颇受女性、青少年儿童中意的换装、装扮类休闲小游戏看似“人畜无害”,但因一款名为“DowginCw”的新型病毒出现让它们成为了手机“杀手”。
中新网记者近日从阿里巴巴钱盾反诈实验室获悉,11月24日发现了“DowginCw”病毒。
钱盾反欺诈实验安全技术专家魏锋(化名)表示,通过钱盾恶意代码智能检测引擎,基于静态文件特征、动态行为、网络流量等维度特征进行深度学习而构建智能模型,在海量样本关联挖掘相同家族的恶意应用及其变种。
由于上述新型病毒会联网加载“CWAPI”插件,故将其命名为“DowginCw”病毒家族。
“DowginCw”相比之前的手机病毒有何特别之处?“DowginCw”病毒家族通过插件形式集成到大量儿童游戏应用中,然后通过发布于各大应用商店,或软件强制更新等手段安装到用户手机设备中,用户一旦运行,设备将不停下载、安装其他恶意应用,直接造成用户手机卡顿,话费资损,个人隐私泄漏等风险。
根据检测,魔仙公主换装、魔仙公主装扮游戏、巴拉拉公主蛋糕、奇妙蛋糕屋游戏、叶萝莉美甲师(免费版)等位列被“DowginCw”感染手机游戏前十位。
相关数据表明,早在去年10月“DowginCw”病毒家族就上架应用商店,目前,多家应用商店仍能下载到此恶意应用,其中几款应用下载量甚至高达3千万,疑似存在刷榜、刷量、刷评分,来诱骗用户下载。
从国内感染区域分布,河南、四川、山东等人口大省是“DowginCw”病毒的重灾区,病毒家族发布于各大应用商店,很容易进入用户手机。
魏锋指出,“DowginCw”具有成熟的免杀技术,包括利用厂商壳加固和恶意代码插件化技术绕过杀软特码查杀,以及恶意代码块延迟加载躲避动态沙盒监测。利用这套技术,免杀病毒可在杀毒软件面前肆无忌惮地实施恶意行为而不被发现,最终成功上架知名应用商店和长期驻留用户设备。
更应引起注意的是,由制马人、广告平台、多渠道分发、转账洗钱等已经构成了“DowginCw”黑色产业链的关键环节。
其中制马人团队负责开发维护,以及免杀处理,目前病毒已迭代到5.0版本,特点包括:能以插件形式集成到任意app;代码延迟加载,由云端下发恶意插件;字符串加密,代码强混淆等技术,可见“DowginCw”开发团队专业度之高。
“广告平台”角色是“DowginCw”病毒的主要赚钱方式,通过在黑市宣传推广能力,以成功下载应用或成功安装病毒木马收费。
“多渠道分发”团队在整个链条中处于相对核心的地位,通过与某些应用合作,成功集成“DowginCw”插件,致使能上架知名应用商店。
从实际运作来看,整个圈子除了上述几个重要角色外,一些环节还会有其他“黑产”人员参与其中,比如上架应用商店后,想要让app曝光诱骗用户下载,会请专业人员进行刷榜,刷量,刷好评。
目前,钱盾反诈实验室已拦截查杀2603款“DowginCw”病毒家族应用。近两月该病毒家族样本查杀量已达93万多个,平均每日感染用户过万,共计感染87万用户设备。(夏宾)