em março de 2017, o Google conseguiu erradicar o malware da loja — contou Maddie. — Mas o Chamois é esperto. Se a gente corta um canal de distribuição, ele possui backups para continuar avançando. Não é trabalho de um engenheiro, mas de uma equipe.

Para não ser pego pelos sistemas de segurança, o Chamois é mutante. Foram identificadas quatro variantes principais, com quase 30 mil amostras diferentes. E cada uma possui nomes de arquivos e sequências de programação próprias, o que torna impossível a detecção por padrão.

— Um dos aspectos mais complicados do Chamois é a técnica realmente sofisticada de antidetecção — afirmou a especialista.

Todo o esquema por trás do Chamois é profissional. As atualizações, por exemplo, são testadas em apenas algumas regiões antes de serem implementadas em toda a rede. Esse é o modelo usado por grandes companhias de tecnologia, como Facebook e o próprio Google.

Para derrotar a ameaça, o Google usa uma combinação de métodos de detecção, que inclui modelos de aprendizado de máquina, similaridade de código e análise de comportamento. Com uma equipe destacada para lidar com o problema, a companhia vem conseguindo minimizar os danos provocados pelo malware. As 1,8 milhão de instalações persistem, mas estão bem abaixo do pico. E a queda no número de aparelhos infectados se dá mesmo com a forte atuação dos criminosos. Entre março de 2018 e março deste ano foram identificadas mais de 12,8 mil novas amostras diferentes.

— Mas nós conseguimos um declínio de 91% no número de infecções — comemorou Maddie. — É por isso que eu digo que o Chamois é a maior rede de bots no Android que provavelmente vocês nunca ouviram falar.