頗受女性、青少年兒童中意的換裝、裝扮類休閑小游戲看似“人畜無害”,但因一款名為“DowginCw”的新型病毒出現讓它們成為了手機“殺手”。
中新網記者近日從阿裡巴巴錢盾反詐實驗室獲悉,11月24日發現了“DowginCw”病毒。
錢盾反欺詐實驗安全技術專家魏鋒(化名)表示,通過錢盾惡意代碼智能檢測引擎,基於靜態文件特征、動態行為、網絡流量等維度特征進行深度學習而構建智能模型,在海量樣本關聯挖掘相同家族的惡意應用及其變種。
由於上述新型病毒會聯網加載“CWAPI”插件,故將其命名為“DowginCw”病毒家族。
“DowginCw”相比之前的手機病毒有何特別之處?“DowginCw”病毒家族通過插件形式集成到大量兒童游戲應用中,然后通過發布於各大應用商店,或軟件強制更新等手段安裝到用戶手機設備中,用戶一旦運行,設備將不停下載、安裝其他惡意應用,直接造成用戶手機卡頓,話費資損,個人隱私泄漏等風險。
根據檢測,魔仙公主換裝、魔仙公主裝扮游戲、巴拉拉公主蛋糕、奇妙蛋糕屋游戲、葉蘿莉美甲師(免費版)等位列被“DowginCw”感染手機游戲前十位。
相關數據表明,早在去年10月“DowginCw”病毒家族就上架應用商店,目前,多家應用商店仍能下載到此惡意應用,其中幾款應用下載量甚至高達3千萬,疑似存在刷榜、刷量、刷評分,來誘騙用戶下載。
從國內感染區域分布,河南、四川、山東等人口大省是“DowginCw”病毒的重災區,病毒家族發布於各大應用商店,很容易進入用戶手機。
魏鋒指出,“DowginCw”具有成熟的免殺技術,包括利用廠商殼加固和惡意代碼插件化技術繞過殺軟特碼查殺,以及惡意代碼塊延遲加載躲避動態沙盒監測。利用這套技術,免殺病毒可在殺毒軟件面前肆無忌憚地實施惡意行為而不被發現,最終成功上架知名應用商店和長期駐留用戶設備。
更應引起注意的是,由制馬人、廣告平台、多渠道分發、轉賬洗錢等已經構成了“DowginCw”黑色產業鏈的關鍵環節。
其中制馬人團隊負責開發維護,以及免殺處理,目前病毒已迭代到5.0版本,特點包括:能以插件形式集成到任意app﹔代碼延遲加載,由雲端下發惡意插件﹔字符串加密,代碼強混淆等技術,可見“DowginCw”開發團隊專業度之高。
“廣告平台”角色是“DowginCw”病毒的主要賺錢方式,通過在黑市宣傳推廣能力,以成功下載應用或成功安裝病毒木馬收費。
“多渠道分發”團隊在整個鏈條中處於相對核心的地位,通過與某些應用合作,成功集成“DowginCw”插件,致使能上架知名應用商店。
從實際運作來看,整個圈子除了上述幾個重要角色外,一些環節還會有其他“黑產”人員參與其中,比如上架應用商店后,想要讓app曝光誘騙用戶下載,會請專業人員進行刷榜,刷量,刷好評。
目前,錢盾反詐實驗室已攔截查殺2603款“DowginCw”病毒家族應用。近兩月該病毒家族樣本查殺量已達93萬多個,平均每日感染用戶過萬,共計感染87萬用戶設備。(夏賓)