原标题: 新病毒藏身游戏或色情app,恶意安装扣费程序,几千万手机中招

来源:财经天下周刊

文| AI财经社 刘丹如

明星公主换装、疯狂消宝石等小游戏,由于占用空间小,一直是许多人的碎片时间玩伴,尽管各种大型游戏层出不穷,装机量仍然居高不下。但这种看来“人畜无害”的小游戏,却被黑客盯上成为最新的黑产提款机。

近期,阿里巴巴钱盾反诈实验室发现,一些新木马病毒,会被包装到很多装机量很大的儿童应用游戏中,普通杀毒软件发现不了,用户可以顺利下载。装机成功后,手机会不停的下载安装恶意扣费应用,系统会被破坏,继而手机开始卡顿、话费资损、隐私泄漏。这些恶意病毒已经形成了一整条恶意推广黑色产业链条,由制马人、广告平台、多渠道分发、转账洗钱构成。

新病毒藏身游戏App:恶意装扣费程序 几千万手机中招-势活

数千万下载 每日上万用户手机被感染

据AI财经社了解,这种病毒叫DowginCw病毒,是阿里巴巴钱盾反诈实验室,在今年11月24日通过钱盾恶意代码智能监测引擎,感知并捕获的。由于该批病毒会联网加载“CWAPI”插件,故将其命名为“DowginCw”病毒家族。

近两月该病毒家族样本查杀量已达93w多个,平均每日感染用户过万,共计感染87w用户设备。这种病毒家族通过插件形式集成到大量儿童游戏应用中,然后通过发布于各大应用商店,或软件强制更新等手段安装到用户手机设备中,用户一旦运行,设备将不停下载、安装其他恶意应用,直接造成用户手机卡顿,话费资损,个人隐私泄漏等风险。

目前,钱盾反诈实验室已拦截查杀2603款“DowginCw”病毒家族应用。

新病毒藏身游戏App:恶意装扣费程序 几千万手机中招-势活

恶意代码智能监测引擎是钱盾反诈AI大脑的核心引擎之一,原理是基于静态文件特征、动态行为、网络流量等维度特征进行深度学习构建智能模型,用于在海量样本关联挖掘相同家族的恶意应用及其变种。

从技术层面讲,手机病毒和杀毒软件一直处于“道高一尺,魔高一丈”的升级和斗法当中。此次的DowginCw为了能上架应用商店和长期驻留用户设备,使用了一套成熟的免杀技术,包括使用国内某几家厂商加固以及恶意代码插件化技术,绕过主流杀软特征查杀,恶意代码块延迟加载躲避动态沙盒监测。利用这套技术,免杀病毒可以在杀软面前肆无忌惮地实施恶意行为而不被发现,最终成功上架知名应用商店和长期驻留用户设备。

形成黑色产业链 强制安装恶意应用扣费

实际上,早在去年10月“DowginCw”病毒家族就上架应用商店,目前,多家应用商店仍能下载到此恶意应用,其中几款应用下载量甚至高达3千万,疑似存在刷榜、刷量、刷评分,来诱骗用户下载的行为。

在查杀该类病毒的过程中,钱盾实验室发现恶意推送的应用全部来自xiongjiong[。]com和youleyy[。]com这两个域名。

下载的应用以伪装成游戏和色情类app为主,也就是在下载该类应用后,手机会启动发送扣费短信。还有一部分应用会向手机系统推荐其他恶意应用,比如《我的世界》、《绝地求生》等游戏。

目前“DowginCw”已经形成了一整条恶意推广黑色产业链条,该产业链由制马人、广告平台、多渠道分发、转账洗钱构成。

制马人团队负责开发维护,以及免杀处理,目前病毒已迭代到5.0版本,特点能以插件形式集成到任意app;代码延迟加载,且由云端下发;字符串加密,代码强混淆等。

新病毒藏身游戏App:恶意装扣费程序 几千万手机中招-势活

“广告平台”角色通过在黑市进行能力宣传,并明码标价,以成功下载、安装、启动应用收费。

“多渠道分发”团队在整个链条中处于相对核心的地位,通过与某些应用合作,集成DowginCw插件,最终成功上架国内知名应用商店。

从实际运作来看,整个圈子除了上述几个重要角色外,一些环节还会有其他黑产人员参与其中,比如上架应用商店后,想要让app曝光诱骗用户下载,会请专业人员进行刷榜,刷量,刷好评。

钱盾反欺诈实验安全技术专家魏锋(化名)表示:“目前只有钱盾App支持“DowginCw”病毒家族查杀。”他建议用户安装安全防护软件,定期使用进行病毒查杀。以防止新的手机病毒侵害用户的手机。