欺骗“耳目”的刷量木马首次出现 360报告揭露幕后黑产

[摘要]对于木马病毒,相信每个人都谈之色变。虽然我们的安全防范意识在不断增强,但现在的木马也变得越来越狡猾,伪装及隐藏方式也变得更加多样化
对于木马病毒,相信每个人都谈之色变。虽然我们的安全防范意识在不断增强,但现在的木马也变得越来越狡猾,伪装及隐藏方式也变得更加多样化并越来越隐蔽,让人难以发现。近日,360烽火实验室发布了《StealthBot:150余个小众手机品牌预置刷量木马销往中小城市》报告,披露了StealthBot木马的新型隐藏方式,对其运行方式及产业链也进行了全面曝光。

欺骗视听 StealthBot木马隐藏方式极为巧妙

不足4个月的时间,StealthBot木马的感染量已超过400万,极大威胁着我们的手机安全。与其他刷量作弊木马隐藏方式不同的是,StealthBot为了避免被用户发现,采用了极为巧妙的隐藏方式遮人耳目,欺骗了人体感官的视觉和听觉。

图1:视觉欺骗及推广过程模拟图

在视觉方面,StealthBot采用透明窗体(使用透明且无焦点的WebView窗口覆盖正常的应用程序窗口)来欺骗我们的眼睛,也就是说我们的手机屏幕上被覆盖了一个带有病毒的透明显示层,这一做法相信每一位用户都无法发现,但是却难以逃脱360安全专家的法眼。安全专家在对木马病毒代码解析过程中,发现了图2所示的透明窗体代码片段。

图2:透明窗体代码片段

在听觉方面,平时我们在播放视频或者动画页面时候是有声音的。StealthBot为了防止“露出狐狸尾巴”,采用了静音的伪装方式,通过调用JavaScript脚本设置成页面静音,让人无法察觉。这种设置静音方式,在刷量木马上是首次出现,以往只出现在电信诈骗场景中,用于辅助窃取验证码短信信息和来电转移。

图3:设置页面静音代码片段

隐藏及传播方式与众不同 专家提醒应及时升级病毒库

不得不说,在非法利益的驱动之下,木马病毒简直是丧心病狂并绞尽脑汁,在隐藏及伪装方面不断升级,以往的木马病毒往往嵌入或伪装到热门应用程序外挂或收费软件的破解版之中。比如,3月份曝光的RottenSys恶意软件,主要通过电话分销平台来进行传播,攻击者在该环节上通过“刷机”或APP(再root)的方式,在手机到达用户手中前,就已经在手机上安装了部分RottenSys恶意软件,从而达到感染传播的效果,这种攻击及传播方式在移动平台上已屡见不鲜。

StealthBot木马病毒的逃逸技术可谓高超,其掩人耳目的隐藏方式、庞大的刷量业务范围及与众不同的攻击目标。在运行及传播方式方面,360的报告指出,StealthBot木马会伪装成系统应用,并隐藏图标,接收指定的大量系统广播或者自定义广播启动。这种传播方式引发了360安全团队的高度重视,通过对这一木马病毒的深入研究发现了其运作的全过程,并通过技术手段对木马进行了全面围剿。

当前,手机接入互联网的入口变得越来越多,感染风险也在不断加大。360安全专家建议广大用户可通过安装并升级360手机卫士病毒库等手段对手机进行全面病毒查杀,拦截风险程序,使手机免遭木马病毒侵扰,避免财产遭受损失。




免责声明:

本站系本网编辑转载,会尽可能注明出处,但不排除无法注明来源的情况,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题,请在30日内与本网联系, 来信: liujun@soft6.com 我们将在收到邮件后第一时间删除内容!

[声明]本站文章版权归原作者所有,内容为作者个人观点,不代表本网站的观点和对其真实性负责,本站拥有对此声明的最终解释权。