|
????今年上半年,手機(jī)流氓推廣木馬呈現(xiàn)了泛濫的勢頭,“自動下軟件”、“自己下軟件”,“不停下軟件”成為網(wǎng)絡(luò)上廣大手機(jī)用戶關(guān)注的焦點(diǎn)。在此過程中,一條黑色產(chǎn)業(yè)鏈也在悄然形成,更因其數(shù)量驚人成為新的黑色暴利產(chǎn)業(yè)。 ????用戶手機(jī)流量電量“被消耗” 流氓推廣暴利驚人 ????來自網(wǎng)秦“云安全”監(jiān)測平臺的數(shù)據(jù)顯示,在2012年上半年截獲的“遠(yuǎn)程控制木馬”類惡意軟件中,超過70%具備接收服務(wù)器指令后通過聯(lián)網(wǎng)下載、強(qiáng)行推送到用戶手機(jī)進(jìn)行流氓推廣的行為。僅2012年上半年,手機(jī)流氓推廣木馬已在全球范圍內(nèi)直接感染手機(jī)521萬部(其中中國大陸地區(qū)468萬部),以其平均日下載2次X單次安裝1元的平均結(jié)算價(jià)格計(jì)算,僅在一天時間內(nèi),通過“遠(yuǎn)程控制木馬”實(shí)施惡意推廣的最高獲利或達(dá)936萬元。 ????測試顯示,像“耗電行者”這樣的惡意軟件,平均每日下載3到5次,單個推廣文件體積在3至6MB之間(黑客可通過遠(yuǎn)程服務(wù)器非常靈活的配置下載頻次和下載內(nèi)容,對時長等隨意定制),大量消耗用戶的手機(jī)上網(wǎng)流量,平均每天平白耗費(fèi)20-30MB流量。 ????電量方面,“耗電行者”會啟動大量的CPU數(shù)據(jù)運(yùn)算,從而導(dǎo)致大量的手機(jī)電量損耗。經(jīng)測試,正常Android手機(jī)在充滿電量情況下,通常待機(jī)時間在28至35小時左右,而手機(jī)在感染“耗電行者”后,在后臺下載、安裝過程中會大量損耗電量。 ????惡意廣告聯(lián)盟強(qiáng)行刷機(jī)內(nèi)置應(yīng)用 蒙蔽廣告主從中謀利 ????目前,手機(jī)廣告主為有效推廣自身應(yīng)用,通常會通過渠道代理來進(jìn)行廣告投放的方式來增加用戶量,并以實(shí)際效果,如下載次數(shù)、激活次數(shù)與之結(jié)算。渠道代理商則會通過在應(yīng)用商店中做推薦、與終端廠商進(jìn)行預(yù)裝合作等正規(guī)形式來為其增加用戶,并于廣告主正常結(jié)算。 ????然而,由于受廣告主不菲的結(jié)算價(jià)格誘惑,一些渠道代理商(惡意推廣聯(lián)盟)會不惜通過惡意軟件聯(lián)網(wǎng)自動下載、強(qiáng)行刷機(jī)內(nèi)置的流氓推廣的方式來強(qiáng)推應(yīng)用,并通過一條密集的、連貫的流氓推廣產(chǎn)業(yè)鏈來快速達(dá)成推廣指標(biāo),從而蒙蔽廣告主,與之結(jié)算分成,從中謀利。 ????惡意推廣聯(lián)盟會直接自制或伙同從事惡意軟件制作的黑客將包含推送這些應(yīng)用的網(wǎng)址加入到如“炸彈人”、“硬幣海盜”、“財(cái)急送”等熱門應(yīng)用之中,并通過一些安全認(rèn)證薄弱的應(yīng)用商店騙取用戶下載。 ????通過這一方式,用戶手機(jī)的流量電量會大量損耗,同時,他們還成為了被利用的對象,惡意推廣聯(lián)盟通過分成收益,根據(jù)傳播頻次謀取暴利。而廣告主同樣也將因被惡意推廣聯(lián)盟蒙蔽而遭受損失,在投入不菲經(jīng)費(fèi)后反只獲得低質(zhì)量用戶,并因產(chǎn)品“被流氓推廣”造成用戶的強(qiáng)烈反感,使品牌嚴(yán)重受損。 ????此外,惡意推廣聯(lián)盟還會通過不同渠道,采用刷機(jī)方式將這些應(yīng)用強(qiáng)行內(nèi)置到用戶的手機(jī)之中,他們與一些水貨刷機(jī)市場合作,將出廠手機(jī)中原已內(nèi)置的應(yīng)用刪除,再重新內(nèi)置到新的推廣應(yīng)用,重新包裝后銷售,此時當(dāng)消費(fèi)者購買到手機(jī)后,就會在聯(lián)網(wǎng)過程中自動返回激活信息,惡意推廣聯(lián)盟以此來蒙蔽廣告主試圖騙取收益。 ????流氓推廣木馬可靈活配置下載 誘騙用戶安裝與黑客分成 ????據(jù)網(wǎng)秦2012年上半年全球手機(jī)安全報(bào)告稱,流氓推廣木馬在特征上也出現(xiàn)了較多的變換,其可對服務(wù)器網(wǎng)址進(jìn)行加密,可靈活配置下載列表,且隱蔽自身特征,偽裝提示安裝,還可自動判斷手機(jī)是否具備ROOT權(quán)限等。 ????目前多數(shù)手機(jī)流氓推廣軟件均對用于推送軟件的服務(wù)器地址進(jìn)行了加密處理,在感染手機(jī)后再通過解密指令讀取,從而再讀出其中的服務(wù)器列表,推送指令和下載內(nèi)容。解密完成后,便可讀取服務(wù)器地址,其中包含有用于流氓推廣的指令以及黑客配置好的下載列表,而這個下載列表,實(shí)際通過服務(wù)器端可進(jìn)行靈活配置。 ????同時,根據(jù)指令,在下載、安裝過程中,流氓推廣木馬還可自動檢測當(dāng)前網(wǎng)絡(luò)狀態(tài)。設(shè)置其延遲時間,若網(wǎng)絡(luò)為wifi則立刻下載,若為其他,則每隔若干小時下載一次。而在自動下載完成后,流氓推廣木馬還可通過服務(wù)器指令配置彈窗顯示的文字內(nèi)容,如以“系統(tǒng)更新”為名誘騙用戶點(diǎn)擊安裝,而一旦安裝后則會記錄次數(shù)上傳以與黑客分成。 ????目前手機(jī)流氓推廣木馬多已具備對ROOT權(quán)限這一Android系統(tǒng)的核心權(quán)限的判定過程,如針對帶root的手機(jī),樣本會運(yùn)行命令申請獲得root權(quán)限,用戶一旦授予權(quán)限,樣本便會在后臺將SD卡的download文件夾下的樣本,靜默安裝在/data/data/路徑下,獲取root權(quán)限直接完成安裝。 ????針對未ROOT的用戶,樣本下載后會通過通知欄通知用戶“系統(tǒng)更新,您好,已經(jīng)獲取最新更新,請點(diǎn)擊安裝”等欺騙性詞匯,誘導(dǎo)用戶安裝下載的軟件。 |