 當(dāng)前,隨著智能手機(jī)的普及���,各種形式的手機(jī)病毒大量肆虐傳播���,手機(jī)應(yīng)用惡意扣費(fèi)��、竊取用戶隱私等行為日益嚴(yán)重。
今年上半年���,手機(jī)流氓推廣木馬呈現(xiàn)了泛濫的勢頭��,“自動下軟件”���、“自己下軟件”,“不停下軟件”成為網(wǎng)絡(luò)上廣大手機(jī)用戶關(guān)注的焦點(diǎn)���。在此過程中���,一條黑色產(chǎn)業(yè)鏈也在悄然形成,更因其數(shù)量驚人成為新的黑色暴利產(chǎn)業(yè)��。
用戶手機(jī)流量電量“被消耗” 流氓推廣暴利驚人
來自網(wǎng)秦“云安全”監(jiān)測平臺的數(shù)據(jù)顯示���,在2012年上半年截獲的“遠(yuǎn)程控制木馬”類惡意軟件中�����,超過70%具備接收服務(wù)器指令后通過聯(lián)網(wǎng)下載�、強(qiáng)行推送到用戶手機(jī)進(jìn)行流氓推廣的行為。僅2012年上半年�����,手機(jī)流氓推廣木馬已在全球范圍內(nèi)直接感染手機(jī)521萬部(其中中國大陸地區(qū)468萬部)��,以其平均日下載2次X單次安裝1元的平均結(jié)算價(jià)格計(jì)算�,僅在一天時(shí)間內(nèi),通過“遠(yuǎn)程控制木馬”實(shí)施惡意推廣的最高獲利或達(dá)936萬元�����。
測試顯示�,像“耗電行者”這樣的惡意軟件,平均每日下載3到5次�����,單個(gè)推廣文件體積在3至6MB之間(黑客可通過遠(yuǎn)程服務(wù)器非常靈活的配置下載頻次和下載內(nèi)容�����,對時(shí)長等隨意定制)��,大量消耗用戶的手機(jī)上網(wǎng)流量,平均每天平白耗費(fèi)20-30MB流量��。
電量方面��,“耗電行者”會啟動大量的CPU數(shù)據(jù)運(yùn)算��,從而導(dǎo)致大量的手機(jī)電量損耗��。經(jīng)測試���,正常Android手機(jī)在充滿電量情況下,通常待機(jī)時(shí)間在28至35小時(shí)左右���,而手機(jī)在感染“耗電行者”后���,在后臺下載、安裝過程中會大量損耗電量��。
惡意廣告聯(lián)盟強(qiáng)行刷機(jī)內(nèi)置應(yīng)用 蒙蔽廣告主從中謀利
目前�,手機(jī)廣告主為有效推廣自身應(yīng)用,通常會通過渠道代理來進(jìn)行廣告投放的方式來增加用戶量�,并以實(shí)際效果,如下載次數(shù)�、激活次數(shù)與之結(jié)算��。渠道代理商則會通過在應(yīng)用商店中做推薦��、與終端廠商進(jìn)行預(yù)裝合作等正規(guī)形式來為其增加用戶�,并于廣告主正常結(jié)算��。
然而�����,由于受廣告主不菲的結(jié)算價(jià)格誘惑�,一些渠道代理商(惡意推廣聯(lián)盟)會不惜通過惡意軟件聯(lián)網(wǎng)自動下載、強(qiáng)行刷機(jī)內(nèi)置的流氓推廣的方式來強(qiáng)推應(yīng)用�,并通過一條密集的、連貫的流氓推廣產(chǎn)業(yè)鏈來快速達(dá)成推廣指標(biāo)�,從而蒙蔽廣告主,與之結(jié)算分成�����,從中謀利���。
惡意推廣聯(lián)盟會直接自制或伙同從事惡意軟件制作的黑客將包含推送這些應(yīng)用的網(wǎng)址加入到如“炸彈人”���、“硬幣海盜”、“財(cái)急送”��、“京東商城”等熱門應(yīng)用之中�,并通過一些安全認(rèn)證薄弱的應(yīng)用商店騙取用戶下載�����。
通過這一方式�,用戶手機(jī)的流量電量會大量損耗���,同時(shí)�,他們還成為了被利用的對象���,惡意推廣聯(lián)盟通過分成收益,根據(jù)傳播頻次謀取暴利���。而廣告主同樣也將因被惡意推廣聯(lián)盟蒙蔽而遭受損失��,在投入不菲經(jīng)費(fèi)后反只獲得低質(zhì)量用戶��,并因產(chǎn)品“被流氓推廣”造成用戶的強(qiáng)烈反感��,使品牌嚴(yán)重受損��。
此外�����,惡意推廣聯(lián)盟還會通過不同渠道��,采用刷機(jī)方式將這些應(yīng)用強(qiáng)行內(nèi)置到用戶的手機(jī)之中���,他們與一些水貨刷機(jī)市場合作,將出廠手機(jī)中原已內(nèi)置的應(yīng)用刪除�����,再重新內(nèi)置到新的推廣應(yīng)用,重新包裝后銷售�,此時(shí)當(dāng)消費(fèi)者購買到手機(jī)后,就會在聯(lián)網(wǎng)過程中自動返回激活信息�����,惡意推廣聯(lián)盟以此來蒙蔽廣告主試圖騙取收益�����。
流氓推廣木馬可靈活配置下載 誘騙用戶安裝與黑客分成
據(jù)網(wǎng)秦2012年上半年全球手機(jī)安全報(bào)告稱�����,流氓推廣木馬在特征上也出現(xiàn)了較多的變換��,其可對服務(wù)器網(wǎng)址進(jìn)行加密,可靈活配置下載列表���,且隱蔽自身特征�����,偽裝提示安裝��,還可自動判斷手機(jī)是否具備ROOT權(quán)限等���。
目前多數(shù)手機(jī)流氓推廣軟件均對用于推送軟件的服務(wù)器地址進(jìn)行了加密處理�,在感染手機(jī)后再通過解密指令讀取�����,從而再讀出其中的服務(wù)器列表���,推送指令和下載內(nèi)容�。解密完成后��,便可讀取服務(wù)器地址���,其中包含有用于流氓推廣的指令以及黑客配置好的下載列表���,而這個(gè)下載列表,實(shí)際通過服務(wù)器端可進(jìn)行靈活配置�。
同時(shí),根據(jù)指令��,在下載、安裝過程中�����,流氓推廣木馬還可自動檢測當(dāng)前網(wǎng)絡(luò)狀態(tài)��。設(shè)置其延遲時(shí)間���,若網(wǎng)絡(luò)為wifi則立刻下載���,若為其他,則每隔若干小時(shí)下載一次�����。而在自動下載完成后�����,流氓推廣木馬還可通過服務(wù)器指令配置彈窗顯示的文字內(nèi)容�����,如以“系統(tǒng)更新”為名誘騙用戶點(diǎn)擊安裝���,而一旦安裝后則會記錄次數(shù)上傳以與黑客分成��。
目前手機(jī)流氓推廣木馬多已具備對ROOT權(quán)限這一Android系統(tǒng)的核心權(quán)限的判定過程�,如針對帶root的手機(jī)��,樣本會運(yùn)行命令申請獲得root權(quán)限�,用戶一旦授予權(quán)限,樣本便會在后臺將SD卡的download文件夾下的樣本�����,靜默安裝在/data/data/路徑下�,獲取root權(quán)限直接完成安裝。
針對未ROOT的用戶�����,樣本下載后會通過通知欄通知用戶“系統(tǒng)更新��,您好�����,已經(jīng)獲取最新更新���,請點(diǎn)擊安裝”等欺騙性詞匯�,誘導(dǎo)用戶安裝下載的軟件。
12-07-28
|
