装扮类休闲小游戏看似人畜无害

装扮类休闲小游戏看似人畜无害DowginCw相比之前的手机病毒有何特别之处?广告平台角色是DowginCw病毒的主要赚钱方式,通过在黑市宣传推广能力,以成功下载应用或成功安装病毒木马收费。多渠道分发团队在整个链条中处于相对核心的地位,通过与某些应用合作,成功集成DowginCw插件,致使能上架知名应用商店。

从实际运作来看,整个圈子除了上述几个重要角色外,一些环节还会有其他黑产人员参与其中,比如上架应用商店后,想要让app曝光诱骗用户下载,会请专业人员进行刷榜,刷量,刷好评。目前,钱盾反诈实验室已拦截查杀2603款DowginCw病毒家族应用。近两月该病毒家族样本查杀量已达93万多个,平均每日感染用户过万,共计感染87万用户设备。DowginCw病毒家族通过插件形式集成到大量儿童游戏应用中,然后通过发布于各大应用商店,或软件强制更新等手段安装到用户手机设备中。

用户一旦运行,设备将不停下载、安装其他恶意应用,直接造成用户手机卡顿,话费资损,个人隐私泄漏等风险。根据检测,魔仙公主换装、魔仙公主装扮游戏、巴拉拉公主蛋糕、奇妙蛋糕屋游戏、叶萝莉美甲师(免费版)等位列被DowginCw感染手机游戏前十位。相关数据表明,早在去年10月DowginCw病毒家族就上架应用商店。从国内感染区域分布,河南、四川、山东等人口大省是DowginCw病毒的重灾区,病毒家族发布于各大应用商店,很容易进入用户手机。

魏锋指出,DowginCw具有成熟的免杀技术,包括利用厂商壳加固和恶意代码插件化技术绕过杀软特码查杀,以及恶意代码块延迟加载躲避动态沙盒监测。利用这套技术,免杀病毒可在杀毒软件面前肆无忌惮地实施恶意行为而不被发现,最终成功上架知名应用商店和长期驻留用户设备。更应引起注意的是,由制马人、广告平台、多渠道分发、转账洗钱等已经构成了DowginCw黑色产业链的关键环节。

目前病毒已迭代到5.0版本,特点包括:能以插件形式集成到任意app。代码延迟加载,由云端下发恶意插件。字符串加密,代码强混淆等技术,可见DowginCw开发团队专业度之高。目前,多家应用商店仍能下载到此恶意应用,其中几款应用下载量甚至高达3千万,疑似存在刷榜、刷量、刷评分,来诱骗用户下载。

发表评论

电子邮件地址不会被公开。 必填项已用*标注