制作木马日赚百万?360独家揭秘手机木马流量黑产
一大波恶意消耗手机流量的木马正席卷国内!日前,国内最大移动互联网安全机构——360手机安全中心发布年内最高级别安全预警,名为“流量僵尸”手机木马已感染近45万部手机,中招者每解锁手机一次都会导致木马疯狂耗流量,日耗流量超百余兆,几天时间就耗损1G流量。“流量僵尸”木马的数字签名和msg.jar包的下载地址均指向深圳市某软件公司,360手机安全中心已经向有关部门进行举报,360手机卫士对“流量僵尸”木马实现首家查杀。
目前感染该木马应用总传播量接近45万次,共发现90款不同名称的应用被植入“流量僵尸”木马,游戏类应用成为重灾区。仅这44万余部被感染的手机,每天就会为木马所指向的导航网站和搜索引擎刷掉约6683万次的虚假请求量。按照国内最大的搜索引擎每日约10亿次的搜索请求量计算,该木马伪造的搜索请求量约可占国内最大搜索引擎日均搜索请求量的6.68%。
360手机安全中心分析发现,被植入“流量僵尸”木马的90款不同名称的应用中,包括天天跑酷、极速狂飙、找你妹等80款游戏类和10款工具类应用,样本数量高达1000余个。分析发现,被感染应用中90%为游戏类,由于游戏类应用流量消耗大,能更好掩饰后台刷站产生的流量损耗,增强木马的隐蔽性,使中招者不易察觉。
“流量僵尸”木马主要有两大恶意行为:疯狂刷网页,耗费巨额流量。木马被激活后,首先会私自下载并加载msg.jar恶意插件,而后在后台执行刷流量动作。分析发现,中招用户每解锁手机一次会损耗0.759M流量。据统计发现,目前每个人每天平均看手机高达150到165次,即每天至少有113.85MB流量因“解锁”被消耗。
通过对部分样本进行取词测试的结果分析来看,“流量僵尸”木马的控制服务器对于搜索关键词的选取是经过精心设计的,不仅和当日新闻热点有关,而且选词范围非常丰富。其中,娱乐新闻最多,占39.3%;其次是商品信息,25.2%;服务信息、一般新闻和时政新闻分别占比15.6%、12.7%、7.2%。这就使得木马所模拟的搜索行为看起来更加真实,更加不容易被一般的搜索引擎的反作弊机制发现。
事实上,通过制作手机木马为指定网站刷流量的行为,已经形成了一条非常隐蔽的黑色产业链,由木马制造的虚假流量成为网站或搜索引擎虚报流量欺骗广告主的依据。而用户损失了手机话费,广告主损失了广告费,被木马导流的网站会与木马作者进行分成。一般来说,按照每千次query(访问请求)5元-20元不等的酬劳,以44万余部被感染手机平均每天能够产生的6683万次的虚假请求量计算,流量僵尸的木马作者每天赚取约33万-134万元的经济收入。
但是,“流量僵尸”木马只是消耗用户手机流量,为网站制造虚假请求量的众多手机木马中的一个。根据360互联网安全中心发布的《2015年第二季度中国手机安全状况报告》数据显示,在2015年4-6月截获的所有550万个安卓平台恶意程序中,通过静默访问等形式消耗用户手机流量资费的恶意程序样本多达442.8万个,占比80.5%。
360手机安全专家指出,除木马之外,网上还有很多公开或半公开的虚假流量交易形式如刷下载量、刷激活量等。移动互联网上至少有相当数量的点击、下载、安装甚至是点赞、评论都并非是真实用户所为,而是由一些木马或自动化工具来完成的,而这些虚假的流量实际上就是移动互联上的流量泡沫,而更需警惕的是流量泡沫背后隐藏的巨大黑洞。