頗受女性、青少年兒童中意的換裝、裝扮類休閑小游戲看似“人畜無(wú)害”,但因一款名為“DowginCw”的新型病毒出現(xiàn)讓它們成為了手機(jī)“殺手”。
中新網(wǎng)記者近日從阿里巴巴錢盾反詐實(shí)驗(yàn)室獲悉,11月24日發(fā)現(xiàn)了“DowginCw”病毒。
錢盾反欺詐實(shí)驗(yàn)安全技術(shù)專家魏鋒(化名)表示,通過(guò)錢盾惡意代碼智能檢測(cè)引擎,基于靜態(tài)文件特征、動(dòng)態(tài)行為、網(wǎng)絡(luò)流量等維度特征進(jìn)行深度學(xué)習(xí)而構(gòu)建智能模型,在海量樣本關(guān)聯(lián)挖掘相同家族的惡意應(yīng)用及其變種。
由于上述新型病毒會(huì)聯(lián)網(wǎng)加載“CWAPI”插件,故將其命名為“DowginCw”病毒家族。
“DowginCw”相比之前的手機(jī)病毒有何特別之處?“DowginCw”病毒家族通過(guò)插件形式集成到大量?jī)和螒驊?yīng)用中,然后通過(guò)發(fā)布于各大應(yīng)用商店,或軟件強(qiáng)制更新等手段安裝到用戶手機(jī)設(shè)備中,用戶一旦運(yùn)行,設(shè)備將不停下載、安裝其他惡意應(yīng)用,直接造成用戶手機(jī)卡頓,話費(fèi)資損,個(gè)人隱私泄漏等風(fēng)險(xiǎn)。
根據(jù)檢測(cè),魔仙公主換裝、魔仙公主裝扮游戲、巴拉拉公主蛋糕、奇妙蛋糕屋游戲、葉蘿莉美甲師(免費(fèi)版)等位列被“DowginCw”感染手機(jī)游戲前十位。
相關(guān)數(shù)據(jù)表明,早在去年10月“DowginCw”病毒家族就上架應(yīng)用商店,目前,多家應(yīng)用商店仍能下載到此惡意應(yīng)用,其中幾款應(yīng)用下載量甚至高達(dá)3千萬(wàn),疑似存在刷榜、刷量、刷評(píng)分,來(lái)誘騙用戶下載。
從國(guó)內(nèi)感染區(qū)域分布,河南、四川、山東等人口大省是“DowginCw”病毒的重災(zāi)區(qū),病毒家族發(fā)布于各大應(yīng)用商店,很容易進(jìn)入用戶手機(jī)。
魏鋒指出,“DowginCw”具有成熟的免殺技術(shù),包括利用廠商殼加固和惡意代碼插件化技術(shù)繞過(guò)殺軟特碼查殺,以及惡意代碼塊延遲加載躲避動(dòng)態(tài)沙盒監(jiān)測(cè)。利用這套技術(shù),免殺病毒可在殺毒軟件面前肆無(wú)忌憚地實(shí)施惡意行為而不被發(fā)現(xiàn),最終成功上架知名應(yīng)用商店和長(zhǎng)期駐留用戶設(shè)備。
更應(yīng)引起注意的是,由制馬人、廣告平臺(tái)、多渠道分發(fā)、轉(zhuǎn)賬洗錢等已經(jīng)構(gòu)成了“DowginCw”黑色產(chǎn)業(yè)鏈的關(guān)鍵環(huán)節(jié)。
其中制馬人團(tuán)隊(duì)負(fù)責(zé)開發(fā)維護(hù),以及免殺處理,目前病毒已迭代到5.0版本,特點(diǎn)包括:能以插件形式集成到任意app;代碼延遲加載,由云端下發(fā)惡意插件;字符串加密,代碼強(qiáng)混淆等技術(shù),可見(jiàn)“DowginCw”開發(fā)團(tuán)隊(duì)專業(yè)度之高。
“廣告平臺(tái)”角色是“DowginCw”病毒的主要賺錢方式,通過(guò)在黑市宣傳推廣能力,以成功下載應(yīng)用或成功安裝病毒木馬收費(fèi)。
“多渠道分發(fā)”團(tuán)隊(duì)在整個(gè)鏈條中處于相對(duì)核心的地位,通過(guò)與某些應(yīng)用合作,成功集成“DowginCw”插件,致使能上架知名應(yīng)用商店。
從實(shí)際運(yùn)作來(lái)看,整個(gè)圈子除了上述幾個(gè)重要角色外,一些環(huán)節(jié)還會(huì)有其他“黑產(chǎn)”人員參與其中,比如上架應(yīng)用商店后,想要讓app曝光誘騙用戶下載,會(huì)請(qǐng)專業(yè)人員進(jìn)行刷榜,刷量,刷好評(píng)。
目前,錢盾反詐實(shí)驗(yàn)室已攔截查殺2603款“DowginCw”病毒家族應(yīng)用。近兩月該病毒家族樣本查殺量已達(dá)93萬(wàn)多個(gè),平均每日感染用戶過(guò)萬(wàn),共計(jì)感染87萬(wàn)用戶設(shè)備。