Эксперты обнаружили новый сервис «обфускация как услуга»
04/12/20
Команда специалистов из GoSecure, Trend Micro и Stratosphere Laboratory рассказала о новом сервисе, работающем по бизнес-модели «обфускация как услуга» (obfuscation-as-a-service) и являющемся ярким примером устойчивости киберпреступной экономики в плане удовлетворения спроса на киберпреступном рынке.
В данном случае предприимчивые хакеры разработали полностью автоматизированную сервисную платформу для защиты APK вредоносного ПО для Android от обнаружения антивирусными решениями.
Исследователи наткнулись на сервис (его название эксперты решили не приводить, чтобы не рекламировать), в процессе изучения активности банковского Android-трояна Geost. Эксперты обнаружили утекшую переписку операторов ботнета Geost, в которой обсуждалась некая платформа для обфускации, и решили выяснить, о чем идет речь. В результате они действительно нашли сервис, предлагающий обфускацию по цене $20 за APK или $100 за десять APK. Кроме того, сервис позволял оформить подписку на месяц по цене $850.
В ходе исследования эксперты обнаружили на VirusTotal более 3 тыс. файлов APK, обфусцированных с помощью данного сервиса в 2020 году.
С помощью инструментов для анализа угроз, используя сленг, схожий с тем, что операторы ботнета Geost использовали для обозначения сервиса, исследователи выявили еще шесть сервисов обфускации, действующих на форумах в даркнете в 2020 году. Однако вышеупомянутая платформа отличается от своих конкурентов, отмечают исследователи.
Во-первых, ни один из конкурентов не предлагает платформу с API, а во-вторых, покупки совершаются через личные сообщения в Jabber или Telegram. Кроме того, услуги этих сервисов стоят дороже. По мнению исследователей, более высокая цена объясняется тем, что операторы сервиса делают обфускацию вручную. В отличие от конкурентов, изучаемый исследователями сервис предлагает API и автоматическую обфускацию, что дает ему преимущество на рынке.
С точки зрения эффективности фактического уклонения от обнаружения эксперты охарактеризовали сервис как «среднего качества» - чем меньше вредоносных приложений обфусцируется, тем выше вероятность их обнаружения. Еще одна хорошая новость для ИБ-экспертов заключается в том, что, хотя злоумышленники и приложили немало усилий для автоматизации сервиса, процесс автоматизации упрощает выявления обфускации.