信息來源:中國信息產(chǎn)業(yè)網(wǎng)
頗受女性�、青少年兒童中意的換裝�����、裝扮類休閑小游戲看似“人畜無害”��,但因一款名為“DowginCw”的新型病毒出現(xiàn)讓它們成為了手機(jī)“殺手”��。
中新網(wǎng)記者近日從阿里巴巴錢盾反詐實驗室獲悉��,11月24日發(fā)現(xiàn)了“DowginCw”病毒��。
錢盾反欺詐實驗安全技術(shù)專家魏鋒(化名)表示�����,通過錢盾惡意代碼智能檢測引擎���,基于靜態(tài)文件特征��、動態(tài)行為���、網(wǎng)絡(luò)流量等維度特征進(jìn)行深度學(xué)習(xí)而構(gòu)建智能模型,在海量樣本關(guān)聯(lián)挖掘相同家族的惡意應(yīng)用及其變種�����。
由于上述新型病毒會聯(lián)網(wǎng)加載“CWAPI”插件�,故將其命名為“DowginCw”病毒家族。
“DowginCw”相比之前的手機(jī)病毒有何特別之處���?“DowginCw”病毒家族通過插件形式集成到大量兒童游戲應(yīng)用中���,然后通過發(fā)布于各大應(yīng)用商店�,或軟件強制更新等手段安裝到用戶手機(jī)設(shè)備中���,用戶一旦運行����,設(shè)備將不停下載�、安裝其他惡意應(yīng)用,直接造成用戶手機(jī)卡頓�,話費資損,個人隱私泄漏等風(fēng)險����。
根據(jù)檢測,魔仙公主換裝����、魔仙公主裝扮游戲、巴拉拉公主蛋糕����、奇妙蛋糕屋游戲、葉蘿莉美甲師(免費版)等位列被“DowginCw”感染手機(jī)游戲前十位��。
相關(guān)數(shù)據(jù)表明,早在去年10月“DowginCw”病毒家族就上架應(yīng)用商店���,目前,多家應(yīng)用商店仍能下載到此惡意應(yīng)用��,其中幾款應(yīng)用下載量甚至高達(dá)3千萬�����,疑似存在刷榜����、刷量、刷評分���,來誘騙用戶下載��。
從國內(nèi)感染區(qū)域分布����,河南����、四川�、山東等人口大省是“DowginCw”病毒的重災(zāi)區(qū)����,病毒家族發(fā)布于各大應(yīng)用商店,很容易進(jìn)入用戶手機(jī)����。
魏鋒指出,“DowginCw”具有成熟的免殺技術(shù)���,包括利用廠商殼加固和惡意代碼插件化技術(shù)繞過殺軟特碼查殺����,以及惡意代碼塊延遲加載躲避動態(tài)沙盒監(jiān)測�����。利用這套技術(shù)�����,免殺病毒可在殺毒軟件面前肆無忌憚地實施惡意行為而不被發(fā)現(xiàn)�����,最終成功上架知名應(yīng)用商店和長期駐留用戶設(shè)備。
更應(yīng)引起注意的是��,由制馬人���、廣告平臺、多渠道分發(fā)�����、轉(zhuǎn)賬洗錢等已經(jīng)構(gòu)成了“DowginCw”黑色產(chǎn)業(yè)鏈的關(guān)鍵環(huán)節(jié)���。
其中制馬人團(tuán)隊負(fù)責(zé)開發(fā)維護(hù)�����,以及免殺處理��,目前病毒已迭代到5.0版本��,特點包括:能以插件形式集成到任意app��;代碼延遲加載�����,由云端下發(fā)惡意插件�����;字符串加密���,代碼強混淆等技術(shù)����,可見“DowginCw”開發(fā)團(tuán)隊專業(yè)度之高����。
“廣告平臺”角色是“DowginCw”病毒的主要賺錢方式,通過在黑市宣傳推廣能力�����,以成功下載應(yīng)用或成功安裝病毒木馬收費����。
“多渠道分發(fā)”團(tuán)隊在整個鏈條中處于相對核心的地位,通過與某些應(yīng)用合作�����,成功集成“DowginCw”插件,致使能上架知名應(yīng)用商店�����。
從實際運作來看���,整個圈子除了上述幾個重要角色外�,一些環(huán)節(jié)還會有其他“黑產(chǎn)”人員參與其中�����,比如上架應(yīng)用商店后�����,想要讓app曝光誘騙用戶下載���,會請專業(yè)人員進(jìn)行刷榜,刷量���,刷好評�。
目前,錢盾反詐實驗室已攔截查殺2603款“DowginCw”病毒家族應(yīng)用�。近兩月該病毒家族樣本查殺量已達(dá)93萬多個,平均每日感染用戶過萬��,共計感染87萬用戶設(shè)備���。
