Browsed by
月份:2016年3月

“道有道”的对抗之路

“道有道”的对抗之路

作者:360移动安全团队 一、背景 今年央视3.15晚会曝光了道有道科技公司通过推送恶意程序,使手机用户被莫名扣费的问题,引起了广大手机用户的高度关注。 360移动安全团队对道有道广告SDK进行了分析与研究。截至2016年3月底,嵌入道有道广告SDK的应用软件累计达到80万个,从月增样本数量统计可以看出,在去年年中的一个月内就收录了近10万个。 二、广告形式 在道有道的官网上,介绍了其广告SDK的展现形式包括插屏广告、Banner广告和应用推荐广告。 其官网展示的插屏广告是在软件内的插屏,实际上在其广告SDK开发文档中,还支持在自身软件外弹插屏广告,这也正是3.15曝光的展现形式。 这种外插屏的展现形式,侵犯了用户的知情权,用户不知道是哪个应用弹的广告,并且点击屏幕任何地方都会直接下载推广的应用,除非准确点击ⓧ才能关闭广告。这种匿名且在自身应用外推送的广告展现形式,不但容易造成用户手机流量损失,还影响用户手机正常使用,被我们定义为恶意广告。 三、推广 360移动安全团队发现,借助道有道广告SDK推广的软件,除了正常软件外,还存在大量的恶意软件,比如3.15曝光的色情视频类恶意软件。我们之前发布的“舞毒蛾”[1]和“百脑虫”[2]木马分析报告,都是借助色情视频类恶意软件传播、感染用户手机,并且难以清除干净。 移动广告平台对推广的应用审核不严,助涨了恶意软件传播,成为了其帮凶,最终造成用户经济损失、隐私泄露。 四、对抗演变 360移动安全团队分析发现,道有道广告SDK利用静态和动态相结合的手段,与杀软特征进行持续性的对抗,从而躲避杀软的查杀。 1.     
盘点手机APP扣费陷阱

盘点手机APP扣费陷阱

3月15日晚,央视在3.15晚会上曝光手机恶意程序扣费乱象等情况。节目中揭露了有些商家为了谋取利益,对软件资费信息进行模糊处理,让用户不仔细看根本看不到资费信息,从而让用户不经意间损失话费,防不胜防。 360移动安全团队发现这种资费信息模糊化处理多种多样,主要通过调整字体和颜色、信息诱导、文字淹没构造用户视觉陷阱等手段。我们列举了一些具有代表性的扣费陷阱,提醒用户在使用软件时多加小心,避免造成不必要的经济损失。 过关奖励陷阱—步骤诱导 获取礼包陷阱—背景与资费提示色差小 确定按钮陷阱—使用透明字体 领取奖励陷阱—密密麻麻的小字体 免费金币陷阱—资费信息在提示框背后 赠送金币陷阱—资费提示有歧义 退出陷阱—使用浅颜色字体 文字相似陷阱—文字淹没 用户认知陷阱—先免费,后收费 视觉焦点陷阱—资费提示远离关注的视线范围 以上这些实例都是要进行付费,但是在手机屏幕的显著位置上都突出了像“赠”、“送”、“免费”、“奖励”、“礼包”等文字,并且使用“领取”、“确认”、“好的”等按钮来诱导用户进行点击,从而造成用户在不知情的情况下扣费。 360手机安全专家建议用户,下载手机APP时通过官方网站或具备鉴定能力的第三方手机应用市场。同时使用360手机卫士定期扫描查杀恶意软件,保障用户的手机资费安全。
“舞毒蛾”木马演变报告

“舞毒蛾”木马演变报告

作者:360移动安全团队 一、概述 近期,360移动安全团队监测到一款云控木马正在集中爆发。该木马家族最早于2015年2月被360移动安全团队捕获,目前已经累计样本超过1.2万个。由于该木马有多个版本演变并会下载多个恶意文件执行恶意行为,我们将该木马命名为“舞毒蛾”。 “舞毒蛾”木马是一个典型的云控木马,会联网下载恶意代码包并在本地释放提权代码,静默申请手机Root权限,不仅会向系统写入恶意文件,还会注入到系统进程,从而实现隐私窃取,私自下载、静默安装其他应用,频繁弹广告以及私自订阅扣费业务等多种恶意行为,给用户造成隐私泄露和经济损失。 我们研究发现“舞毒蛾”木马演变过程中不断增强自己提权模块的能力,在后期演变中增加了针对三星