前言:
移動平臺的黑產威脅一直是我們的研究對象,2018年4月我們在《銀行提款機驚現病毒:繞過殺毒軟件達到牟利目的》報告中揭露病毒技術,運作流程及感染數百萬用戶情況,用戶不小心安裝並運行,很短時間內吸走大量用戶費用,且隱蔽性極強,傳統殺軟完全束手無策,據騰訊安全反詐騙實驗室數據監控發現變種病毒家族傳播,攻擊面,範圍均發現惡意軟件,自我社工隱藏方式以及動態加載組裝,均同一批由專業團隊協助完成整個黑產任務,我們借用生活中銀行提款機中自動拒員機命名爲“銀行提款機”。
根據騰訊反詐騙實驗室反饋,去年1月開始出現,截止6月中旬,短短半年時間裏累計感染量超過百萬臺設備,一方面,銀行提款機病毒完全不受系統版本有無Root限制,另一方面由於Google增強系統防護能力,使黑產行業不得不轉移陣地,攻擊市場佔有率高的手機。
以惡意軟件產業鏈視角看移動平臺黑產趨勢,主要表現整合技術手段,傳播方式,攻擊對象,變現方式和資源協調五個方面,通過在政策,社會,技術多層面協同聯動,有力打擊平臺違規行爲,切實淨化網絡文化環境。
一、變種病毒特點
騰訊安全專家分析發現該類型惡意軟件,主要存在以下特點:
技術對抗手段:
1)熱門軟件進行打包傳播,針對遊戲類,色情類,工具類應用嵌入惡意代碼
2)代碼混淆程度更高,同時加固技術已經成爲該類惡意軟件的標配
3)雲端服務器配置更新惡意支付SDK,動態拼接執行惡意操作
4)惡意扣費SDK公司化運作,病毒集成一款或多款惡意扣費SDK,幕後負責全面的查殺對抗
黑產變現手段:
1)扣費短信:從雲端獲取扣費sp號碼,操控中毒設備發送扣費短信
2)廣告流量:嵌入惡意廣告插件應用中,通過推送廣告進行流量變現
3)應用分發:通過手機應用分發,類似病毒的手法在用戶手機上安裝軟件
二、變種病毒影響面 2.1軟件名熱詞
下圖爲該惡意扣費類軟件名稱的熱詞雲圖,通過軟件屬性分類,將該惡意扣費類軟件大致集中在色情與遊戲兩大類。
![]()
2.2 變種病毒樣本收集
根據後臺數據反饋來看,2018上半年惡意樣本呈現高速增長,在與安全廠商持續對抗下,下半年樣本量呈下降趨勢,同時惡意開發者也密切關注這一領域,在樣本量減少的情況下,通過不斷變換入侵手法達到同樣的效果。
![]()
2.3變種病毒感染情況
根據大數據顯示,在2018年6月~2019年2月,感染用戶呈上升趨勢,此類病毒在該段時間內共感染用戶40w左右。
![]()
2.4 變種病毒類型分佈
2018~2019年初,新增變種病毒類型主要爲色情類佔比高達(41%);其次爲遊戲類佔比(35%),工具類(17%), 其他類型佔比(7%)。
![]()
三、攻防對抗 3.1時間變化
隨時間變化黑產推出不同攻擊方法,攻擊面,頻率,範圍等的惡意軟件,以及與正常軟件混雜在一起活動對抗檢測。
3.2功能對比
以下是新老病毒對抗點如圖,對抗點分析
![]()
3.3 運行流程圖
![]()
3.4 靜態技術
1、加固技術給病毒提供了極好的隱藏手段,此惡意軟件大量使用加固技術隱藏自身,企圖逃逸隱藏檢測,早期的DEX可執行代碼整體加密存放到assets目錄,演變到應用層代碼深度混淆解殼代碼,再到目前Native層動態加載加密的惡意代碼,開發者也在費盡心思增加安全廠商逆向檢測成本。
![]()
2、基於安卓NDK模塊化開發,自動化生成不同的字符串替換加密算法,字符串信息進行加密動態加載後釋放,軟件本身還使用加固廠商策略加固軟件,從而加大破解分析的難度。
![]()
3.5 執行流程
熱門應用成爲僞裝對象,改變攜帶加密種子釋放釋放惡意模塊流程,雲端下與本地釋放拼接執行,此類模塊涵多個支付模 塊,獨立運行,某些第三方提供的支付SDK存在攔截刪除短信的行爲,當用戶點擊運行發送短信,並不會收到扣費的確認 (二次確認)短信,原因是因爲該短信已經被攔截或刪除。
![]()
3.6 雲控技術
更新判黑產插件,惡意自定義DTX文件解密後得到JiePayPlugin,Shunpay,Zhangpay等專用插件,有的改用payload 文件並存儲在雲服務器,隱藏在So文件中,通過雲端下發payload文件,在用戶設備執行惡意功能代碼,傳統廠商很難捕獲惡意代碼進行檢測。
![]()
四、黑產業鏈情況4.1 插件製作
目前已知的插件分佈在五大不同病毒家族,帶有很高類病毒行爲屬性,提款機病毒,暗釦家族集成多款黑產插件,重打包嵌入惡意行爲插件,包括竊取隱私,刪除扣費短信,匿名彈窗推廣及用戶影響程度。
4.2 運作過程
通過對惡意軟件動態監控分析,惡意軟件產業鏈背後的主要成員,包括黑產開發者,廣告商,網站,分發平臺四部分組成,他們擁有不同的技能和資源,運作方式如下圖:
![]()
◆ 開發者人員,具備正常研發人員能力,專業化處理視頻圖像圖標,設計具有誘惑性圖標,誘導用戶安裝,還具有一定的編碼測試病毒軟件能力,並且能夠正常運行軟熟悉黑產運作流程,集成黑產專用插件SDK到嵌入到安裝包中。
◆ 廣告商負責尋求投放業務,具備廣告投放能力,以及具備數據分析能力的合作伙伴
◆ 網站主,廣告商,分發統計平臺聯繫在一起,擁有分發系統訪問權限,負責惡意軟件投放和管理分發,廣告方,黑產平臺均能查看投放情況,黑產軟件傳播,感染及牟利情況。
4.3 利益鏈條
該類APP能夠在短時間內產生經濟效益,因此牟利人員參與其中進行利益分成,並且具有完善的黑色產業鏈條,把樣本發佈到某網絡推廣平臺,小衆應用市場,應用內推廣,色情網站、部分遊戲或者遊戲外破解網站等。由於色情APP本身具有誘惑性,容易激發用戶的好奇心下載安裝,一旦成功安裝到用戶手機上運行,會後臺偷偷訂購移動運營商sp收費服務,應用內推送更多惡意推廣軟件,黑產參與到sp服務與廣告商費用分層。
![]()
4.4 溯源信息
通過黑產的網絡域名分析,挖掘黑產背後的團伙信息,對多個黑產樣本溯源發現,此域名在惡意樣本活動頻繁,據推測是黑產分發統計運作平臺。
![]()
五、安全建議及規範
1.檢查每個應用程序的權限:使用軟件過程中,警惕發送短信提示彈窗,確認程序所申請的權限是否與該軟件相符,建議禁止軟件的短信權限以減少風險。
![]()
2.安裝安全軟件並保持更新:安裝騰訊手機管家之類的安全軟件,可以及時發現木馬病毒並幫助一鍵清除。
![]()
3.從正規應用程序商店下載軟件:應用市場魚龍混雜,許多不正規的應用市場上線軟件時並未經過安全檢測,因此存在許多安全隱患,請勿在小型網站或破解網站下載未知安全應用。
4.從正規渠道購買手機:建議用戶在購買新手機時應儘量選擇大型正規賣場,避免手機系統被裝入惡意預裝軟件。
5.養成查看消費賬單的習慣:建議用戶在賬單日及時查看消費賬單,及時發現可疑的扣費信息。
*本文作者:騰訊手機管家,轉載請註明來自FreeBuf.COM
聲明:該文觀點僅代表作者本人,搜狐號系信息發佈平臺,搜狐僅提供信息存儲空間服務。
