|
今年上半年,手机流氓推广木马呈现了泛滥的势头,“自动下软件”、“自己下软件”,“不停下软件”成为网络上广大手机用户关注的焦点。在此过程中,一条黑色产业链也在悄然形成,更因其数量惊人成为新的黑色暴利产业。 用户手机流量电量“被消耗” 流氓推广暴利惊人 来自网秦“云安全”监测平台的数据显示,在2012年上半年截获的“远程控制木马”类恶意软件中,超过70%具备接收服务器指令后通过联网下载、强行推送到用户手机进行流氓推广的行为。仅2012年上半年,手机流氓推广木马已在全球范围内直接感染手机521万部(其中中国大陆地区468万部),以其平均日下载2次X单次安装1元的平均结算价格计算,仅在一天时间内,通过“远程控制木马”实施恶意推广的最高获利或达936万元。 测试显示,像“耗电行者”这样的恶意软件,平均每日下载3到5次,单个推广文件体积在3至6MB之间(黑客可通过远程服务器非常灵活的配置下载频次和下载内容,对时长等随意定制),大量消耗用户的手机上网流量,平均每天平白耗费20-30MB流量。 电量方面,“耗电行者”会启动大量的CPU数据运算,从而导致大量的手机电量损耗。经测试,正常Android手机在充满电量情况下,通常待机时间在28至35小时左右,而手机在感染“耗电行者”后,在后台下载、安装过程中会大量损耗电量。 恶意广告联盟强行刷机内置应用 蒙蔽广告主从中谋利 目前,手机广告主为有效推广自身应用,通常会通过渠道代理来进行广告投放的方式来增加用户量,并以实际效果,如下载次数、激活次数与之结算。渠道代理商则会通过在应用商店中做推荐、与终端厂商进行预装合作等正规形式来为其增加用户,并于广告主正常结算。 然而,由于受广告主不菲的结算价格诱惑,一些渠道代理商(恶意推广联盟)会不惜通过恶意软件联网自动下载、强行刷机内置的流氓推广的方式来强推应用,并通过一条密集的、连贯的流氓推广产业链来快速达成推广指标,从而蒙蔽广告主,与之结算分成,从中谋利。 恶意推广联盟会直接自制或伙同从事恶意软件制作的黑客将包含推送这些应用的网址加入到如“炸弹人”、“硬币海盗”、“财急送”等热门应用之中,并通过一些安全认证薄弱的应用商店骗取用户下载。 通过这一方式,用户手机的流量电量会大量损耗,同时,他们还成为了被利用的对象,恶意推广联盟通过分成收益,根据传播频次谋取暴利。而广告主同样也将因被恶意推广联盟蒙蔽而遭受损失,在投入不菲经费后反只获得低质量用户,并因产品“被流氓推广”造成用户的强烈反感,使品牌严重受损。 此外,恶意推广联盟还会通过不同渠道,采用刷机方式将这些应用强行内置到用户的手机之中,他们与一些水货刷机市场合作,将出厂手机中原已内置的应用删除,再重新内置到新的推广应用,重新包装后销售,此时当消费者购买到手机后,就会在联网过程中自动返回激活信息,恶意推广联盟以此来蒙蔽广告主试图骗取收益。 流氓推广木马可灵活配置下载 诱骗用户安装与黑客分成 据网秦2012年上半年全球手机安全报告称,流氓推广木马在特征上也出现了较多的变换,其可对服务器网址进行加密,可灵活配置下载列表,且隐蔽自身特征,伪装提示安装,还可自动判断手机是否具备ROOT权限等。 目前多数手机流氓推广软件均对用于推送软件的服务器地址进行了加密处理,在感染手机后再通过解密指令读取,从而再读出其中的服务器列表,推送指令和下载内容。解密完成后,便可读取服务器地址,其中包含有用于流氓推广的指令以及黑客配置好的下载列表,而这个下载列表,实际通过服务器端可进行灵活配置。 同时,根据指令,在下载、安装过程中,流氓推广木马还可自动检测当前网络状态。设置其延迟时间,若网络为wifi则立刻下载,若为其他,则每隔若干小时下载一次。而在自动下载完成后,流氓推广木马还可通过服务器指令配置弹窗显示的文字内容,如以“系统更新”为名诱骗用户点击安装,而一旦安装后则会记录次数上传以与黑客分成。 目前手机流氓推广木马多已具备对ROOT权限这一Android系统的核心权限的判定过程,如针对带root的手机,样本会运行命令申请获得root权限,用户一旦授予权限,样本便会在后台将SD卡的download文件夹下的样本,静默安装在/data/data/路径下,获取root权限直接完成安装。 针对未ROOT的用户,样本下载后会通过通知栏通知用户“系统更新,您好,已经获取最新更新,请点击安装”等欺骗性词汇,诱导用户安装下载的软件。 |