近日,騰訊手機管家聯(lián)合騰訊安全反詐騙實驗室更新發(fā)布《銀行提款機驚現(xiàn)病毒:繞過殺毒軟件達到牟利目的》報告(以下簡稱“報告”),曝光一批惡意扣費病毒及變種,因惡意扣費的病毒行為,將其命名為“銀行提款機”,指出此批病毒變種主要通過自我社工隱藏方式以及動態(tài)加載組裝,繞開殺毒軟件的查殺,完成惡意扣費的黑產(chǎn)變現(xiàn)任務。
“銀行提款機”病毒藏身色情、游戲類應用,隱蔽性和對抗查殺特征明顯
“我在網(wǎng)頁上查信息,突然彈出個色情廣告彈窗,立即點擊了關(guān)閉按鈕,但手機還是自動下載安裝了一個軟件。隨后收到了十幾條扣費信息,手機話費被扣了二三百,這是什么情況?”相信很多人也都遇到過類似情況,其實頻繁出現(xiàn)在網(wǎng)頁中色情、游戲類小廣告,背后即有可能潛藏著惡意扣費病毒。而且,不法分子設置廣告彈窗被點擊就會自動下載,即便用戶主動點擊關(guān)閉,但依然無法阻止惡意扣費病毒進入手機。
“銀行提款機”惡意扣費病毒早在2018年1月就開始出現(xiàn),截至6月中旬累計感染量超過百萬臺設備。隨著安全廠商采取必要的防治措施后,惡意開發(fā)者也變換了入侵手段,增強隱蔽性,導致病毒感染樣本量呈下降趨勢、感染用戶卻上升的現(xiàn)象,在2018年6月-2019年2月期間感染用戶40萬左右。
(圖:2018年6月后,“銀行提款機”變種病毒樣本呈下降趨勢)
其實,“銀行提款機”病毒最初只是通過廣告彈窗進行推廣,影響用戶使用體驗,并不會直接造成財產(chǎn)損失。面對殺毒軟件的圍追堵截,“銀行提款機”病毒變種的隱蔽性和攻防對抗性變強,主要表現(xiàn)在:其一,利用熱門軟件打包傳播,多為游戲、色情、工具類軟件;其二,惡意軟件開發(fā)者利用代碼加固技術(shù),實現(xiàn)更高的混淆程度;其三,云端服務器配置更新惡意SDK執(zhí)行惡意操作;其四,采用公司化運作模式,幕后負責全面的查殺對抗?!秷蟾妗窋?shù)據(jù)顯示,2018-2019年初,“銀行提款機”新增變種病毒類型主要為色情類,占比高達41%;其次為游戲類,占比為35%。
(圖:“銀行提款機”變種病毒多借助色情、游戲類軟件傳播)
“銀行提款機”黑產(chǎn)變現(xiàn)手段曝光,其產(chǎn)業(yè)鏈團伙坐等“利益分成”
當用戶不小心下載并安裝了“銀行提款機”病毒后,手機話費儼然變成了黑產(chǎn)團伙的提款機?!秷蟾妗吠ㄟ^病毒運行后的流程圖,揭秘了“銀行提款機”病毒在用戶無察覺、無感知的情況下完成惡意扣費的“內(nèi)幕”。
“銀行提款機”病毒在安裝后,會自動操控智能手機,收集手機設備及用戶隱私信息到云端,并下發(fā)惡意文件,然后控制手機發(fā)送某訂閱服務短信。這時,運營商會發(fā)送二次確認短信到手機,確認用戶是否訂購該項服務。對此,“銀行提款機”病毒會自動攔截、自動回復后并刪除短信,相應地,運營商會扣除該項增值服務的費用,這樣用戶在無感知時訂閱了增值服務,被動完成了“惡意扣費”的步驟。
(圖:“銀行提款機”病毒實現(xiàn)惡意扣費的流程圖)
一旦“銀行提款機”病毒APP產(chǎn)生經(jīng)濟效益,其背后的黑產(chǎn)團伙將進行利益“分成”?!秷蟾妗吠ㄟ^對惡意軟件動態(tài)監(jiān)控分析,發(fā)現(xiàn)惡意軟件黑產(chǎn)背后的主要成員包括黑產(chǎn)開發(fā)者、廣告商、網(wǎng)站和分發(fā)平臺,其中黑產(chǎn)開發(fā)者負責集成病毒插件并嵌入安裝包內(nèi),而廣告商、網(wǎng)站、分發(fā)平臺負責投放和管理分發(fā)。譬如,他們可以將病毒樣本投放到某網(wǎng)絡推廣平臺、游戲外掛破解網(wǎng)站,或在小眾應用市場、應用內(nèi)推廣,吸引用戶下載,進而完成變現(xiàn)操作實現(xiàn)牟利分成。
“銀行提款機”病毒及背后的黑色產(chǎn)業(yè)鏈條,成為威脅移動端安全和用戶財產(chǎn)安全的“毒瘤”。在防治方面,需要國家政策、社會各方和技術(shù)層面協(xié)同聯(lián)動,實現(xiàn)對平臺違規(guī)行為的有力打擊,凈化網(wǎng)絡文化環(huán)境。
告別“銀行提款機”惡意扣費,騰訊手機管家建議做好安全防護
大家在了解“銀行提款機”病毒黑產(chǎn)作亂的真相后,又該如何避免被偷話費的意外呢?騰訊手機管家安全專家陳列建議從以下方面進行防護:其一,檢查每個應用程序的權(quán)限,確認程序所申請的權(quán)限與該軟件相符,盡量避免短信權(quán)限授權(quán)以減少風險;其二,安裝騰訊手機管家并定期更新,及時發(fā)現(xiàn)木馬病毒并一鍵清除;其三,下載軟件時選擇應用寶等正規(guī)的應用市場以及官方渠道,避開未進行安全檢測的網(wǎng)站;其四,用戶購買新手機時盡量選擇大型正規(guī)賣場,避免手機系統(tǒng)被裝入惡意預裝軟件;其五,建議用戶在賬單日及時查看消費賬單,及時發(fā)現(xiàn)可疑的扣費信息。
(圖:騰訊手機管家精準查殺“銀行提款機”病毒軟件)
此次“銀行提款機”惡意扣費病毒只是黑色產(chǎn)業(yè)鏈的縮影,騰訊手機管家作為移動端的第一道防線,一直在升級完善殺毒能力,依托自研AI反病毒引擎TRP-AI和自研殺毒引擎TAV,實現(xiàn)對手機端木馬病毒及其變種的精準查殺,保障用戶財產(chǎn)安全。同時,騰訊手機管家還將聯(lián)動警方、企業(yè)共同打擊黑色產(chǎn)業(yè)鏈條,為用戶營造安全的手機使用環(huán)境。
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!