In cadrul acestui curs, vom discuta despre Chamois cel mai de impact Botnet din 2018. Prezentarea originală este făcută de Maddie Stone care este… [628996]

1. Introducere:

In cadrul acestui curs, vom discuta despre Chamois cel mai de impact Botnet din 2018.

Prezentarea originală este făcută de Maddie Stone care este Senior Reverse Engineer
ș
i

Tech Lead pe Google Play Protect.

2.

Chamois este un Android Botnet care face ca anumite aplica
ț
ii să realizeze anumite ac
ț
iuni

frauduloase fără ca acestea să
ș
tie.

Ac
ț
iunile frauduloase sunt:

●
Ad fraud – click-uri false care aduc un comision

●
SMS fraud – trimiterea de SMS-uri premium, adica cu costuri mari. Costurile sunt

plătite ulterior pe factura de la abonament. Acesta este un lucru obi
ș
nuit la noi
ș
i în

ț
ările din est dar nu
ș
i în America.

●
Install fraud – Instalari false care aduc un comision

Dacă vre
ț
i să intra
ț
i în mai multe detalii am adăugat linkuri pentru fiecare tip de ac
ț
iune.

3.

Ce este un Botnet?

Un botnet este o re
ț
ea de ma
ș
ini infectate care sunt coordonate de un centru de comandă
ș
i

control. Acesta se prescurtează C&C sau C2. Puterea unui botnet stă în puterea de calcul
ș
i

cantitatea de stocare distribuită pe care o are. Cu cat mai multe ma
ș
ini infectate cu atât

puterea unui botnet este mai mare.

Backdoor?

O aplica
ț
ie care permite executarea unor opera
ț
ii nedorite, cu un efect poten
ț
ial negativ, care

pot fi controlate de la distan
ț
ă.

PHA?

Potentially Harmful Applications – sunt aplica
ț
ii care ar putea să expună utilizatorul, datele

utilizatorului sau dispozitivul la risc. Generic ele sunt referite ca
​
m a l w a r e
​
.

Putem vedem un status clar al aplica
ț
iilor PHA pe PHA status.

Google Play Protect?

Un serviciu de protec
ț
ie împotriva amenin
ț
ărilor dispozitivelor mobile. Ce este important de

spus este că Google Play Protect oferă siguran
ț
ă tuturor dispozitivelor certificate Google.

Acesta identifică aplica
ț
ii mali
ț
ioase chiar dacă acea aplica
ț
ie nu a fost instalată de pe

Google Play. Am pus ni
ș
te link-uri pentru mai multe detalii.

APK?

Scriem codul aplica
ț
iei
ș
i adăugăm toate resursele necesare dar cum ajung acestea pe

telefon. SDK-ul de Android compilează codul împreună cu toate datele
ș
i resursele într-un

APK, sau Android Package. Acesta este o arhivă cu extensia
​
. a p k
​
. Un APK con
ț
ine tot ce

este necesar pentru a aplica
ț
ie Android
ș
i este fi
ș
ierul pe care dispozitivele Android îl

folosesc pentru a instala aplica
ț
ia.

Distribu
ț
ia aplica
ț
iei?

O aplica
ț
ie Android poate fi distribuită pe mai multe canale:

●
Principalul canal de distribu
ț
ie
ș
i cel mai mare este Google Play

●
Sideloaded – prin instalarea directă a unui fi
ș
ier APK – care acesta poate fi ob
ț
inut

prin mai multe metode: de pe un site web, trimis prin altă aplica
ț
ie sau încărcat

folosind ADB a
ș
a cum face Android Studio

●
Third Party Stores: Alte magazine de aplica
ț
ii: Amazon, Baidu

●
Pre-Installed, preinstalate: care sunt instalate de către producător direct în imaginea

de sistem

4.

Un mic sumar despre Chamois:

●
Ca
ș
i categorie de de PHA Chamois este un Backdoor – deoarece permite execu
ț
ia

unor opera
ț
ii cu efecte poten
ț
ial negative

●
A fost detectat ini
ț
ial la mijlocul lui 2016

●
Ca
ș
i mod principal de distribu
ț
ie a fost printr-un SDK care dezvoltatorii 3rd party îl

includeau în aplica
ț
iile lor, fără să
ș
tie că este botnet backdoor

●
Sunt 4 variante distincte

●
Fiecare varianta are 4 până la 6 etape

●
Ca
ș
i payload sunt de 4 tipuri:

○
fraudă cu SMS premium

○
instalări false

○
fraudă cu reclame

○
încărcarea arbitrară de de module

5.

După cum am zis, varianta 1, a fost detectată prima dată la mijlocul lui 2016 pe Google Play.

Ce este important de enun
ț
at este că la acel timp Chamois era distribuit în mod principal pe

Google Play.

După în noiembrie 2016, câteva luni mai târziu, a apărut varianta 2. Diferen
ț
a între varianta

1
ș
i 2 este că în prima variantă se făcea doar Ad fraud iar în a doua s-a adăugat Premium

SMS fraud. Varianta 2 se afla tot pe Google Play.

Apoi în martie 2017 Google a postat un blog în care spunea că au eliminat Chamois din

Google Play, dar uite cum Timeline-ul nostru nu se termină în 2017.

După martie 2017 a urmat o perioadă de lini
ș
te în care nu s-a detectat nimic legat de

Chamois. În noiembrie 2017 au început să apară noi semnături.

Abia în ianuarie 2018 două persoane diferite au reu
ș
it să determine ca aceste semnături

sunt ale Chamois.

Un lucru important de spus este că Google verifică toate imaginile de sistem ale OEMs

înainte de lansare pentru bre
ș
e de securitate. Dacă vreo aplica
ț
ie prezintă vreo problemă

este trimisă pentru a fi verificată de o persoană. Într-unul din cazuri s-a găsit o aplica
ț
ie

foarte obfuscată, fără icon
ș
i era numită Sales Tracker/Urmăritor de vânzări, dar fără să

prezinte nimic evident. Între timp o altă persoană a observat traffic pentru reclame foarte

ciudat. Corelând cele două au descoperit varianta 3 a Chamois. Aceasta era mult mai

sofisticată
ș
i adăuga încă 2 stagii fa
ț
ă de varianta 1
ș
i 2 dar păstra acelea
ș
i payload-uri.

Având în vedere complexitatea problemei în vara anului 2018 s-a decis începerea unei

investiga
ț
ii formată din mai multe echipe. Totodată a apărut
ș
i varianta 4. Indiferent până în

decembrie 2018 Chamois a fost adusă la stadiul de mentenan
ț
ă
ș
i monitorizare ceea ce

înseamnă că este sub control.

6.

Ok. De ce ”Cea mai de impact?”

Complexitate tehnică – o să revin mai tarziu peste detaliile asta amuzante

Ce este foarte interesant este că au folosit multiple canale de distribu
ț
ie
ș
i multiple tehnici de

distribu
ț
ie.

O modalitate prin care să blochezi infectarea cu malware în diferite ecosisteme este să

studiezi cum ajunge acolo
ș
i cum se înmul
ț
e
ș
te.

Un lucru ce ia ajutat foarte mult a fost că odată ce un canal de distribu
ț
ie era oprit alte

apăreau având în vedere că aveau backup
ș
i o mul
ț
ime de metode de a se răspândi.

Trecând peste acestea, Chamois este un produs al unei echipe de ingineri. Această echipă

de ingineri are procese bine definite/mature de lansare, de dezvoltare
ș
i testare.

Cel mai important este că actorul din spatele acestora are finan
ț
are
ș
i are o infrastructură

sofisticată de lansare
ș
i testare.

Ș
i nu în ultimul rând folosesc diferite tehnici de fraudă cu reclame care sunt ascunse în

diferite păr
ț
i ale ecosistemului astfel încât dacă una nu este func
ț
ională, monetizarea

botnetului nu oprită complet.

8.

Deci să trecem la partea amuzantă.

După cum am prezentat au existat 4 variante. În continuare ne vom focusa pe varianta 3
ș
i

4 având în vedere că acestea sunt cele mai avansate tehnic.

9.

Dar să mergem pu
ț
in înapoi la variantele din 2016 care în anul acela erau deja destult de

sofisticate având în vedere complexitatea sistemului de securitate Android. Un lucru evident

este că nu căutat să prindă vreun lucru u
ș
or de accesat.

Au combinant APK-uri dezarhivate dintr-un format propriu de arhivă criptat într-un mod

propriu. Au combinat fi
ș
iere JAR diferite împreună cu cod nativ(C++) pentru a realiza

anumite comportamente. După prezentare au venit în for
ț
ă cu un sistem în 6 stagii în loc de

4.

10.

Ok. Deci au venit cu sistemul acesta complex pentru variantele 3 & 4. stagiu = etapa

Primul lucru pe care îl văd companiile de antivirus
ș
i Google sunt APK-urile. Acestea de

obicei au o semnătură(un hash corespunzător APK-ului)
ș
i sunt folosite pentru a le detecta

pe dispozitive.

Totu
ș
i în Etapa 1 al Chamois nu se întâmplă mai nimic. Acesta are doar rolul de a se

dezarhiva. Acum, Etapa 2
ș
i toate etapele care vin după pot fi categorizate astfel:

●
Chamois loader – cel care încarcă următoarele etape. Acesta include tehnici de

analiză
ș
i ofuscare super sofisticate.

●
Frameworkul Chamois – aceasta este partea în care lucrurile legate de Backdoor au

loc. Aici intră în joc etapa 4 care va trimite apeluri către infrastructura de comandă
ș
i

control(C2)
ș
i va întreba dacă framework-ul are nevoie de vreun update. Dacă

răspunsul este pozitiv, etapa 5 este updated, dacă răspunsul este negativ va folosi

stagiul pe care îl are arhiva specială. Etapa 5 este responsabil pentru payload-urile

diferite.

●
Acum urmează sec
ț
iunea de malicious payloads din etapa 6. Acestea sunt împăr
ț
ite

în 6a, 6b
ș
i 6c. 6b este payload-ul mali
ț
ios. Acesta con
ț
ine peste 15 payload-uri

mali
ț
ioase care încă sunt în dezvoltare. Etapele 6a
ș
i 6c există pentru a sus
ț
ine 6b în

executarea comportamentului mali
ț
ios. Dacă este nevoie de cod native se apelează

la etapa 6a(gen webview modification) iar dacă este nevoie de ceva legat de

Android se apelează la etapa 6c pentru a putea executa ni
ș
te Ad fraud.

ELF = Android uses ELF .so(shared object) libraries for Java Native Interface. With Android

Runtime(ART), the default since Android 5.0(Lollipop), all aplications are compiled into

native ELF binaries on instalation

11.

Deci am spus câteva lucruri despre formatul de arhivă custom/personalizat, de unde provin

majoritatea etapelor 3 plus fiind dezarhivate din fiecare etapă anterioară.

Acesta este cel mai stabil lucru legat de Chamois încă de la varianta 1
ș
i pană la varianta 4.

Este similară cu o arhivă de tipul
​
z i p
​
doar că tot ce
ț
inea de zip a fost schimbat.

Gândi
ț
i-vă la formatul de fi
ș
ier ca unul de tip Inception, prin includerea arhivelor una în alta.

Ce este foarte inteligent la acest tip de arhivă este că dacă ave
ț
i o copie a formatului de

arhivă personalizat, nu o pute
ț
i, dezarhiva, cu excep
ț
ia cazului în care ave
ț
i
ș
i APK-ul din

care a apar
ț
inut. În plus dacă ave
ț
i APK-ul dar nu ave
ț
i formatul de arhivă nu pute
ț
i

despacheta sau afla care sunt etape 3-plus.

Prin urmare, făcând acest lucru
ș
i că fiecare mostră de Chamois era independent generată a

făcut ca acesta să fie mult mai greu de detectat
ș
i de în
ț
eles.

12.

Unul dintre cele mai dificile aspecte ale Chamois este tehnicile de anti-detectare cu adevărat

sofisticate.

Chamois face un tip de debugging sau ofuscare la fiecare etapă, deci în toate cele 6 etape
ș
i

în variantele 3
ș
i 4.

Deci pentru etapele 1
ș
i 2 din fiecare e
ș
antion/sample fiecare string, nume de clasă sau de

fi
ș
iere este randomizat. Astfel încât nu se poate aplica verificarea de semnături deoarece nu

au folosit, de exemplu un nume de clasă sau pachet, cu aceea
ș
i lungime.

Ok. Acum scopul etapei 3 este să facă anti-debugging. Dacă ne întoarcem înapoi la graficul

care l-am prezentat, etapa 3, era ultima etapa din Chamois loader înainte ca framework-ul

Chamois să fie încărcat. Astfel, acesta va completa doar dacă este foarte sigur că nu este

analizat, depanat/depanat sau emulat.

Toate aceste lucruri despre tehnicile de anti-detec
ț
ie au fost prezentate de către Maddie la o

conferin
ț
ă de securitate(Black Hat USA) în 2018. Le pute
ț
i găsi în link-urile din prezentare

dacă vre
ț
i să afla
ț
i mai multe.

Dar ca
ș
i rezumat, etapa 3 con
ț
ine in-place decryption, anti-reverse engineering,

anti-emulare care con
ț
ine verificarea a peste 37 proprietă
ț
i de sistem, verificarea architecturii

sistemului citind diferite fi
ș
iere din sistem, precum
ș
i verificări folosind framework-ul

Xposed(modificare comportament sistem) sau Monkey(crearea de eveniment clickuri,

gesturi, evenimente de sistem).

Acesta este singurul mod în care ar continua, astfel încât nu ar încărca payload-urile, dacă

exista vreo
ș
ansă ca acestea să fie analizate.

Făcând toate aceste lucruri
ș
i prin faptul că fiecare e
ș
antion de Chamois este generat

independent, au făcut ca detec
ț
ia Chamois să fie foarte dificilă.

13.

Payload-urile sunt de 2 tipuri cele bune, din stanga, si cele rele, ascunse, cele din dreapta.

Modul prin care au reu
ș
it să păcălească dezvoltatori să includă Chamois în aplica
ț
iile lor, a

fost prin faptul că oferă o solu
ț
ie de plată pentru mobile. Având aceste tipuri de payloads

care suportă diferite tipuri de plă
ț
i au reu
ș
it să î
ș
i creeze o reputa
ț
ie sau o credibilitate pentru

ei ca organiza
ț
ie. Aceste payload-uri bune nu prea au fost folosite. În general au suportat

toate payload-urile mali
ț
ioase, care au făcut diferite tipuri de fraude cu reclame
ș
i o mul
ț
ime

de aceste tipuri, cre
ș
terea traficului
ș
i trimiterea de SMS-uri premium.

14.

Unul dintre cele mai interesante păr
ț
i care arată cât de mult s-au gândit exact la ceea ce

vreau să facă este că atunci când au decis să-
ș
i lanseze payload-ul pentru premium SMS,

au în
ț
eles platforma Android, prin faptul că platforma va afi
ș
a în această avertizare în cazul

în care este posibil să trimite
ț
i un SMS la un cod scurt care ar putea genera taxe pe

factură.

A
ș
a că actorii Chamois au decis că nu este ok
ș
i s-ar putea să îi dea de gol. Deci ce au

făcut.

Dacă telefonul era rootat, adică aveau acces oriunde î
ș
i adăugau o permisiune internă care

de obicei nimeni nu o poate accesa. Ce face acea permisiune este să seteze că userul a

bifat căsu
ț
a cu Remember my choice
ș
i a apăsat butonul Send. Această setare se făcea

dinainte de a trimite un SMS pentru a evita aceste tipuri de avertizari.

Dacă nu era rootat. Nici o problema, foloseau Accessibility services. Accessibility services se

foloseste pentru cei cu impaired vision/deficien
ț
e de vedere. O făceau atât de repede încât

utilizatorul nu ar fi apucat să o vadă.

15.

S-au gândit foarte atent la modul în care pot fi cei mai eficien
ț
i
ș
i să nu fie detecta
ț
i, dar nu

au făcut toate aceste lucruri
ș
i le-au aruncat in the wild ca să vadă ce se întâmplă în

speran
ț
a că vor monetiza ceva. Au fost foarte de
ș
tep
ț
i în modul de testare înainte de a

implementa ceva nou.

A
ș
a cum am mai spus motoarele de AntiVirus în general văd doar etapa 1, fi
ș
ierul APK,

a
ș
a că unul dintre primele lucruri pe le fac este să itereze ce fi
ș
iere
ș
i string-uri includ în APK

pentru a vedea care dintre semnăturile APK-urilor sunt descoperite de AV. Sistematic sa

putut observa cum testeaza sistemul AV schimband toate proprietatile, modificand chiar si

denumirele de iconite. Astfel puteau să detecteze ce reguli se foloseau în analiza

Antivirusului
ș
i pentru a ii face bypass.

Totodată folosesc servere de staging
ș
i production astfel încât ei nu lansează totul
ș
i pe

langă aceasta ca orice echipă matură de ingineri folosesc Feature Flags.

A
ș
a că vor face disponibile anumite func
ț
ionalită
ț
i anumitor popula
ț
ii doar dacă ei permit asta

cu ajutorul Feature Flags. Pentru asta se foloseau de loca
ț
ia ta geografică, pe ce dispozitiv

se ruleaza
ș
i ce provider de serviciu de telefonie mobilă folose
ș
ti. Deci totul era controlat

astfel încât dacă ceva nu ar func
ț
iona, ei ar putea să îl oprească oricând
ș
i să îl
ș
teargă din

botnet înainte de a fi detecta
ț
i.

16.

De asemenea, au o infrastructură de re
ț
ea destul de mare, deci când vorbim despre domenii

de API C2, vorbim despre cum se face update, cum se face upgrade, ce payload-uri să

folosească. Sunt cel pu
ț
in 10 din acestea.

Domeniile specifice pentru fiecare modul sunt cele care con
ț
in payload-urile. Până acum

s-au gasit cam mai mult de 20 de astfel de domenii.

Doar pentru partea de fraudă cu reclame s-au găsit peste 150 de domenii.

Cel mai interesant lucru despre partea aceasta este că ei nu generează nimic din acestea în

mod manual. Ei lucrează cu furnizori mari de servicii de cloud
ș
i folosesc servicii automate

pentru a crea domenii noi.

17.

Un alt lucru interesant este Ce se întâmplă dacă e
ș
ti din China? A
ș
a că înainte de a încărca

un payload se fac o mul
ț
ime de verificări pentru a determina dacă se poate să ruleze.

18.

Si acum lucruri amuzante. Tot ce am prezentat până acum nu au nici un rost dacă nu po
ț
i să

îl distribui, dacă nu po
ț
i să adaugi BOTs în botnet. Ar fi totul pentru nimic.

Unul dintre cele mai mari căi de distribu
ț
ie a fost prin preinstalare convingând OEMs
ș
i

ODMs. Original Equipment Manufacturing(per his design), companiile care vând cipuri,

Original Design Manufacturing(per anothers design) Designed by Apple.

A
ș
a că au continuat să convingă OEMs
ș
i ODMs că,

avem un Sales tracker care te ajuta pe telefoanele cu marjă mică de profit,

o solu
ț
ie de plă
ț
i mobilă care suportă tipurile astea de plă
ț
i,

un SDK pentru reclame( de fapt un SDK de monetizare).

Folosind toate acestea au reu
ș
it să îi convingă să îl includă preinstalat pe dispozitive mobile

pe care acestea le fabricau.

De asemenea l-au distribuit
ș
i ca un SDK static, adică dezvoltatorilor. Astfel mul
ț
i dintre ei au

incluse în aplica
ț
iille lor acest SDK fără ca să
ș
tie că este rău.

Un alt lucru interesant care nu a mai fost văzut la scară înainte este că s-au asociat cu al
ț
i

actori mali
ț
io
ș
i din ecosistemul Android pentru a fi distribuite ca ”plugin-uri”. Ce înseamnă

aceasta este că alte aplica
ț
ii
ș
i alte SDK-uri dăunătoare ar descărca plugin-uri Chamois
ș
i

le-ar rula în contextul aplica
ț
iei lor. Asta înseamnă că
ș
i al
ț
i dezvoltatori au fost implica
ț
i în

distribuirea Chamois. Astfel au ajuns
ș
i în alte familii de aplica
ț
ii care descarcă con
ț
inut

mali
ț
ios.

Din cauza tuturor acestor aspecte a fost o luptă grea împotriva Chamois. Foarte multe

metode de distribu
ț
ie.

19.

Unul dintre cele mai înfrico
ș
ătoare moduri de intrare în lan
ț
ul de aprovizionare a fost

EagerFonts. Aceasta este o aplica
ț
ie de font-uri care a fost inclusă întruna dintre platformele

SoC. Această platformă SoC a fost convinsă prin faptul că, ”Uite sunt un dezvoltator de

aplica
ț
ie de fonturi
ș
i o să permită utilizatorilor tăi cu a
ș
a multe op
ț
iuni prin care să vadă

fonturile corect in fiecare limbă.”

Ce s-a întâmplat este că acel dezvoltator 3rd party a includ un SDK pentru reclame, care

cred că deja
ș
ti
ț
i ce con
ț
inea. Acest SDK făcea apeluri către un server remote
ș
i făcea

încărcare dinamică de cod pentru a descărca diferite plugin-uri
ș
i să le ruleze în contextul

aplica
ț
iei.

Unele dintre aceste plugin-uri au inclus Chamois, o altă familie cunoscută ca
ș
i Snowfox(

captură tastaturii, conexiuni remote, colectare informa
ț
ii sistem, descărcare/încărcare de

fi
ș
iere, mai aducem ni
ș
te malware, DoS,…), precum
ș
i altele.

Datorită faptului că s-a infiltrat în lan
ț
ul de distribu
ț
ie al platformei SoC-ului, a afectat peste

250 de OEM-uri diferite în peste 1000 de tipuri de device-uri.

După ce au fost contacta
ț
i producătorii platformei au reac
ț
ionat imediat, au contactat clien
ț
ii

ș
i au create un plan pentru a prevenii acest lucru în viitor. Au scos aplica
ț
ia în aceea
ș
i zi.

21.

Lupta a fost una grea deoarece era împotriva unui sistem foarte sofisticat. Deci s-a demarat

o investiga
ț
ie care a inclus mai multe echipe
ș
i s-a început lupta pe mai multe căi. Odată cu

informarea OEM în ceea ce prive
ș
te oprirea aprovizionării
ș
i distribui
ț
iei
ș
i încheind cu

prevenirea monetizării, precum
ș
i cu prevenirea de noi instalări pe dispozitivele utilizatorilor
ș
i

blocarea infec
ț
iilor existenet folosind Google Play Protect.

22.

A
ș
adar, a
ș
a arată pa
ș
ii făcu
ț
i pentru a colabora cu OEMs:

1)
Avertizarea OEMs the prezentă pe dispozitivele lor mobile

2)
Obligarea acestora să facă un update prin OTA pentru a remedia problma Over the

air

3)
Post-mortem pentru a studia cum a ajuns problema pe dispozitiv

4)
Plan de preven
ț
ie în viitor

S-a creat un program de certificare prin care toate imaginile de sistem sunt trimise pentru a fi

verificate înainte ca acestea să fie puse pe dispozitive.

23.

După cum vă pute
ț
i da seama semnăturile din Google Play Protect nu era destul de multe
ș
i

de aceea s-a creat echipa de investigare care a dezvoltat mai multe tipuri de detectare

automată, bazată pe semnături, comportament, comportament pe re
ț
ea, similaritate de

cod(aceea
ș
i func
ț
ionalitate refactorizat)
ș
i modele de machine learning.

S-au creat
ș
i ni
ș
te reguli mai severe care avertizează imediat utilizatorii că o aplica
ț
ie a fost

blocată
ș
i dezactivată.

25.

Actor super sofisticate

Cu prezen
ț
ă în industrie

Cu reputa
ț
ie

Un site web

Un proiect legitim, în ghilimele, dar prin care pot să arate că pot să facă func
ț
ionalită
ț
i

benigne/dorite

O echipă de ingineri cu procese de dezvoltare
ș
i release foarte inteligente

Nu fac o mul
ț
ime de gre
ș
eli

Nu urmăresc vreo
ț
intă u
ș
oară

Sunt foarte sistematici

Vin cu solu
ț
ii tehnice foarte sofisticate. Etapa 3 din biblioteca de anti-analiză a fost cu

siguran
ț
ă una dintre cele mai sofisticate.

Infrastructură foarte matură

Capabili să creeze automat server de C2 cu configura
ț
iile lor pe furnizori de servicii de cloud

diferi
ț
i

26.

Dar sunt foarte Stealthy

Trafic de re
ț
ea criptat asimetric

Toate payload-urile mali
ț
ioase sunt descărcate dinamic

Odată ce despachetează/dezarhivează o etapă o
ș
terg imediat

Intr-un cuvânt smart.

27.

Unul dintre cele mai interesante lucruri care a fost, este cât de repede au răspuns la fiecare

dintre diferitele modificări.

Am discutat despre cum iterează prin fiecare factor pentru a vedea ce detectează Antivirusul

prin schimbarile din APK-ul din etapa 1, dar cel mai interesant este că după o prezentare a

bibliotecii de anti-analiza, în 72 de ore au început să modifice toate IOC(Indicator de

Compromis) -urile discutate în acea prezentare.

Totodată în etapele de anti-analysis au introdus semnături pentru mediul de analiza automat

al Google care corespund unor setări
ș
i proprietă
ț
i.

Cu toate acestea Chamois este acum în stadiul de mentenan
ț
ă
ș
i control.

29.

Maxim Martie 2018 cu 20.35 milioane de dispozitive infectate.

A scăzut până la 1.81 milioane în Martie 2019.

30.

Munca lor însă nu a încetinit
ș
i în aceea
ș
i perioadă de timp, au lansat 12800 de noi e
ș
antione

în ecosistem. Astfel in martie 2019 erau 27000 de e
ș
antione de Chamois în ecosistem.

Fiecare e
ș
antion fiind unic.

31.

Dar numărul de infectări a scăzut cu 91 % fa
ț
ă de cele 20,35 milioane din Martie 2018 la

1.81 milioane in Martie 2019.

Din acest motiv Chamois este cel mai mare Botnet despre care nu a
ț
i auzit niciodată.

32.

33.

.