欺骗“耳目”的刷量木马首次出现 360报告揭露幕后黑产

对于木马病毒,相信每个人都谈之色变。虽然我们的安全防范意识在不断增强,但现在的木马也变得越来越狡猾,伪装及隐藏方式也变得更加多样化并越来越隐蔽,让人难以发现。近日,360烽火实验室发布了《StealthBot:150余个小众手机品牌预置刷量木马销往中小城市》报告,披露了StealthBot木马的新型隐藏方式,对其运行方式及产业链也进行了全面曝光。

欺骗视听StealthBot木马隐藏方式极为巧妙

不足4个月的时间,StealthBot木马的感染量已超过400万,极大威胁着我们的手机安全。与其他刷量作弊木马隐藏方式不同的是,StealthBot为了避免被用户发现,采用了极为巧妙的隐藏方式遮人耳目,欺骗了人体感官的视觉和听觉。

欺骗“耳目”的刷量木马首次出现 360报告揭露幕后黑产

  图1:视觉欺骗及推广过程模拟图

在视觉方面,StealthBot采用透明窗体(使用透明且无焦点的WebView窗口覆盖正常的应用程序窗口)来欺骗我们的眼睛,也就是说我们的手机屏幕上被覆盖了一个带有病毒的透明显示层,这一做法相信每一位用户都无法发现,但是却难以逃脱360安全专家的法眼。安全专家在对木马病毒代码解析过程中,发现了图2所示的透明窗体代码片段。

欺骗“耳目”的刷量木马首次出现 360报告揭露幕后黑产

  图2:透明窗体代码片段

在听觉方面,平时我们在播放视频或者动画页面时候是有声音的。StealthBot为了防止“露出狐狸尾巴”,采用了静音的伪装方式,通过调用JavaScript脚本设置成页面静音,让人无法察觉。这种设置静音方式,在刷量木马上是首次出现,以往只出现在电信诈骗场景中,用于辅助窃取验证码短信信息和来电转移。

欺骗“耳目”的刷量木马首次出现 360报告揭露幕后黑产

  图3:设置页面静音代码片段

隐藏及传播方式与众不同 专家提醒应及时升级病毒库

不得不说,在非法利益的驱动之下,木马病毒简直是丧心病狂并绞尽脑汁,在隐藏及伪装方面不断升级,以往的木马病毒往往嵌入或伪装到热门应用程序外挂或收费软件的破解版之中。比如,3月份曝光的RottenSys恶意软件,主要通过电话分销平台来进行传播,攻击者在该环节上通过“刷机”或APP(再root)的方式,在手机到达用户手中前,就已经在手机上安装了部分RottenSys恶意软件,从而达到感染传播的效果,这种攻击及传播方式在移动平台上已屡见不鲜。

StealthBot木马病毒的逃逸技术可谓高超,其掩人耳目的隐藏方式、庞大的刷量业务范围及与众不同的攻击目标。在运行及传播方式方面,360的报告指出,StealthBot木马会伪装成系统应用,并隐藏图标,接收指定的大量系统广播或者自定义广播启动。这种传播方式引发了360安全团队的高度重视,通过对这一木马病毒的深入研究发现了其运作的全过程,并通过技术手段对木马进行了全面围剿。

当前,手机接入互联网的入口变得越来越多,感染风险也在不断加大。360安全专家建议广大用户可通过安装并升级360手机卫士病毒库等手段对手机进行全面病毒查杀,拦截风险程序,使手机免遭木马病毒侵扰,避免财产遭受损失。

极客网企业会员

免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。

2018-04-26
欺骗“耳目”的刷量木马首次出现 360报告揭露幕后黑产
对于木马病毒,相信每个人都谈之色变。虽然我们的安全防范意识在不断增强,但现在的木马也变得越来越狡猾,伪装及隐藏方式也变得更加多样化并越来越隐蔽,让人难以发现。

长按扫码 阅读全文