Browsed by
作者:dqriot

勒索软件“假面”系列——代刷软件

勒索软件“假面”系列——代刷软件

360烽火实验室 第一章 勒索中的“代刷” 勒索软件是指启动后通过置顶自身窗口或重置锁机密码强制锁定用户桌面、使用户无法正常使用设备,并以支付解锁对用户进行勒索的软件。近年来,Android平台勒索软件以其高危害、高伪装性、难卸载等特点一直是360烽火实验室关注的重点。针对勒索软件擅于伪装成特定流行软件进行传播的现象,360烽火实验室对Android平台勒索软件伪装类别及相关产业进行了持续跟踪与分析。在2018年3月初发表的《勒索软件“假面”系列——免流软件》中,我们已经介绍了勒索软件的一类“假面”——免流软件,并对免流产业现状、原理与危害做了详细阐述。近期,我们把目光瞄准了一类比免流软件更加常见的伪装类别——代刷代挂类软件(以下简称代刷软件)。 一、勒索软件伪装类别分布 从勒索软件伪装类别分布情况可以看到,勒索软件伪装类别以色情和黑客工具为主,而在黑客工具中,代刷类占比位列第二,仅次于外挂、辅助类。 图1.1
勒索软件“假面”系列——免流软件

勒索软件“假面”系列——免流软件

360烽火实验室 第一章 勒索中的“免流” 勒索软件是指启动后通过置顶自身窗口或重置锁机密码强制锁定用户桌面、使用户无法正常使用设备,并以支付解锁对用户进行勒索的软件。近年来,360烽火实验室始终密切关注勒索软件发展动向,并持续对勒索软件新技术新形式、勒索软件黑产、以及Android新版本系统在对抗勒索软件方面的新特性进行了深入研究。在对勒索软件的长期跟进中我们发现,勒索软件是一类非常擅长伪装自己的软件,为了诱导用户下载安装运行,勒索软件通常会伪装成各种极具诱惑力、通过不正规手段牟利的软件,例如游戏外挂、代刷、盗版应用、WIFI密码破解、抢红包等等,这些软件拥有一定的用户群与传播途径,勒索软件正是利用了其易吸引用户、传播快的特点玩起了“假面游戏”。 一、       
2017年Android恶意软件专题报告

2017年Android恶意软件专题报告

360烽火实验室 摘    要 2017年全年,360互联网安全中心累计截获Android平台新增恶意软件样本757.3万个,平均每天新增2.1万。全年相比2016年(1403.3万)下降46.0%,从2015年来看,新增恶意软件呈现总体下降趋势。
Android平台挖矿木马研究报告

Android平台挖矿木马研究报告

360烽火实验室 摘    要 手机挖矿木马就是在用户不知情的情况下利用其手机的计算能力来为攻击者获取电子加密货币的应用程序。 电子加密货币是一种匿名性的虚拟货币,由于不受政府控制、相对匿名、难以追踪的特性,电子加密货币常被用来进行非法交易,也成为犯罪工具、或隐匿犯罪所得的工具。
ExpensiveWall家族变种再现Google Play

ExpensiveWall家族变种再现Google Play

360烽火实验室 近期,360烽火实验室发现Google Play上架了4款均使用了某厂商加固的ExpensiveWall家族变种,它能够在用户不知情的情况下私自发送扣费短信,给用户带来经济损失。 我们发现后在第一时间通知Google,Google立即从其商店中删除了相关APP。但根据Google
关于“WireX Botnet”事件Android样本分析报告

关于“WireX Botnet”事件Android样本分析报告

360烽火实验室 WireX家族病毒基本上都会在内部硬编码存放两个URL地址(部分变种的URL经过加密),变种A在内部硬编码了如下两个URL http://u.*******.store/?utm_source=tfikztteuic http://g.*******.store/?utm_source=tfikztteuic 这些URL地址是病毒的C&C
Android O限制系统全屏进一步遏制手机勒索

Android O限制系统全屏进一步遏制手机勒索

360烽火实验室 一、引言 近期谷歌发布了最新手机操作系统Android O的开发者预览版,一如往常,Android O又带来了多项新功能与优化升级,其中一项有关系统窗口管理的优化给Android手机勒索软件带来了严重冲击。 二、简述Android系统与勒索软件对抗史 手机勒索软件是一种特殊的恶意软件,其通常将自身伪装为看似无害的软件或是利用社会工程学诱导受害者下载安装,随后通过恶意利用操作系统正常功能或者缺陷强制锁住用户桌面使得用户无法正常使用设备,并几乎都会要求受害者缴纳赎金以解锁设备。手机勒索的解锁费用通常为20、30或50元不等,通常情况下当用户设备感染勒索软件后,出于设备被锁定的焦急心理与不高的赎金金额,用户一般都会通过勒索软件锁屏界面提供的联系方式联系制马人以尝试解锁设备,因此这种“薄利多销”且制作成本低廉的点对点式直接性敲诈软件颇受制马人的青睐。此外,这类软件通常具有很高的可变性,制马人只需简单调整软件代码或锁屏样式便可生成新的勒索软件。360烽火实验室一直密切关注国内外手机勒索软件动向,先后发布了多篇对手机勒索软件的研究成果。 纵观Android系统尤其是高版本系统史,每一版都在遏制勒索软件方面做出了积极的应对:
内网穿透——Android木马进入高级攻击阶段(二)

内网穿透——Android木马进入高级攻击阶段(二)

360烽火实验室 一.概述    移动互联网时代的到来,企业内部数据越来越有价值。近年来,黑客以移动设备为跳板,入侵企业内网,窃取企业数据资产的趋势愈发明显。近日,360烽火实验室发现一批感染了一种名为“MilkyDoor”的恶意代码,这是继去年6月份首次出现的“DressCode”[1]恶意代码后,又一种利用移动设备攻击企业内网的木马。然而,与“DressCode”不同的是,“MilkyDoor”不仅利用SOCKS代理实现从攻击者主机到目标内网服务器之间的数据转发,而且利用SSH(Secure