会员登录 - 用户注册 - 设为首页 - 加入收藏 - 网站地图
当前位置:主页 > 游戏 > 正文

程序员上班偷完游戏老板发现后不怪他反而还励她20万

时间:2018-04-16 06:25 来源:未知 作者:admin 阅读:

  近期,钱盾反诈实验室通过钱盾恶意代码智能监测引擎并捕获一批恶意应用。由于该批病毒会联网加载“CWAPI”插件,故将其命名为“DowginCw”病毒家族。“DowginCw”通过插件形式集成到大量儿童游戏应用中,然后通过发布于各大应用商店或强制软件更新等手段,将恶意代码植入用户手机设备中,用户一旦运行,设备将不停下载、安装其他恶意应用,直接造成用户手机卡顿,话费资损,个人隐私泄漏等风险等。

  “DowginCw”能上架知名应用商店和长期驻留用户设备,是因为它使用了一套成熟的免杀技术,利用这套技术,免杀病毒可在杀软面前地实施恶意行为而不被发现,其免杀技术手段包括:代码加固、插件化,以及代码延迟加载。

  相关数据表明,早在去年10月“DowginCw”病毒家族应用就上架应用商店。其中几款应用下载量甚至高达3千万,疑似存在刷榜,刷量和刷评分,来用户下载。

  分享之前我还是要推荐下我自己创建的大数据学习资料分享群 232840209,这是全国最大的大数据学习交流的地方,2000人聚集,不管你是小白还是大牛,小编我都挺欢迎,今天的源码已经上传到群文件,不定期分享干货,包括我自己整理的一份最新的适合2017年学习的前端资料和零基础入门教程,欢迎初学和进阶中的小伙伴。

  目前,钱盾反诈实验室已拦截查杀“DowginCw”病毒家族2603款应用。下图近两月病毒感染设备次数已达93w,平均每日感染用户过万,共计感染87w用户设备。

  1.恶意代码是在入口activity的attachBaseContext被加载的,也就是应用一启动就会加载恶意代码块。为了动态沙盒监测,恶意行为会延迟30s执行。

  2.访问获取插件Json数据。数据如下,a:插件包下载地址;b:版本号;c:设备sd卡存放;d:恶意弹窗控制指令数据,函数call的参数。

  3.插件下载地址来自xiongjiong[.]com或chunfeifs[.]com。成功下载后,随后动态加载ter5.0.jar,并反射执行“init”方法完成恶意推广行为初始化,下图“CWAPI”的静态代码块,可知DowginCw的弹窗方式。

  4.应用安装成功、网络改变,通过反射调用子包LCReceiver类onReceive函数实现。

  设置恶意推送模式和定时弹应用安装提示窗的指令数据,来自mail[.]zbmcc[.]cn返回的json数据中的b字段值,例如数据指令“1=2,1;3=2;4=2,1;7=3,2,1,30;8=1,1;”会以下3种推送模式和设定弹应用安装提示窗口定时器:

  “DowginCw”每发起一次恶意推送,都会从go[.]1mituan[.]com获取加密的待推送应用数据。

  安装提示窗也是定时执行,若监测到下载应用没被安装,则会弹窗用户安装应用。当应用成功安装,LCReceiver会接受处理“ent.action.PACKAGE_ADDED”,实现应用自启动。如此环环相扣,完成一个又一个恶意应用植入用户设备。

  我们发现恶意推送的应用全部来自域名:xiongjiong[.]com和youleyy[.]com,下载的应用以伪装成游戏和类app为主,大部分属于SmsPay家族(启动发送扣费短信),部分Rootnik家族(root设备向系统目录注入恶意应用),下表部分推送应用:

  如下图所示,由制马人、广告平台、多渠道分发、转账洗钱构成了“DowginCw”黑色产业链的关键环节。

  其中制马人团队负责开发,以及免杀处理,目前病毒已迭代到5.0版本,特点包括:能以插件形式集成到任意app;代码延迟加载,由云端下发恶意插件;字符串加密,代码强混淆等技术,可见“DowginCw”开发团队专业度之高。“广告平台”角色是“DowginCw”病毒的主要赚钱方式,通过在黑市宣传推广能力,以成功下载应用或成功安装病毒木马收费。“多渠道分发”团队在整个链条中处于相对核心的地位,通过与某些应用合作,成功集成“DowginCw”插件,致使能上架知名应用商店。从实际运作来看,整个圈子除了上述几个重要角色外,一些环节还会有其他黑产人员参与其中,比如上架应用商店后,想要让app用户下载,会请专业人员进行刷榜,刷量,涮好评。

  2、其团伙包括:黄某、余某、程某、石某、齐某等9名,其中黄某负责平台推广;余某负责已注册的老域名购买;石某和齐某疑是病毒插件开发人员;其余人员属于下游工作者

  目前,钱盾全面支持“DowginCw”病毒家族清理;用户全盘扫描模式,清理下载的恶意应用安装包。

(责任编辑:admin)

顶一下
(0)
0%
踩一下
(0)
0%
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。