一、背景

近期腾讯反诈骗实验室发现了一款主要以广大学生为主的社交软件“青春期”。该软件打着青年社交的噱头,背地里窃取用户隐私信息,包括电话号码、短信、通讯录等重要隐私信息。这些被窃取的隐私信息,可能被售卖给各个黑产团伙,然后黑产团伙通过这些详细的信息有针对性的对学生进行电信诈骗。

这款以青年社交为噱头的隐私窃取类病毒被我们命名为“YoungCircle”。该病毒软件把握了当代年轻人的心理,以社交+色情的方式吸引用户群体下载安装使用,当用户打开软件的那一刻,用户的隐私信息就在不知不觉中被盗走。当用户注册成功进入软件后,软件显示空白内容,打着年轻人社交的名头,吸引欺骗用户下载安装。

软件内容:

该病毒以社交+色情吸引学生为主的用户使用,窃取用户隐私信息,可能通过向黑产团伙贩卖隐私牟利,黑产团伙再通过这些隐私信息向学生实施精准诈骗。

病毒软件启动后会先让用户注册登录,并且在后台开始窃取用户隐私信息,当用户登录后显示空白内容,由此可以看出该软件就是一个隐私窃取的病毒软件,无实际功能。

二、病毒信息

受感染用户主要分布在云南省和广东省,分别占比12.26%和9.69%。

病毒多以交友类软件命名,吸引广大青年用户安装使用。

病毒后台服务器登录地址:

http://www.******.ml/admin_login.shtml

http://***.**.**.***/admin/common/login.shtml

三、病毒详细分析

病毒信息

软件名

青春期

包名

com.stx.openeyes

证书

证书md5:02fff3d8c737b0bbd8b5f258836c4dc7

Fsha1

87d924a83ad8fb03ca09c0044b4129f5981109d9

软件图标

 

 

1、软件启动后,在主界面SpashActivity中动态申请包括位置、短信等权限。

2、成功获取权限后,启动NewActivity。

3、在NewActivity中窃取包括手机号、短信、地理位置、通讯录等隐私信息。

1)窃取手机通讯录

a.查询通讯录内容

b.获取通讯录

2)获取地理位置信息

3)获取短信箱内容

4)向远程服务器上传窃取到的隐私内容

a.上传通讯录内容

b.上传短信箱内容

c.上传地理位置信息

 

4、病毒涉及的C&C服务器地址:

涉及的C&C服务器地址

http://cs.*******.com/api/uploads/apisms

http://tx.***********.cn/api/uploads/apisms

http://*******.cn/api/uploads/apisms

http://cctv.*******.cn/api/uploads/apisms

http://***.***.***.***/api/uploads/apisms

http://t.*****.cn/api/uploads/apisms

http://tx2.********.top/api/uploads/apisms

http://tx.********.top/api/uploads/apisms

http://cc.*******.com/api/uploads/apisms

http://**.**.***.***/api/uploads/apisms

http://**.***.*.**/api/uploads/apisms

http://xintxl.*******.cn/api/uploads/apisms

http://vip. *******.md.ci/api/uploads/apisms

http://**.***.1.177/api/uploads/apisms

http://www. *******.cn/api/uploads/apisms

http://**.***.155.58/api/uploads/apisms

http:// *******.top/api/uploads/apisms

http://txl. *******.md.ci:443/api/uploads/apisms

http://***.***.220.124/api/uploads/apisms

http://***.***.220.90/api/uploads/apisms

http://www. *******.cn/api/uploads/apisms

http://**.**.132.163/api/uploads/api

http://**.**.73.108/api/uploads/apisms

http:// *******.club/api/uploads/apisms

http://app1. *******.cn/api/uploads/apisms

http://www. *******.cn/api/uploads/apisms

http://txl. *******.cn/api/uploads/apisms

http://www. *******.cn/api/uploads/apisms

http://***.***.220.53/api/uploads/apisms

http://***.***.71.74/api/uploads/apisms

http://app4. *******.cn/api/uploads/apisms

http:// *******.net/api/uploads/apisms

http:// *******.club/api/uploads/apimap

http://app6. *******.cn/api/uploads/apisms

http://bbt. *******.com/api/uploads/apisms

http:// *******.top/api/uploads/apisms

http://**.**.67.124/api/uploads/api

http://***.**.33.193/api/uploads/apisms

http://app2. *******.cn/api/uploads/apisms

http://www. *******.ml/api/uploads/apisms

http://tx1. *******.top/api/uploads/apisms

http://app7. *******.cn/api/uploads/apisms

http:// *******.ml/api/uploads/apisms

http:// *******.md.ci/api/uploads/apisms

http://***.**.33.232/api/uploads/apisms

http://cctz. *******.cn/api/uploads/apisms

http://8888. *******.com/api/uploads/apisms

http://txl. *******.mobi/api/uploads/apisms

http://**.***.169.127/api/uploads/apisms

http://app3. *******.cn/api/uploads/apisms

http:// *******.tk/api/uploads/apisms

http://tx. *******.cn/api/uploads/apisms

http://www. *******.tk/api/uploads/apisms

http://tx. *******.cn/api/uploads/apisms

http://www. *******.tk/api/uploads/apisms

http://app. *******.cn/api/uploads/apisms

http://txl. *******.top/api/uploads/apisms

http://txl.*******.cn/api/uploads/apisms

http://xt.*******.cn/api/uploads/apisms

http://www.*******.com/api/uploads/apisms

 

  • 手机管家查杀截图及建议

 

腾讯反诈骗实验室建议:

1、不安装来源不明的应用,该类应用可能会危害您的手机安全;

2、安装腾讯手机管家,可准确有效的保护您的手机安全;

3、从正规渠道下载安装所需的应用,可有效避免病毒软件;

一、背景

近期腾讯反诈骗实验室发现了一款主要以广大学生为主的社交软件“青春期”。该软件打着青年社交的噱头,背地里窃取用户隐私信息,包括电话号码、短信、通讯录等重要隐私信息。这些被窃取的隐私信息,可能被售卖给各个黑产团伙,然后黑产团伙通过这些详细的信息有针对性的对学生进行电信诈骗。

这款以青年社交为噱头的隐私窃取类病毒被我们命名为“YoungCircle”。该病毒软件把握了当代年轻人的心理,以社交+色情的方式吸引用户群体下载安装使用,当用户打开软件的那一刻,用户的隐私信息就在不知不觉中被盗走。当用户注册成功进入软件后,软件显示空白内容,打着年轻人社交的名头,吸引欺骗用户下载安装。

软件内容:

该病毒以社交+色情吸引学生为主的用户使用,窃取用户隐私信息,可能通过向黑产团伙贩卖隐私牟利,黑产团伙再通过这些隐私信息向学生实施精准诈骗。

病毒软件启动后会先让用户注册登录,并且在后台开始窃取用户隐私信息,当用户登录后显示空白内容,由此可以看出该软件就是一个隐私窃取的病毒软件,无实际功能。

二、病毒信息

受感染用户主要分布在云南省和广东省,分别占比12.26%和9.69%。

病毒多以交友类软件命名,吸引广大青年用户安装使用。

病毒后台服务器登录地址:

http://www.******.ml/admin_login.shtml

http://***.**.**.***/admin/common/login.shtml

三、病毒详细分析

病毒信息

软件名

青春期

包名

com.stx.openeyes

证书

证书md5:02fff3d8c737b0bbd8b5f258836c4dc7

Fsha1

87d924a83ad8fb03ca09c0044b4129f5981109d9

软件图标

 

 

1、软件启动后,在主界面SpashActivity中动态申请包括位置、短信等权限。

2、成功获取权限后,启动NewActivity。

3、在NewActivity中窃取包括手机号、短信、地理位置、通讯录等隐私信息。

1)窃取手机通讯录

a.查询通讯录内容

b.获取通讯录

2)获取地理位置信息

3)获取短信箱内容

4)向远程服务器上传窃取到的隐私内容

a.上传通讯录内容

b.上传短信箱内容

c.上传地理位置信息

 

4、病毒涉及的C&C服务器地址:

涉及的C&C服务器地址

http://cs.*******.com/api/uploads/apisms

http://tx.***********.cn/api/uploads/apisms

http://*******.cn/api/uploads/apisms

http://cctv.*******.cn/api/uploads/apisms

http://***.***.***.***/api/uploads/apisms

http://t.*****.cn/api/uploads/apisms

http://tx2.********.top/api/uploads/apisms

http://tx.********.top/api/uploads/apisms

http://cc.*******.com/api/uploads/apisms

http://**.**.***.***/api/uploads/apisms

http://**.***.*.**/api/uploads/apisms

http://xintxl.*******.cn/api/uploads/apisms

http://vip. *******.md.ci/api/uploads/apisms

http://**.***.1.177/api/uploads/apisms

http://www. *******.cn/api/uploads/apisms

http://**.***.155.58/api/uploads/apisms

http:// *******.top/api/uploads/apisms

http://txl. *******.md.ci:443/api/uploads/apisms

http://***.***.220.124/api/uploads/apisms

http://***.***.220.90/api/uploads/apisms

http://www. *******.cn/api/uploads/apisms

http://**.**.132.163/api/uploads/api

http://**.**.73.108/api/uploads/apisms

http:// *******.club/api/uploads/apisms

http://app1. *******.cn/api/uploads/apisms

http://www. *******.cn/api/uploads/apisms

http://txl. *******.cn/api/uploads/apisms

http://www. *******.cn/api/uploads/apisms

http://***.***.220.53/api/uploads/apisms

http://***.***.71.74/api/uploads/apisms

http://app4. *******.cn/api/uploads/apisms

http:// *******.net/api/uploads/apisms

http:// *******.club/api/uploads/apimap

http://app6. *******.cn/api/uploads/apisms

http://bbt. *******.com/api/uploads/apisms

http:// *******.top/api/uploads/apisms

http://**.**.67.124/api/uploads/api

http://***.**.33.193/api/uploads/apisms

http://app2. *******.cn/api/uploads/apisms

http://www. *******.ml/api/uploads/apisms

http://tx1. *******.top/api/uploads/apisms

http://app7. *******.cn/api/uploads/apisms

http:// *******.ml/api/uploads/apisms

http:// *******.md.ci/api/uploads/apisms

http://***.**.33.232/api/uploads/apisms

http://cctz. *******.cn/api/uploads/apisms

http://8888. *******.com/api/uploads/apisms

http://txl. *******.mobi/api/uploads/apisms

http://**.***.169.127/api/uploads/apisms

http://app3. *******.cn/api/uploads/apisms

http:// *******.tk/api/uploads/apisms

http://tx. *******.cn/api/uploads/apisms

http://www. *******.tk/api/uploads/apisms

http://tx. *******.cn/api/uploads/apisms

http://www. *******.tk/api/uploads/apisms

http://app. *******.cn/api/uploads/apisms

http://txl. *******.top/api/uploads/apisms

http://txl.*******.cn/api/uploads/apisms

http://xt.*******.cn/api/uploads/apisms

http://www.*******.com/api/uploads/apisms

 

  • 手机管家查杀截图及建议

 

腾讯反诈骗实验室建议:

1、不安装来源不明的应用,该类应用可能会危害您的手机安全;

2、安装腾讯手机管家,可准确有效的保护您的手机安全;

3、从正规渠道下载安装所需的应用,可有效避免病毒软件;

一、背景

移花接木,指暗中使用巧计在事情进行过程中更换人或事物来欺骗别人。

近期腾讯安全反诈骗实验室发现了一款网络赌博病毒DownloadGambling。该病毒使用移花接木技术手段,通过“安全的”母包下载赌博软件,从而达到欺骗各大应用商店、安全系统的目的。该病毒首先会判断用户是否为中国用户,如果是中国用户则会私自下载并安装指定的赌博软件,赌博软件从云端下载安装,不需要上架各大应用市场,躲避安全机构的查杀;如果不是中国用户则运行软件本身的功能界面,进行超级伪装。

病毒特点:

软件本身作为载体是安全的,可以轻松绕过各大应用市场的安全检测机制,便于软件上架;

通过载体从云端下载网络赌博软件,用户和监察机构不易发现,增加赌博软件的存活时长;

启动安全的载体软件便会启动赌博软件,增大了与用户接触的几率,间接增加赌博软件的用户量,可能会使更多的用户使用;

受到移花接木影响的主要应用程序感染列表:

病毒运行流程图:          

病毒运行截图:

二、病毒影响范围

DownloadGambling病毒感染用户趋势:

随着打击力度增加,感染用户数呈下降趋势

DownloadGambling病毒感染用户分布图:

感染用户最多的省市为:云南省、广东省、四川,分别占比8.5%、7.8%和5.5%

三、病毒详细分析

作为赌博软件载体的样本信息: 

网络赌博软件样本信息:       

1、软件启动后,通过访问网址获取网络IP地址信息并发送Message信息

获取IP地址信息网址:http://p******.com/c*****n?ie=utf-8         

发送Message信息

2、 在主界面SplashUpdateActivity中对Message信息进行判断处理,当满足IP地址是在中国时,替换软件背景图片并私自下载赌博类软件;到不满足条件时启动MainActivity,运行软件自身功能界面,以此来达到欺骗用户的目的

当满足条件时,调用initNewNetWork方法替换软件背景图片并私自下载指定的赌博软件

当不满足条件时,启动符合软件自身功能的Activity

通过downloadLayout方法替换软件背景图片

背景图片下载地址:https://img.x******ver.com/u****9/201908/p****2.jpg

3、 在initJumpStateJudge方法中判断是否已安装赌博软件,若已安装,则

直接启动赌博软件,若没有安装,则下载赌博软件并安装

存储在本地SharedPreferences中的赌博软件包名

4、 通过autoUpdate方法下载赌博软件

下载赌博软件

安装下载完的赌博软件

四、建议及手机管家查杀截图

腾讯安全反诈骗实验室建议:

1、不安装来源不明的应用,该类应用可能会危害您的手机安全;

2、 安装腾讯手机管家,可准确有效的保护您的手机安全;

3、从正规渠道下载安装所需的应用,可有效避免病毒软件;

受感染应用程序MD5列表:

7704c9f96faf4dda339b7f9bc4028c58

47fe89e3d936f47cc8e73de6269de4b2

560d5f491fb817d26181e76b84974fae

d5561bc8a3f4dd90792069f5cad3fc67

9898cf3a588a9546092c036ee81b56ac

*本文作者:腾讯手机管家,转载请注明来自FreeBuf.COM

一、概要

近日,腾讯安全分析师在应用商店过审的样本中发现,影视类、天气预报、游戏类等软件中存在后门,黑产开发者通过后门云控下发恶意子包到用户设备,进行视频、广告刷量等恶意行为。一旦被感染用户就是黑产的一只“肉鸡”,沦为黑产的工具。

技术对抗手段:

1.方法名混淆成特殊符号,字符串隐藏,加密数组

2.恶意子包云端加载可控,恶意代码并采用动态拼接技术

二、影响面分析

通过样本和下发的恶意子包进行关联分析,然后数据统计,影响用户量已有两百万有余,涉及上千款应用,以下是部分恶意样本信息。

软件名 包名 周用户
奥特曼传奇英雄 com.joym.***.nearme.gamecenter 100+万
奥特曼之格斗超人 com.joym.com****.nearme.gamecenter 40+万
熊出没之熊大快跑2018 com.joym.xiongda****.gamecenter 20+万
奥特曼正义降临 com.huale.justi****nearme.gamecenter 20+万
酷跑奥特曼2 com.huale.ul****.nearme.gamecenter 15+万
熊出没机甲熊大2 com.joym.arm****.nearme.gamecenter 12+万
斑马影视 com.sq****der 10+万
机甲奥特曼 com.joym.arm****nearme.gamecenter 10+万
熊大熊二向前冲 com.joym.bear****nearme.gamecenter 9+万
熊出没森林勇士 com.joym.arm****.nearme.gamecenter 6+万
菠萝影视 com.re****novels 6+万
铠甲勇士战神联盟 com.joym.a****nearme.gamecenter 3+万
星火电视 io.bin****b.demo 2+万
铠甲勇士格斗无双 com.chan****nearme.gamecenter 2+万
夜色福利场 com.mnsy****gbd 2+万
喜羊羊之王者特攻队 com.huale. ****nearme.gamecenter 2+万
天气预报 com.y****ther 1+万
变形超人 com.qrg****r.vivo 8000+
美女束缚 com.m****rgbvj 7000+
铠甲骑士 com.tjg****s.vivo 7000+
大象影视 cn.sil****xiang 6000+
武侠魂 com.tjg****vivo 6000+
番茄影视 com. ****.reader 5000+

三、恶意行为详细分析

以奥特曼传奇英雄为例,对恶意应用的行为进行详细分析。

1、样本基本信息:

软件基本信息
软件名 奥特曼传奇英雄
包名 com.joy******.nearme.gamecenter
证书 1F42CE6E****956D8FA
软件图标

2、作恶流程简介:

3、详细行为分析

a)、样本apk中的集成的恶意代码包:

恶意应用在运行后,首先会连接服务器,下载并加载子包tmpbl.jar。

获取子包下载地址

开始下载tmpbl子包

加载并调用子包

b)、子包tmpbl.jar的功能就是从云端再次下载其他的子包,主要包括:webengine.jar、dec_cf.jar、dec_c.jar等

子包tmpbl.jar通过类com.vmd.out.b.b下载webengine.jar,其功能是模拟用户刷网页视频播放量、精品推荐游戏等。

子包webengine.jar获取视频、广告刷量任务

获取刷量任务后,通过模拟用户操作进行自动刷量

获取坐标:

模拟点击广告

刷视频播放和点击游戏广告

监控到刷视频播放量的地址:

http://www.******.com/w_19rybu9fxh.html

tmpbl.jar通过类doco.arge.c.a.a下载两个新子包dec_cf.jar、dec_c.jar

dec_cf.jar的功能是提供js代码

广告地址里的js代码有,获取广告信息、获取坐标信息、指定元素的模拟点击等方法

子包dec_c.jar的功能是利用webview和js代码完成视频刷量和完成模拟点击广告。

设置Webview与js代码的交互属性

执行js代码

模拟用户点击的方法:

四、相关URL整理

URL 备注
http://zgx.pow****cdn.com/dnfile/cmm/******.jar 下载子包tmpbl.jar地址,
功能是下载其他子包
http://218.98.***8888/zip/*******.jar 下载子包webengine.jar地址,
功能是获取任务、刷量
 http://a.ib****w.com/update_ch/fruit/*******.jar 下载子包dec_cf.jar地址,
功能是提供js代码
http://a.ib***w.com/update_ch/fruit/****.jar 下载子包dec_c.jar地址,
功能是利用webview和js代码刷量
http://cdn.i.*******.com/e/i.js 子包dec_c提供的js代码地址
http://sj.********.com:9000/api/getAd******.do 
http://nb.********.com:9000/api/getAd******Device.dohttp://test********.matchvs.com/api/get*******Device.do
获取刷量任务地址

五、溯源分析

根据我们发现的相关URL的地址,查询到两项备案信息,其中tmpbl子包的下载地址:http://zgx.pow***dn.com/,在网上查询到此域名备案信息属于深圳市速***科技有限公司

子包dec_cf中的地址http://cdn.i***.com/,我们在网上查询到此域名备案信息属于北京宇***科技有限公司

六、应对措施和防护建议

从作恶手法来看,黑产开发者会把恶意代码放在云端来动态加载,恶意行为以前会选择私自发送扣费短信,现在可能会优先考虑用户不容易发现的行为,如利用webview刷视频播放量、模拟用户点击广告等,针对开发者和用户我们给出如下建议:

1、应用开发者在接入具备动态加载子包功能的第三方SDK时需谨慎,防止恶意SDK动态加载恶意行为影响自身的口碑;

2、不安装不可信渠道应用

3、及时对设备进行安全更新

4、安装腾讯手机管家等安全软件进行防护

5、若发现病毒木马,请马上使用安全软件清理,避免感染其他病毒木马

另外黑产分子利用手中控制的“肉鸡”进行恶意广告刷量等活动日益猖獗,对各大广告平台和广告主带来了很大的负面影响和经济损失。腾讯反诈骗实验室一直致力于打击黑产,对抗诈骗/欺诈,并在黑产对抗、恶意代码识别、黑产团伙打击方面有很深厚的技术、数据积累。针对恶意应用的广告刷量行为,腾讯反诈骗实验室结合自身终端感知能力、覆盖能力以及对黑产设备、从业者信息积累等优势,向广告平台、广告主提供【移动互联网流量反欺诈解决方案】。广告平台、广告主可通过腾讯广告反欺诈服务对当前营销、推广整体状况进行有效评估,可准确、有效评估各渠道流量质量,对欺诈流量进行精准打击,防止不必要的推广成本付出。

*本文作者:腾讯手机管家,转载请注明来自FreeBuf.COM

一、背景

现在越来越多的APP会接入第三方公司SDK实现功能,这种接入第三方公司SDK的行为会帮助开发者缩短开发周期,提高开发效率。

近期腾讯安全便发现一款恶意病毒“DropperNecro”,该病毒通过母包中的AdHub SDK代码加载解密恶意子包,恶意子包会链接C&C服务器下载恶意代码块感染用户手机设备,在用户手机中植入后门程序。恶意开发人员可以通过该后门程序,从服务器下载恶意模块,对用户实施多类型的病毒攻击,从在设备上盗刷广告到窃取用户设备内隐私信息,对用户设备造成巨大威胁。

该病毒具有以下特点:

恶意代码隐藏在AdHub SDK中:可以被其他开发者使用,便于病毒的传播

加载恶意子包:可以有效的规避静态检测,提高病毒存活时间,提高病毒隐蔽性

植入后门程序:通过从服务器下载恶意模块,远程控制手机,实现对用户手机设备实施多类型的病毒攻击

二、病毒攻击流程和影响范围

病毒由自定义的Applicaition处启动,只要用户打开病毒APP就会自动触发病毒进行攻击,从而感染并在手机中植入后门程序

恶意代码隐藏在AdHub SDK中,该SDK被数十家应用开发者使用,病毒日影响用户数可能达上千万

受病毒影响的主要应用列表:

DropperNecro病毒云查用户数:

三、病毒代码详细分析

母包和子包的代码结构:

母包和子包内的恶意代码都使用了私有的加密算法进行加密处理,恶意开发者想通过对代码的加密处理逃避静态检测

1、 母包通过在AndroidManifest.xml中自定义的Application启动恶意代码

在AdHubApplication中调用com.hubcloud.adhubsdk.a类启动恶意代码

2、 加载恶意子包,并通私有加密算法进行解密

使用私有加密算法对子包进行解密

加载解密后得到的子包

3、 子包具有C&C服务器通信功能。首先它会加载并解密母包的“comparison”文件,获得C&C服务器地址,并从服务器中下载恶意代码块

解密后得到的C&C服务器地址

从服务器中下载恶意代码块

动态加载从C&C服务器下载的恶意代码块

恶意开发者使用上述手段感染用户设备,在手机中植入后门程序。通过从服务器下载恶意代码块,可以多功能、高隐蔽的攻击用户设备,从在设备上盗刷广告到窃取用户设备内隐私信息,可以对用户设备造成巨大威胁。

四、病毒拓展

通过对C&C服务器分析,发现该服务器地址也存在于“银行提款机”病毒中。从该服务器下载的恶意模块不仅可以用于盗刷广告,还可以被用于攻击感染的设备使其定制扣费业务,也从侧面印证了该病毒的危害性,植入的后门程序更方便恶意开发人员攻击受感染的手机设备。

“提款机病毒”报道:

https://www.freebuf.com/articles/paper/200284.html

使用相同服务器的“银行提款机”病毒信息:

五、查杀及总结

腾讯手机管家查杀截图:

总结:Android SDK是为移动开发者提供的新平台,应用开发人员可以使用第三方SDK程序,实现更方便更快捷更高效的开发模式,完善软件功能提高开发周期。由于没有成熟的监管机制,恶意黑产人员从中寻得“商机”,在SDK中植入恶意代码。由于SDK特性,使得病毒可能被接入不同的APP中,无形中帮助病毒快速传播,造成大规模手机感染。移动开发从业者应从正规的渠道下载接入SDK,避免被不法分子利用,成为传播病毒的工具。

在病毒检测方面,腾讯安全立足终端安全,推出自研AI反病毒引擎——腾讯TRP引擎,TRP引擎通过对系统层的敏感行为进行监控,配合能力成熟的AI技术对设备上各类应用的行为进行深度学习,能有效识别恶意应用的风险行为,并实时阻断恶意行为,为用户提供更高智能的实时终端安全防护。

*本文作者:腾讯手机管家,转载请注明来自FreeBuf.COM

一、概要

2018年4月,腾讯安全曝光了“寄生推”,揭开了流量黑产的面纱,让大众了解到黑产正逐步隐藏到幕后,通过伪装正规SDK的方式,借助大众开发者触达用户,然后动态下发指令,通过恶意广告和应用推广,赚取广告推广费用,实现灰色牟利。无独有偶,近日,依托腾讯安全大数据,腾讯安全反诈骗实验室追踪到暴风影音、天天看、塔读文学等众多应用中集成的某SDK存在下载恶意子包,通过webview配合js脚本在用户无感知的情况下刷百度广告的恶意操作。

该恶意SDK通过众多应用开发者所开发的正规应用,途经各中应用分发渠道触达千万级用户;其背后的黑产则通过恶意SDK留下的后门控制千万用户,动态下发刷量代码,大量刷广告曝光量和点击量,赚取大量广告费用,给广告主造成了巨额广告费损失。

根据安全人员详细分析,此恶意SDK主要存在以下特点:

1. 该SDK被1000+千应用开发者使用,通过应用开发者的分发渠道抵达用户。主要涉及的应用包括掌通家园、暴风影音、天天看、塔读文学等,潜在可能影响上千万用户;

2. 刷量子包通过多次下载并加载,并从服务器获取刷量任务,使用webview加载js脚本实现在用户无感知的情况下自动化的进行刷量任务。

此类流量黑产给传统的广告反作弊带来了极大挑战,传统通过IP、曝光频率、点击率等表象数据形成的反作弊策略难以识别这种控制大量真实设备做’肉鸡’的刷量作弊,使得大量广告费用流入黑产手中,却无法给广告主带来应有的广告效果。

二、SDK作恶流程和影响范围

此恶意SDK集成在应用中的那部分代码没有提供实际功能,其在被调用后会定时上报设备相关信息,获取动态子包的下载链接,下载子包并加载调用。然后由子包执行相应的恶意行为。

恶意SDK作恶流程示意图:

受恶意SDK影响的主要应用列表:

三、恶意SDK作恶行为详细分析

此恶意SDK被众多的中小应用开发者集成,我们以应用塔读文学为例,对其恶意行为进行详细分析。

恶意SDK代码结构:

此sdk代码较少,没有什么实际的功能。其在被加载调用后,会设置定时任务,每隔3600秒(1小时)启动GatherService,上报设备相关信息,获取动态子包__gather_impl.jar的下载链接。

GatherService链接服务器,获取__gather_impl.jar的下载链接。

请求链接:http://gather.andr****.com:5080/gupdate/v1。

请求数据:包括uid、应用包名、设备id、应用版本、手机厂商、型号、系统版本、imei、sdk版本等内容。

返回内容:包括子包的版本、下载url、文件md5。

动态加载下载的__gather_impl.jar。

子包__gather_impl.jar代码结构,此子包的主要功能有:1、上传用户设备信息,2、下载并动态加载子包stat-impl.jar。

1)链接服务器,上传用户设备信息

服务器链接:http://userdata.andr****.com/userdata/userdata.php (此url在分析时已失效,无法链接)。

上报内容:包括位置信息(经纬度),用户安装列表(软件名、包名),设备信息(厂商、型号、fingerprint,是否root),deviceid、手机号、运营商、imei、mac等。

2)再次请求服务器,获取stat-impl.jar的下载链接。

请求链接:http://iupd.andr****.com:6880/wupdate/v1。

请求数据:包括uid、imei、sdk版本、手机厂商、型号、系统版本、应用包名、设备id、设备指令集等内容。

返回内容:包括子包的版本、下载url、文件md5。

子包下载完成后,调用native方法动态加载此子包。

stat-impl.jar的代码结构:

stat-impl.jar子包被加载后,线程com.drudge.rmt.g会被启动,其作用主要是用来联网获取刷量任务,并调度任务的执行。

主要的刷量任务包括:1、刷百度搜索的关键字,2、使用js脚本实现自动点击、滑动来刷百度广告和亿量广告的点击,3、使用webview刷网页访问。

1. 刷百度关键字搜索

此任务会根据获取json字符串,进行相应的操作,包括设置BAIDUID、更新配置、添加任务、设置剪切板和使用关键字刷百度搜索。

设置关键字,使用webview加载对应的url:

捕获到的刷百度关键字的webview加载请求:

链接服务器http://tw.andr****.com:6080/wtask/v1获取相关任务,并将任务内容存入[package]/cache/volley目录下:

2. 使用js脚本刷百度广告

使用webview加载http://mobads.baidu.com/ads/index.htm,并在加载完成后执行js脚本实现自动滑动、点击、保存等操作来自动刷广告。

相关的js脚本。

1)js函数定义滑动、点击、保存等操作。

Java层解析并实现js层传递过来的操作命令。

2)js函数判断并获取页面元素。

3)js函数计算页面元素相对位置,并进行滑动、点击操作。

捕获到的刷百度广告的webview加载请求:

3、使用webview刷网页访问

此任务向服务器请求需要访问的url链接,在获取到相应的网页url后,使用webview加载进行访问。

请求需要访问的url链接

请求链接

http://us.yiqimeng.men:8080/geturls?k=beike-xinshiye&c=5

返回内容

["http://m.xinshiye.cc/cars/17/10/21/707989.html?content_id=707989u0026key=x2HAJuZaaa9YWpVa8EXTqOmHHUxhSnj75xhhAS7f6tveQsphsCm3jc9xrhV4RZbRzgm%2FQqzCVcw2dvukMqw25Q%3D%3Du0026_t=1511190410",

"http://m.xinshiye.cc/cars/17/10/11/234818.html?content_id=234818u0026key=NzLZyHQXsCdpS6bkAWab2LSzd2XApbGOJYUuN%2Bm4PFsoWk1l%2FnZSD8M1yp1cuhz%2FdL0uoNG93TVt8ai6zEU%2BQw%3D%3Du0026_t=1511190560",

"http://m.xinshiye.cc/cars/17/11/26/1769446.html?content_id=1769446u0026key=8KLxL1fm2gwNDxqT6nsSAbQ07kcEZRHBrekhzNSJcNaAg1nZmbW49pQ3EaEYJfMUeMlwSX4KzdliXJ3O37fs9g%3D%3Du0026_t=1513046929",

"http://m.xinshiye.cc/cars/17/10/31/1444661.html?content_id=1444661u0026key=mODVhDy0zyzBGH1G6sTwDYXqiy3D7pDfymsirda6s5%2BW8tarfIDPjuhT3mkqeMMDKzKr%2BFVC2Py2gzsNkMniHw%3D%3Du0026_t=1509589907",

"http://m.xinshiye.cc/cars/17/12/09/1921549.html?content_id=1921549u0026key=0XFxkCX0Bn4k%2Fw5%2FqvlSIOCREqEWoJ5jimqn%2BZAeJIwksQzydyT0AZFAVZJAritm3hpGza4TFNlONZDtoY%2BfTA%3D%3Du0026_t=1513045278"]

使用webview访问获取url:

捕获到的刷求医不如健身网的webview加载请求:

四、相关URL整理

五、结语

从近期Android端恶意应用的作恶手法来看,恶意开发者更多地从直接开发App应用转向开发SDK,向Android应用供应链的上游转移。通过提供恶意的SDK给应用开发者,恶意开发者可以复用这些应用的分发渠道,十分有效的扩大影响用户的范围。而在恶意SDK的类别方面,黑产从业者主要把精力放在用户无感知的广告刷量和网站刷量等方向,通过使用代码分离和动态代码加载技术,可以完全从云端下发实际执行的代码,控制用户设备作为“肉鸡”进行广告、网站刷量等黑产行为,具有很强的隐蔽性。

这类流量型黑产逐渐增多,不仅对手机用户造成了危害,同时也给移动端广告反作弊带来了很大的挑战,传统基于IP、曝光频率、点击率等表象数据形成的反作弊策略难以识别这种控制大量真实设备做’肉鸡’的刷量作弊,难以保障应用开发者和广告主的正当权益。

*本文作者:腾讯手机管家,转载请注明来自FreeBuf.COM

前言: 

移动平台的黑产威胁一直是我们的研究对象,2018年4月我们在《银行提款机惊现病毒:绕过杀毒软件达到牟利目的》报告中揭露病毒技术,运作流程及感染数百万用户情况,用户不小心安装并运行,很短时间内吸走大量用户费用,且隐蔽性极强,传统杀软完全束手无策,据腾讯安全反诈骗实验室数据监控发现变种病毒家族传播,攻击面,范围均发现恶意软件,自我社工隐藏方式以及动态加载组装,均同一批由专业团队协助完成整个黑产任务,我们借用生活中银行提款机中自动拒员机命名为“银行提款机”。

根据腾讯反诈骗实验室反馈,去年1月开始出现,截止6月中旬,短短半年时间里累计感染量超过百万台设备,一方面,银行提款机病毒完全不受系统版本有无Root限制,另一方面由于Google增强系统防护能力,使黑产行业不得不转移阵地,攻击市场占有率高的手机。

以恶意软件产业链视角看移动平台黑产趋势,主要表现整合技术手段,传播方式,攻击对象,变现方式和资源协调五个方面,通过在政策,社会,技术多层面协同联动,有力打击平台违规行为,切实净化网络文化环境。

一、变种病毒特点

腾讯安全专家分析发现该类型恶意软件,主要存在以下特点:

技术对抗手段:

1)热门软件进行打包传播,针对游戏类,色情类,工具类应用嵌入恶意代码

2)代码混淆程度更高,同时加固技术已经成为该类恶意软件的标配

3)云端服务器配置更新恶意支付SDK,动态拼接执行恶意操作

4)恶意扣费SDK公司化运作,病毒集成一款或多款恶意扣费SDK,幕后负责全面的查杀对抗

黑产变现手段:

1)扣费短信:从云端获取扣费sp号码,操控中毒设备发送扣费短信

2)广告流量:嵌入恶意广告插件应用中,通过推送广告进行流量变现

3)应用分发:通过手机应用分发,类似病毒的手法在用户手机上安装软件

二、变种病毒影响面

2.1 软件名热词

下图为该恶意扣费类软件名称的热词云图,通过软件属性分类,将该恶意扣费类软件大致集中在色情与游戏两大类。

image001.png

2.2 变种病毒样本收集

根据后台数据反馈来看,2018上半年恶意样本呈现高速增长,在与安全厂商持续对抗下,下半年样本量呈下降趋势,同时恶意开发者也密切关注这一领域,在样本量减少的情况下,通过不断变换入侵手法达到同样的效果。

image003.png

2.3 变种病毒感染情况

根据大数据显示,在2018年6月~2019年2月,感染用户呈上升趋势,此类病毒在该段时间内共感染用户40w左右。

image005.png

2.4 变种病毒类型分布

2018~2019年初,新增变种病毒类型主要为色情类占比高达(41%);其次为游戏类占比(35%),工具类(17%), 其他类型占比(7%)。

image007.png

三、攻防对抗

3.1 时间变化

随时间变化黑产推出不同攻击方法,攻击面,频率,范围等的恶意软件,以及与正常软件混杂在一起活动对抗检测。

image009.png

3.2 功能对比

以下是新老病毒对抗点如图,对抗点分析

image011.png3.3 运行流程图

image013.png

3.4 静态技术

1、加固技术给病毒提供了极好的隐藏手段,此恶意软件大量使用加固技术隐藏自身,企图逃逸隐藏检测,早期的DEX可执行代码整体加密存放到assets目录,演变到应用层代码深度混淆解壳代码,再到目前Native层动态加载加密的恶意代码,开发者也在费尽心思增加安全厂商逆向检测成本。

图片1.png

2、基于安卓NDK模块化开发,自动化生成不同的字符串替换加密算法,字符串信息进行加密动态加载后释放,软件本身还使用加固厂商策略加固软件,从而加大破解分析的难度。

image019.png3.5 执行流程

热门应用成为伪装对象,改变携带加密种子释放释放恶意模块流程,云端下与本地释放拼接执行,此类模块涵多个支付模     块,独立运行,某些第三方提供的支付SDK存在拦截删除短信的行为,当用户点击运行发送短信,并不会收到扣费的确认     (二次确认)短信,原因是因为该短信已经被拦截或删除。

image021.png3.6 云控技术

更新判黑产插件,恶意自定义DTX文件解密后得到JiePayPlugin,Shunpay,Zhangpay等专用插件,有的改用payload     文件并存储在云服务器,隐藏在So文件中,通过云端下发payload文件,在用户设备执行恶意功能代码,传统厂商很难捕获恶意代码进行检测。

image023.png

四、黑产业链情况

4.1 插件制作

目前已知的插件分布在五大不同病毒家族,带有很高类病毒行为属性,提款机病毒,暗扣家族集成多款黑产插件,重打包嵌入恶意行为插件,包括窃取隐私,删除扣费短信,匿名弹窗推广及用户影响程度。

image025.png 4.2 运作过程  

通过对恶意软件动态监控分析,恶意软件产业链背后的主要成员,包括黑产开发者,广告商,网站,分发平台四部分组成,他们拥有不同的技能和资源,运作方式如下图:

image027.png◆  开发者人员,具备正常研发人员能力,专业化处理视频图像图标,设计具有诱惑性图标,诱导用户安装,还具有一定的编码测试病毒软件能力,并且能够正常运行软熟悉黑产运作流程,集成黑产专用插件SDK到嵌入到安装包中。

◆  广告商负责寻求投放业务,具备广告投放能力,以及具备数据分析能力的合作伙伴

◆  网站主,广告商,分发统计平台联系在一起,拥有分发系统访问权限,负责恶意软件投放和管理分发,广告方,黑产平台均能查看投放情况,黑产软件传播,感染及牟利情况。

4.3 利益链条

该类APP能够在短时间内产生经济效益,因此牟利人员参与其中进行利益分成,并且具有完善的黑色产业链条,把样本发布到某网络推广平台,小众应用市场,应用内推广,色情网站、部分游戏或者游戏外破解网站等。由于色情APP本身具有诱惑性,容易激发用户的好奇心下载安装,一旦成功安装到用户手机上运行,会后台偷偷订购移动运营商sp收费服务,应用内推送更多恶意推广软件,黑产参与到sp服务与广告商费用分层。

image029.png

4.4 溯源信息 

通过黑产的网络域名分析,挖掘黑产背后的团伙信息,对多个黑产样本溯源发现,此域名在恶意样本活动频繁,据推测是黑产分发统计运作平台。

image031.png

五、安全建议及规范

1.检查每个应用程序的权限:使用软件过程中,警惕发送短信提示弹窗,确认程序所申请的权限是否与该软件相符,建议禁止软件的短信权限以减少风险。 

图片2.png

2.安装安全软件并保持更新:安装腾讯手机管家之类的安全软件,可以及时发现木马病毒并帮助一键清除。

图片3.png

3.从正规应用程序商店下载软件:应用市场鱼龙混杂,许多不正规的应用市场上线软件时并未经过安全检测,因此存在许多安全隐患,请勿在小型网站或破解网站下载未知安全应用。

4.从正规渠道购买手机:建议用户在购买新手机时应尽量选择大型正规卖场,避免手机系统被装入恶意预装软件。

5.养成查看消费账单的习惯:建议用户在账单日及时查看消费账单,及时发现可疑的扣费信息。

*本文作者:腾讯手机管家,转载请注明来自FreeBuf.COM

前言

近期,腾讯安全反欺诈实验室发现一批伪装日韩快递窃取一些韩国金融机构客户使用的身份验证信息银行拦截木马,病毒木马伪装成韩国CJ 대한통운택배“DJ“快递,日本佐川急便“急便”快递等方式诱导受害者进行安装,通过隐藏图标潜伏在用户手机,对受害人的手机远程控制,盗取受害人手机的敏感信息,激活设备管理器导致无法卸载,最后通过监控手机的银行短信验证码,实现窃取用户银行卡里的金钱。

腾讯安全反欺诈实验室通过对国内外银行木马的监控和数据研究,并通过本报告对日韩银行木马与国内银行木马的差异及其变化趋势进行总结。

日韩银行木马特性与趋势如下:

l  日韩银行木马伪装快递类应用,以此诱骗用户下载安装

l  韩国银行木马威胁相比日本更为严重,占比达84%+;同时日本银行木马近期出现高速增长

l  日韩银行木马低端手机更容易中招

l  日韩银行木马攻击能力多样化诈骗风险形势无法缓解

l  日韩银行木马攻击目标多样:银行类、密码类、游戏类、贷款类

l  银行木马病毒紧跟热点、与时俱进的诈骗手段也日趋多样化

一、影响面分析

日韩银行木马以伪装韩国“DJ“快递占比最大,伪装日本“急便”快递高速增长

日韩银行木马大量通过伪装快递类应用,诱骗用户安装运行。其中,以伪装韩国“DJ“快递的应用数量最多,占比达84%。而伪装日本“急便”快递的银行木马也在高速增长中,8月爆发增长74.81%。

日韩银行木马低端手机更容易中招,中招人群多集中在一线城市

日韩银行木马病毒感染的手机更多集中在2000元以下的低端机器中——受感染手机中价格2000元以下占比51.37%;

二、病毒技术演进分析

日韩银行木马免杀技术多样化演进

在手机自身安全能力和手机安全软件拦截能力全面提升的情况下,病毒类型也持续朝着多样化隐秘化方向发展,通过各种壳、动态加载等对抗技术绕过安全软件的查杀。

日韩银行木马融合多种特征向高危化演进

日韩银行木马对手机用户隐私数据(手机信息)上传、隐私数据(联系人信息)隐私“青睐”有加,通过社会工程学诈骗获取用户的个人银行卡、身份证、姓名、手机号码,把用户手机变成“肉鸡”,悄无声息盗走用户网银或第三方支付账号的资金。

日韩银行木马攻击目标紧跟热点、与时俱进的诈骗手段也日趋多样化

日韩银行木马在攻击目标上略不同于国内银行木马,其攻击目标更多集中在日韩网民网络资产所在的银行、游戏、动态令牌上。

同时,在仿冒对象选取上,日韩伪装APP较为单一,主要为快递类APP,而国内则多种多样,社工能力更强,更具有欺骗性。

三、最新病毒技术详细分析

样本基本信息
应用名: 佐川急便
包名: com.qpp.uifh
证书: 1046E01C07DFBD42943A2BDEFEA2429F
恶意行为: 1)隐藏程序图标,欺骗用户隐藏行踪; 2)拦截短信和通讯录上传至指定指定服务器; 3)接收控制指令,执行控制指令内容; 4)窃取手机中的电子账户信息。

1 获得应用锁,使系统持续保持唤醒亮屏状态

2 监听短信状态、网络状态、电量状态、解锁屏状态、电话状态、Wifi扫描状态、应用包是否增加去除和手机屏幕状态并注册监听器

3 获取存储在手机中的电子账户信息,如DNF账号、MU Origin账号、Axe账号等一系列韩国手游账号通过AccountManager. getAccounts方法获取存储在手机中的电子账户信息

4 获取手机中存储的电子邮件信息

5 过方法isIgnoringBatteryOptimizations检测软件是否在白名单中,并通过REQUEST_IGNORE_BATTERY_OPTIMIZATIONS权限直接弹出一个系统对话框让用户直接添加软件到白名单中,在白名单中的软件可以在 Doze和App Standby模式下使用网络和唤醒锁

6 日韩银行木马运行截图:

四、解决方案与安全建议

针对个人用户,我们建议:

Ø  保护个人隐私信息,不轻易向他人透露个人信息

Ø  提高对陌生电话、短信的警惕性,勿轻信其中内容

Ø  二维码依旧是主要的染毒渠道之一,切勿随意扫码

Ø  移动支付需谨慎,避免在不明网络环境下进行移动支付

Ø  通过正规安全的渠道下载官方版支付、工具、游戏等手机应用

Ø  手机网购安装使用腾讯手机管家保护网购支付安全,还支持钓鱼网址拦截,防止用户上当受骗

Ø  安装使用腾讯手机管家等安全软件对手机进行安全检测,开启病毒库的自动更新服务(务必开启云查杀功能),第一时间拦截存在安全风险的应用安装

清理方案

手机用户可下载安装如腾讯手机管家一类的手机安全软件,定期给手机进行体检和病毒查杀,并及时更新病毒库。针对最新流行肆虐危害较大并且难以清除的病毒或者漏洞,可下载专杀工具及时查杀或修复。同时开启腾讯手机管家骚扰拦截功能,可有效拦截诈骗电话、短信,提升手机安全。

同时,面向设备厂商,腾讯反诈骗实验室基于对银行木马诈骗手段的深入了解,和与银行木马诈骗黑产的持续对抗,腾讯反诈骗实验室积累了大量的诈骗网站、银行木马诈骗病毒识别能力。

依此,腾讯反诈骗实验室针对银行木马诈骗流程,提供一套完整的银行木马诈骗检测方案,层层布防,帮助厂商更好的保障用户安全:

Ø 事前拦截–URL网址检测:在浏览器打开前对URL网址链接页面内容属性检测

Ø 事后防御–下载应用检测:浏览器下载apk应用时,下载前把网址和apk信息做云查信息检测

方案优势

在病毒检测方面,为应对未来严峻的安全挑战,腾讯安全立足终端安全,推出自研AI反病毒引擎——腾讯TRP引擎,TRP引擎通过对系统层的敏感行为进行监控,配合能力成熟的AI技术对设备上各类应用的行为进行深度学习,能有效识别恶意应用的风险行为,并实时阻断恶意行为,为用户提供更高智能的实时终端安全防护。

而在网址检测方面,根据长期对黑产数据的监控和累积,腾讯反诈骗实验室每天能从互联网百亿级别的活跃网址中发现百万级别的欺诈网站,并形成活跃恶意网址库,截止目前,网址库里已有一亿条以上的各类欺诈、钓鱼网址信息。

在基于掌握这些亿级体量的黑产数据之后,腾讯反诈骗实验室形成了一套云管端的立体全景式防御体系:终端保护方面,主要针对包括QQ、微信、浏览器等腾讯的各种终端产品,会对恶意网址库里的网站做拦截,保护网民上网安全;在流量管道方面,通过和运营、公安部门合作,在运营商渠道对欺诈网站做拦截;云端,通过公有云和私有云解决方案,在接入的合作伙伴产品里对欺诈网站做风险提示。

目前接入腾讯网址安全云库的合作伙伴已达上百家,如苹果、华为、OPPO、VIVO、三星等。

附录:

日韩银行木马攻击目标应用包名:

 com.ep****f.sdsi

 com.han****android.hananbank

 com.*****banking

 com****kbbank

 com.****bsmb

 com.sc.****scbankapp

 com.****sbanking

 com****spbs

 com.****pib.smart

 nh.****art

 com.****.android.uotp2

 kr.co.****.neopleotp

 com.****.dfm

 com.web****rigin.google

 com.nc****gem

 com.nc****gem19

 com.****xe

 com.****play

 kr.co.happy****money 

日韩银行木马MD5:

a5cb6cd8****71a0b596d3f

b66dc5d****afdd7ea816fb3

289020d8****bd903a82b6c93

09d6c93****07e6c14747a2

fde79b0****e2c3744c0ad

eccf9717****65d7a73dee

30bd26****9379cf5c31e

944e9d77****9bb9d94ac7

05b0b****7199fa74e3e2

050ea20****86ded53bb

*本文作者:腾讯手机管家,转载请注明来自FreeBuf.COM

前言

近期,腾讯安全反诈骗实验室通过TRP-AI反病毒引擎发现了数个以应用拉活为获利手段的黑产团伙,通过恶意代码下发拉活子包擅自尝试启动或唤醒用户手机中的正常应用,执行应用“拉活”操作,目标包括了电商、新闻、视频、浏览器等类别的各大知名应用。

一、病毒解构

1.1 市场竞争滋生黑产盈利渠道

腾讯安全专家指出,DAU(DailyActive User)日活跃用户数,常用于反映网站、应用或网络游戏等的运营情况。移动互联网竞争激烈的现在,已很难从正规渠道获取到新流量,这些黑产团伙利用获得的黑产流量,通过技术手段篡改应用渠道活跃信息,将黑产流量转换成应用渠道流量,最终从中牟利。应用开发商投入的大量的渠道推广费用被黑产截流,造成巨大的损失。

流量转换示意图

流量转换示意图

1.2 黑产对抗经验丰富

该类恶意家族具有以下对抗特征:

1、 云端隐匿

匿名云端下发子包以及任务执行,防止追溯;

2、 反逆向分析

关键恶意代码多次加密转换、自动删除关键文件等手段防止被逆向分析;

3、 运行环境对抗

检测杀软、ip数据、安装列表、机型数据等信息进行对抗;

1.3 已知的拉活方式

1、 URLScheme技术,这是运用最多的方式,通过Intent机制的URI发送URL Scheme,从而启动特定应用进行拉活;

2、   直接使用startActivity函数启动特定应用的特定Activity;

3、   直接使用startService启动特定应用的特定Service;

1.4 目标知名应用

目前已经发现的拉活目标涵盖了电商、新闻、视频等类别的各大知名应用,不完全统计拉活目标应用在30个以上,目标面广泛。

1.5 三大家族

目前已知的拉活子包可以分成三大家族:cmder、QService、Sensor:

三大家族

二、影响面分析

根据腾讯反诈骗实验室安全大数据引擎的数据显示,这三个家族近一个月影响的用户量如下图所示:

用户量三个家族在总量中占比如下:

总量中占比

三、cmder家族

3.1 特点

cmder家族的影响用户较小,子包内容本身也很少,基本上,cmder家族的每一个拉活子包只对应一个目标应用,子包不具备其他恶意功能。

cmder家族的拉活子包主要使用了URL Scheme进行唤醒指定应用的操作:

唤醒指定应用的操作

部分收集到的拉活子包:

收集到的拉活子包

3.2 技术手段

捕获到的拉活子包样本均使用了URL Scheme来进行应用拉活,代码如下图所示,将URL Scheme传入Intent启动:

传入Intent启动

红框部分就是一个标准的URL Scheme。

头部的snssdk143标志着这是今日头条的scheme,这串URL Scheme通过uri信息包含在Intent中启动,一旦手机中存在今日头条应用,今日头条的Intent Filter就可以通过scheme头部的信息过滤到这个Intent,启动特定的Activity处理后面的参数,执行各种操作,拉活的目的也就达到了。

拉活的目的也就达到了

cmder家族中除了拉活之外还有一个特例:

拉活子包中有一个针对支付宝的,其URLScheme本质上并不是拉活,而是直接启动支付宝打开了黑产分子支付宝分享的“天天领红包”二维码,从而达到盈利的效果。

URL Scheme信息:

alipays://platformapi/startapp?saId=10000007&clientVersion=3.7.0.0718&qrcode=https://qr.alipay.com/c1x07288n03sjhxkdzneza2?_s=web-other

URL Scheme信息

3.3 涉及应用的渠道信息

观察可以发现这批单功能拉活子包传输的信息中包含了一些渠道信息,如前文中拉活头条的URL Scheme中,就包含click_schema_jaw09这样的类似身份识别的字段,现将这些信息整理如下:

应用 渠道信息
映客 inkewname=shuqixiaomowuliaoshiguang_201807
source_url=huoqiangshou06
西瓜视频 gd_label=click_schema_jaw51
gd_label=click_schema_hxhg18
uc浏览器 src_ch=juaiwan22
淘宝 spm=2014.ugdhh.2075675568.1204-671 spm=2014.ugdhh.2075675568.1203-671 spm=2014.ugdhh.2075675568.1201-671 spm=2014.ugdhh.2075675568.1197-671 spm=2014.ugdhh.2075675568.1193-671 spm=2014.ugdhh.2075675568.1188-671 spm=2014.ugdhh.3907731441.1162-278
搜狐新闻 channelId=13557
今日头条 gd_label=click_schema_jaw09
gd_label=click_schema_hxhg20
火山小视频 gd_label=click_schema_xdxd10
抖音短视频 gd_label=click_schema_hxhg6
支付宝 qrcode=https://qr.alipay.com/c1x07288n03sjhxkdzneza2
优酷 refer=youkushijiebei_operation.liuxiao.liux_qudao05_006000_6nEZFr_18061126

启动新浪微博的URL Scheme为sinaweibo://browser/?url=http://f.swiftcn.io/wbs/98/letu0028,后面swiftcn.io是Swift中文网的域名,完整url无法打开,也无法判断是否构成渠道信息。

启动东方头条的URL Scheme为com.songheng.eastnews://wireless:80/wakeuphome?wakeUpType=51,同样无法判断何处为渠道信息,可能wakeUpType单独指向这个拉活渠道。

3.4 拉活子包下发流程

母包从服务器获取下发应用列表:

获取下发应用列表

抓取到的应用列表中单个应用的信息如下图所示:

抓取到的应用列表

然后执行pm install安装应用以及am start启动。

执行pm install安装应用

这里下发的应用除了拉活子包之外,目前还发现了一些正常安全应用和一些恶意推广、广告弹窗的应用,具体如下:

正常应用:

sha1 包名 软件名
e250728bdc98e608cb33372ea248329c35fce56d com.sohu.newsclient 搜狐新闻
79568ba9d67cbaa9ab4539cb17ade0f395e9527e com.book2345.reader 七猫精品小说
93125824932c1299c39403cbeb2107990388df84 tv.yilan.gaoshou.aphone 高手
4970714854dfe3fca6f214741c6faee15acc6ca1 com.douban.radio 豆瓣FM
12b8b2ddaa75c7880d2fa4a5efa5f2a27f8a00a3 com.qihoo.cleandroid_cn 360清理大师
ecab8e793a6c107fb5062c056fb58cae7c3e81b1 com.qihoo.appstore  安全市场
6339a35b598a2c419e19f7bcbd33eb9eb6550454 com.qihoo.browser 360浏览器
35120a28186d66409d0881f017599532d42676b0 com.jd.jrapp 京东金融
8ea1ae3029be26f880155c774b79037fcad62e97 com.alibaba.wireless 阿里巴巴

恶意应用:

sha1 包名 软件名
f79a2f6cc4e10f86cecaadd26a843fbbdc4bc31d com.yaha.tot 搜索服务
db9ff0f965fca8b43dd41b2ca04cb4c0703a8847 com.yaha.tot 搜索服务
e1cda3881bab8708ea48032bf0edc6e1e3d604da com.menz.ernza ernza
aaf1c47e96a8eb7a2344425ecbff0e0e6b8069af com.haoo.app.tw Hoo
ea20204a47cd2285e7a6cb55267cfa663bbeda33 com.qihoo.loak 天天特价
e80c8dbacd21511d1278411d805b102738f71e74 com.mm.invoker 系统通知
36af2fb930545c20aec6dde6583c4ddd650690df cn.ban.checkin tools
7b18025925861e730a2fcc81c3455deb0183165d com.letbun.app.zh LetBun
ce76079496bc2e9f6e6e69340992df6ace5caa20 com.android.phonedevices V3DTorVieweServer
4f4d3d71c20d2c280e01646a050e636eb7db780b com.android.phonedevices phonedevices
355157c55cf99425e399eea0fdafc50e33a632fc com.android.phonedevicers V3DTourViewers
4a8ad3006031f064e04a36226179946c9eb5ad7a com.android.phonedevices V3DTourViewers
f836f5b9b0a6528b8359d0f91adff7621ce1cce9 com.android.phonedevices V3DTourViewers
f3a1535d5a24245f986db405693ada4340fbcc64 com.android.phonedevices V3DTourViewers

3.5 c&c服务器整理

整体运行流程中主要涉及以下几个域名,目前分析看来其内部api功能是一致的,主要包含了:获取子包、获取Root组件、下发应用列表等功能。

域名 API 功能
http://hc.z***.today:8082/ http://hg.hi****88.today/ http://hc.su***i.top/ http://gp.su***i.top/ http://www.goo****.software/ http://val.szch***.top:8080/ /cr/sv/getGoFile 获取start.bat子包
/cr/sv/getEPList 上传机型数据,返回对应Root包
/cr/sv/pcApks 上传用户安装应用信息
/cr/sv/getRecord 获取云端log
/spdumread/service/rtLogRecord 上传log,记录Root进度
/gpfile/pfiles/ 下发apk存储路径

四、QService家族

4.1 特点

QService家族是目前发现的影响面最广的拉活子包家族,与cmder家族相同,子包本身也仅有拉活功能,不同的是采取了从云端获取加密后的拉活任务列表,然后本地解析后执行的方式,这种方式相比于cmder频繁地开发新的拉活子包更加简便高效。

同时QService使用了最丰富的拉活方式,startActivity、startService以及URL Scheme;执行拉活的时间、间隔以及方式都在云端下发的任务中给出了详细的定义。

详细的定义

4.2 技术手段

QService家族从云端获取的数据解密后为json,部分数据截取如下:

部分数据

json中各参数的解释见下表:

startTime 任务开始时间(小时)
endTime 任务结束时间(小时)
intervalTime 执行间隔时间(分钟)
screenState 是否检查屏幕开启状态,0为不检查
type 拉活方式,0为startActivity;1为startService;2为URL Scheme
pkg 目标应用包名
link type为0时,link为指定的Activity; type为1时,link为指定的Service; type为2时,link为URL Scheme的值

执行任务的关键代码如下:

1、 根据screenState的值判断是否需要判断屏幕状态:

判断屏幕状态

2、 开始时间、结束时间、间隔时间是否满足需求的判断:

满足需求的判断

3、 记录执行时间,根据type执行任务:

根据type执行任务

type为0时为使用startActivity启动目标应用的特定Activity;type为1时为使用startService启动目标应用的特定Service;type为2时则是与cmder家族相同的URL Scheme。

4.3 涉及应用的渠道信息

同样的,QService家族使用的URL Scheme涉及的渠道信息也整理如下:

涉及的渠道信息

可以看到QService家族也利用了支付宝的天天抢红包进行盈利,此外还有一些直接启动Activity或Service的拉活任务,因此无法直接获取到渠道信息。

4.4 c&c服务器整理

 QService运行流程中访问的云端为:

http://xgaxp.jkw***m.com/p/lwdeplik.zip

http://vbxcf.xzh***j.cn/html/waeiksaz.zip

下载的文件经解密后即为下发任务。

五、Sensor家族

5.1 特点

Sensor家族虽然用户量相比于QService家族并不多,但功能比起QService来说则更加强大,他们自研开发了一种脚本语言,拉活子包则是对应的脚本解释器,执行云端下发的自研脚本,在脚本中包含了大量的拉活任务以及应用推广任务。

Sensor家族的拉活行为同样是靠URL Scheme实现,但由于是云端下发脚本,不排除更新为其他方式的可能性。

此外,Sensor家族也是目前发现的对抗最多的拉活子包,云端下发、加密不必说,脚本中还包含了ip检测、杀软检测等对抗。

目前抓取的脚本执行流程如下:

脚本执行流程

5.2 自研脚本语言

Sensor家族背后的黑产团伙自研的脚本语言实现了多达70个功能函数,同时支持了所有常用的运算符(包括逻辑运算),脚本中包含明显的控制结构。

函数表和解释如下:

Function Explain
abs(double n) 求绝对值
log(String str) 使用Android.Util.Log进行log
max(double a,double b) 求二者最大值
min(double a,double b) 求二者最小值
parseHexString(String hex) hex转String
putVar(String name,double value) 将键值对存入hashtable
delVar(String name) 删除指定键值对
clearVars() 删除所有键值对
random() 随机数
currentTimeMillis() 取系统时间
defined(String name) 检测是否存在键
increase(String tag) 指定tag计数+1,上报服务器
install(String apk) 安装指定apk
ipBelongsTo(String address…) ip所在地
ipMatched(String ip…) ip匹配(如192.168.1.*)
isDownloaded(String file…) 检测文件是否存在
isOnline() 检测网络
isScreenOn() 检测屏幕是否开启
isWifiOnline() 检测是否在Wifi环境下
macMatched(String mac…) mac地址匹配
manufacturerContains(String keywords…) 供应商字段是否包含keywords
modelContains(String keywords…) model字段是否包含keywords
packageExists(String package…) 是否安装指定应用
pathContains(String path) 当前包下是否包含路径
privAppExists() 是否存在预装应用路径
putTag(String key,double value) 将键值对存入hashtable,不同于putVar
getTag(String key) 获取指定键值
removeTag(String key) 删除指定键值对
removeAutoExecCmd(String cmd) 删除自动执行命令
removeAutoStartActivity(String package,String activity) 删除自动执行startActivity
removeAutoStartService(String package,String service) 删除自动执行startService
rooted() 检测是否root
setCommandUrl(String url) 设置c&c服务器地址
setStandbyServerUrl1(String url) 设置备用c&c服务器地址1
setStandbyServerUrl2(String url) 设置备用c&c服务器地址2
setDebugEnabled(int enabled) 设置是否开启debug
setInterval(long interval) 设置执行间隔
setLogEnabled(int enabled) 设置是否开启log
signatureEquals(String signature) 判断签名
startActivity(String package,String activity) 运行指定Activity
startService(String package,String service) 运行指定Service
stop(String package) 停止指定应用
submit(String event,String extra) 上报设备信息以及指定extra
suexec(String cmd…) 命令行执行命令
uidMatched(String uid…) 匹配指定uid
uninstall(String package) 删除指定应用
unzip(String file) 解压指定文件
waitForNetwork() 等待联网
autoExecCmd(String cmd,String increaseTag,int type,int startHour,int endHour) 设置自动执行命令
autoStartActivity(String package,String activity,String increaseTag,int type,int startHour,int endHour) 设置自动执行startActivity
autoStartService(String package,String service,String increaseTag,int type,int startHour,int endHour) 设置自动执行startService
boardContains(String keywords…) board字段是否包含keywords
copy(String file,String newPath) 复制指定文件到指定路径
count(String tag) 对指定tag的计数
delete(String name) 删除指定文件
deviceContains(String keywords…) device字段是否包含keywords
download(String url,String name,int wifiOnly) 下载文件并储存
fileExists(String path…) 文件是否存在
getApiLevel() 获取ApiLevel
getWeeks(String date) 获取星期
getDays(String date) 获取天数
getHours() 获取当前小时
getFirstInstallTime() 获取第一次安装时间
getProviderCode() 获取运营商代码
getRealTime() 获取当前时间
getVersion() 获取当前版本
iccidMatched(String iccid…) iccid匹配
imeiMatched(String imei…) imei匹配
imsiMatched(String imsi…) imsi匹配
inKeyguardRestrictedInputMode() 判断是否锁屏

这些函数中有明显可以用来对抗的函数,如ipMatched、stop、packageExists等,事实上下发的脚本也是这样做的:在执行拉活操作之前,脚本会先判断是否存在杀软,如果存在则关闭杀软;同时通过ipMatched函数禁止掉了腾讯云等ip地址。

被ban的ip如下:

180.153.228.*,183.232.175.*,183.3.234.*,183.60.163.*,183.61.51.*

被ban的ip

在检测到这些ip之后,脚本将log信息“forbidden”,记录forbidden字段为TRUE,然后通过submit函数上传了forbidden:cloud antivirus信息,然后结束运行。

5.3 任务执行流程

在执行具体任务之前,脚本首先判断了执行条件:

判断了执行条件

先判断是否为新一天以及母包应用是否安装,是的话就会重置pushCount为1000000,初始化计数用的变量;然后如果是测试模式或者未达到指定的pushCount,则开始执行任务。

接下来脚本判断了是否安装主流杀软,有则关闭。

是否安装主流杀软

当以上运行环境检测完毕之后,使用increase函数将计数用的变量加1,代表进行了一次拉活,同时increase函数内置的逻辑将记录上传至服务器。

将记录上传至服务器

最后使用URL Scheme执行拉活任务。

使用URL Scheme执行拉活任务

5.4 涉及应用的渠道信息

Sensor子包中的渠道信息整理如下:

应用 渠道信息
今日头条 gd_label=click_schema_aguya15
抖音短视频 gd_label=click_schema_jaw55
今日头条极速版 gd_label=click_schema_aguya29
西瓜视频 gd_label=click_schema_aguya25
火山小视频 gd_label=click_schema_aguya39
淘宝 spm=2014.ugdhh.3915747229.1194-189
优酷 refer=home1808_operation.anne.hxl_qudao85_005000_jQRvyq_18080201

脚本中除了执行拉活任务之外,还有一些下载安装推广其他应用的任务,这部分的信息整理如下:

应用 下载url
360手机助手 http://openbox.mobilem.360.cn/channel/getUrl?src=8967878&app=zs
360清理大师 http://msoftdl.360.cn/mobilesafe/shouji360/cleandroid/812604/360clear.apk
WIFI连接器 http://msoftdl.360.cn/mobilesafe/shouji360/360safe/7003498/WifiConnection.apk
双开小助手 http://msoftdl.360.cn/mobilesafe/shouji360/360safe/123182/Magic.apk
手机助手 http://download.2345.cn/2345yidong/sc-chuangxin6_as_www.apk
豌豆荚 http://down2.uc.cn/wandj/down.php?id=211&pub=fangbei11_hl
搜狗手机助手 http://download.zhushou.sogou.com/appmall/channel/201808/dffe7eb01372587f6f1514fe6aa0c4a3_A11093007_7.0.4.apk?fmark=tg_A11093007
火山小视频 http://s.huoshanzhibo.com/oQXgp/
西瓜视频 http://s.ixigua.com/o3Buh/
今日头条极速版 http://s.toutiao.com/oofpS/

六、总结

拉活子包不可能凭空出现,为防范成为黑产控制下的刷量拉活工具,安卓手机用户需要提高安全意识,养成良好的使用习惯,我们建议:

1. 通过正规应用市场或官方下载应用;

2. 不要轻易打开不明链接,谨慎对待来源不明的安装包、文件;

3. 养成良好的生活习惯,不下载安装“色情类”的应用;

4. 使用腾讯手机管家等手机安全软件进行实时防护。

*本文作者:腾讯手机管家,转载请注明来自FreeBuf.COM

 

前言

Google设计Android进程的设计是非常友好的,进程在不可见或者其他一些场景下APP要懂得主动释放,维护Android系统安全,然而低估恶意开发者“贪婪”,利用进程保护机制滋生很多流氓应用,破坏系统文件,资费受损,隐私泄露,推送恶意广告,导致设备资源浪费,破坏系统生态平衡。

安卓系统越难获取Root的背景下,无需Root进程保护成黑产攻击目标,恶意开发人寻找其他方式攻击,利用双进程保护,新增系统接口等。

恶意利用保活功能的风险软件前三,流氓广告,恶意扣费和风险软件,分别占比66%,18%和16%                 

基于用户需求及采用社会工程学原理进行攻击,攻击方式可分为,应用层,系统开放接口,二进制

应用进程保护滥用主要场景如下:

(1)  寻找设备漏洞获取Root,释放恶意进程保护文件。

(2)  利用双管道互相监听,保证双向监听进程是否存活。

(3)  调用系统新增接口

第一章 Android进程保活介绍

1.1 Android进程保活

Android进程常驻,顾名思义,就是要让应用的进程在内存中长期存在,在内存紧张的情况下,

会将一些进程kill ,释放一部分内存,希望能及时收到消息的APP,需要保持进程持续活跃,那么

就需要实施一些保活措施来保证进程能够持续存活,即 Android进程保活。

1.2 应用保活常用技术

Android进程保护研究分析报告

1.3进程保活方案介绍 

1.3.1应用层

所谓的常规实用方案就是通过本身机制进行保活,应用层api接口,控制Service组件onStartCommand函数返回值。

Android进程保护研究分析报告通过Service生命周期接口中,前台服务或重启,在所有能触发onCreate,onDestory的情况下都有效

Android进程保护研究分析报告image007.png

控制触发条件(蓝牙状态,网络变化,WiFi状态,屏幕亮灭,锁屏解屏,应用安装与卸载)

Android进程保护研究分析报告

1.3.2 系统框架

通过构造Intent方式拉起恶意服务,这里贴一段某sdk推送的接受代码,自定义消息中重启Service服务。

Android进程保护研究分析报告

植入恶意sdk插件方式,xx.sdk中应用在恶意应用植入成功后,恶意代码包通过start Service的方式拉起恶意应用的服务,长期隐藏在用户手机中。

Android进程保护研究分析报告

系统开放API 接口,JobScheduler机制唤醒,(系统给5.x以上)接口,系统根据实现定时调用接口传递的进程去实现保活操作,若强制停止后依然可以正常的启动。

Android进程保护研究分析报告

1.3.3本地二进制文件

这里列举经常在病毒中使用的Daemon二进制文件,保活方案(系统5.0以下)

原理:fork出子进程之后,让子进程成为新的孵化进程,并与其父进的会话组和进程组脱离,紧接着就是在子进程中定时去启动java层配置任务,自定义服务处于保活状态,长期在后台运行。

执行流程图如下:

Android进程保护研究分析报告

部分代码片段,二进制文件执行命令行,am startService–user,应用层java配置任务

Android进程保护研究分析报告

1.4 进程保护技术运用

Android进程保护研究分析报告

第二章 进程保护病毒占比与案例

恶意利用进程保活分类占比

病毒利用保活技术前三,占比最高流氓广告66%,其次,恶意扣费和风险软件分别占比18%和16%。

Android进程保护研究分析报告

进程保活家族七大家族占比

1)满足触发条件(网络切换,连接USB)等方式前置进程,Movers,DisguisedAd,Bombard病毒家族占比最高分别占比30%,27%和16%。

2)植入二进制文件保活方式,植入SH/ELF保活文件到系统目录方式守护恶意病毒进程,如叉叉SDK, Mobo病毒家族分别占比12%和1%。

3)系统新增接口和双进程保护方式,RottenSys,Romdown病毒家族分别占比11%和3%。

Android进程保护研究分析报告

2.1 BanK提款机病毒

当宿主程序首次在运行时,通过解锁屏幕触发母包广播事件,从而加载子包并启动代理广播事件

随后在子包中开启母包恶意服务,并触发子包的代理并执行推广下行为。诱骗用户安装病毒。

技术点分析:

满足触发条件(定时器,联网改变,屏幕解锁,apk安装和卸载)触发广告服务。

Android进程保护研究分析报告

恶意扣费短信记录

Android进程保护研究分析报告

2.2 MoBo病毒

病毒通过仿冒网速监控器,手机清理工具、和播放器等应用进行传播,一旦用户手机不慎被感染,该病毒将立即下载提权文件来获取root权限,频繁推送广告通知激活恶意服务,监控短信,私发大量短信,注入大量恶意文件到手机系统用于守护病毒,私自下其他他软件

技术点分析:

ELF文件/system/xbin/.pr.io注入恶意文件至手机系统中

Android进程保护研究分析报告用于唤醒病毒主模块进程,并私自下载安装其他软件

Android进程保护研究分析报告

2.3 RottenSys 病毒

此病毒软件恶意操作,保活推送子包并加载,获取root并执行插件,私自下载恶意广告插件,推送广告,并动态加载本地子包获取root权限,执行ELF脚本,伪装插件与服务器交互,长期驻内存保活并执行恶意操作。

技术点分析:

执行开源框架MarsDaemon来对自身服务进行长期保活

Android进程保护研究分析报告

窃取用户信息

Android进程保护研究分析报告

2.4 Magiclamp病毒

该通常将自己伪装成一些破解游戏和工具类软件通过主流的应用市场和部分软件下载站进行传播,用户一旦中招以后将通过云端下发子包保活,强迫用户安装应用,云端下发配置,通过配置参数发送服务器,下载保活子包,执行恶意操作。

技术点分析:

云端下载恶意子包服务

Android进程保护研究分析报告

弹出广告弹框并诱导用户安装,弹出广告骚扰用户

Android进程保护研究分析报告

2.5 DisguisedAd病毒

恶意程序名Security Defender,SecurityKeeper,Smart Security,Advanced Boost等名称      安全工具,扫描,清理垃圾节省电池,冷却CPU,解锁设备屏幕启动恶意服务,消息推送,WiFi存在     安全风险,存在风险提示。

技术点分析:

隐藏在应用列表名称

Android进程保护研究分析报告

恶意程序隐藏功能设计不在指定机型运行

Android进程保护研究分析报告

使用过程中弹窗”Your apps apps may be snooped”之类的虚假通知,提示某种操作。    

Android进程保护研究分析报告

2.6叉叉SKD病毒

SDK“后门”,云端动态更新下发恶意代码包,Root用户手机,植入恶意脚步文件/ELF文件到系统目录长期隐藏在设备中,拉起恶意服务推送广告行为和应用。

执行脚本,其作用是将恶意应用copy到系统ROM内。

技术点分析:

一阶段,执行恶意脚本文价,其作用是将恶意应用copy到系统Rom隐藏设备中

Android进程保护研究分析报告

二阶段,在恶意应用植入成功后,恶意代码包通过startService的方式拉起恶意服务执行操作。

Android进程保护研究分析报告

2.7 Romdown 病毒

利用高版本系统(5.0以上)开放接口(jobscheduler)唤醒机制及插件化隐秘执行技术,其伪造成正常内存清理软件,运行后隐藏图标,隐藏后台工作,下载执行恶意插件,执行上传用户信息,对设备信息造成极大安全威胁。

技术点分析:

通过接受广播(蓝牙状态,网络切换,WiFi状态)等启动服务

Android进程保护研究分析报告

系统5.0以上,使用jobSchedule新增系统接口,实现进程拉活

Android进程保护研究分析报告

第三章 黑产利用趋势与厂商防御

Android进程保护研究分析报告

第四章 安全建议及规范

恶意软件威胁隐私和财产安全带来的极大安全挑战,对手机用户隐私,财产等骚扰造成严重,如何有效的防范恶意软件的危害显得尤为重要,为应对未来严峻的安全挑战,腾讯安全已推出自研AI反病毒引擎腾讯TRP引擎通过对系统层的敏感行为进行监控,配合能力成熟的AI技术对应用行为的深度学习,能有效识别带有恶意风险行为软件,并实时阻断恶意行为,为用户提供更高智能的实时终端安全防护。

Android进程保护研究分析报告针对恶意软件开发者,腾讯反诈骗实验室基于海量的样本APK数据、URL数据和手机号码黑库建立了神羊情报系统,可以根据恶意软件的恶意行为、传播URL和样本信息进行聚类分析,溯源追踪恶意软件背后的开发者,给于精确打击,保护广大用户免受恶意软件危害。为尽可能避免恶意软件的危害,我们也给用户提出了以下几条防护建议:

(1)应该选用安全正规的App产品和服务,并选择正规应用商店下载安装。

(2)在选择应用下载推荐时,尽量选择大型可信网站,请勿点击来历不明的链接下载软件。

(3)养成良好使用习惯,不随意输入个人隐私信息,定期对设备系统进行安全检测和更新。

(4)当手机使用中异常发热和运行卡顿时,应及时使用腾讯手机管家进行扫描检测。

*本文作者:腾讯手机管家,转载请注明来自 FreeBuf.COM