新病毒藏身遊戲App:惡意裝扣費程式 幾千萬手機中招
2017年12月07日18:03

  明星公主換裝、瘋狂消寶石等小遊戲,由於佔用空間小,一直是許多人的碎片時間玩伴,儘管各種大型遊戲層出不窮,裝機量仍然居高不下。但這種看來“人畜無害”的小遊戲,卻被駭客盯上成為最新的黑產提款機。

  近期,阿里巴巴錢盾反詐實驗室發現,一些新木馬病毒,會被包裝到很多裝機量很大的兒童應用遊戲中,普通殺毒軟件發現不了,用戶可以順利下載。裝機成功後,手機會不停的下載安裝惡意扣費應用,系統會被破壞,繼而手機開始卡頓、話費資損、隱私泄漏。這些惡意病毒已經形成了一整條惡意推廣黑色產業鏈條,由製馬人、廣告平台、多渠道分發、轉賬洗錢構成。

  數千萬下載 每日上萬用戶手機被感染

  據AI財經社瞭解,這種病毒叫DowginCw病毒,是阿里巴巴錢盾反詐實驗室,在今年11月24日通過錢盾惡意代碼智能監測引擎,感知並捕獲的。由於該批病毒會聯網加載“CWAPI”插件,故將其命名為“DowginCw”病毒家族。

  近兩月該病毒家族樣本查殺量已達93w多個,平均每日感染用戶過萬,共計感染87w用戶設備。這種病毒家族通過插件形式集成到大量兒童遊戲應用中,然後通過發佈於各大應用商店,或軟件強製更新等手段安裝到用戶手機設備中,用戶一旦運行,設備將不停下載、安裝其他惡意應用,直接造成用戶手機卡頓,話費資損,個人隱私泄漏等風險。

  目前,錢盾反詐實驗室已攔截查殺2603款“DowginCw”病毒家族應用。

  惡意代碼智能監測引擎是錢盾反詐AI大腦的核心引擎之一,原理是基於靜態文件特徵、動態行為、網絡流量等維度特徵進行深度學習構建智能模型,用於在海量樣本關聯挖掘相同家族的惡意應用及其變種。

  從技術層面講,手機病毒和殺毒軟件一直處於“道高一尺,魔高一丈”的升級和鬥法當中。此次的DowginCw為了能上架應用商店和長期駐留用戶設備,使用了一套成熟的免殺技術,包括使用國內某幾家廠商加固以及惡意代碼插件化技術,繞過主流殺軟特徵查殺,惡意代碼塊延遲加載躲避動態沙盒監測。利用這套技術,免殺病毒可以在殺軟面前肆無忌憚地實施惡意行為而不被發現,最終成功上架知名應用商店和長期駐留用戶設備。

  形成黑色產業鏈 強製安裝惡意應用扣費

  實際上,早在去年10月“DowginCw”病毒家族就上架應用商店,目前,多家應用商店仍能下載到此惡意應用,其中幾款應用下載量甚至高達3千萬,疑似存在刷榜、刷量、刷評分,來誘騙用戶下載的行為。

  在查殺該類病毒的過程中,錢盾實驗室發現惡意推送的應用全部來自xiongjiong[。]com和youleyy[。]com這兩個域名。

  下載的應用以偽裝成遊戲和色情類app為主,也就是在下載該類應用後,手機會啟動發送扣費短信。還有一部分應用會向手機系統推薦其他惡意應用,比如《我的世界》、《絕地求生》等遊戲。

  目前“DowginCw”已經形成了一整條惡意推廣黑色產業鏈條,該產業鏈由製馬人、廣告平台、多渠道分發、轉賬洗錢構成。

  製馬人團隊負責開發維護,以及免殺處理,目前病毒已迭代到5.0版本,特點能以插件形式集成到任意app;代碼延遲加載,且由雲端下發;字符串加密,代碼強混淆等。

  “廣告平台”角色通過在黑市進行能力宣傳,並明碼標價,以成功下載、安裝、啟動應用收費。

  “多渠道分發”團隊在整個鏈條中處於相對核心的地位,通過與某些應用合作,集成DowginCw插件,最終成功上架國內知名應用商店。

  從實際運作來看,整個圈子除了上述幾個重要角色外,一些環節還會有其他黑產人員參與其中,比如上架應用商店後,想要讓app曝光誘騙用戶下載,會請專業人員進行刷榜,刷量,刷好評。

  錢盾反欺詐實驗安全技術專家魏鋒(化名)表示:“目前只有錢盾App支援“DowginCw”病毒家族查殺。”他建議用戶安裝安全防護軟件,定期使用進行病毒查殺。以防止新的手機病毒侵害用戶的手機。

  來源:財經天下週刊

  文| AI財經社 劉丹如

關注我們Facebook專頁
    相關新聞
      更多瀏覽