移动平台流量黑产研究——色情播放器类恶意软件产业链

360烽火实验室

摘    要

  • 360烽火实验室8月底发现了三组异常流量曲线,流量曲线呈现存活时间短,连续3天此消彼长的态势,访问量集中最高峰值达到近2万次。
  • 大量可疑下载链接数指向的文件均为名称具有诱惑性、图标暴露的色情播放器类恶意软件,并且链接都包含固定的“list/日期”格式。
  • 可疑下载链接均来自重定向跳转,流量数据包中的Set-Cookie的值都有一个十分明显的固定特征“cdm=http”。
  • 抽取相似网络流量特征看,表现出IP层、跳转层、下载层的三层控制分发模型。
  • 通过对可疑域名的的追踪,发现了管理后台、分发的色情播放器类恶意软件以及网站使用的伪装手法。
  • 色情播放器类恶意软件产业链从制作上看,包括恶意模块集成、免杀、视频教程、申请支付ID。
  • 从传播上看,投放方式包括,网页诱导、网页挂马、广告推广、APP捆绑、论坛和热门影视。
  • 从传播量大的原因看,其中一个是因为在不同时间内,同一链接可以灵活控制重定向到多个下载链接,并且通过检查浏览器UA标识来逃避审查。
  • 从产业链规模看,2016年全年共捕获色情播放器类恶意软件超过800万;色情链接一周的访问流量高达830万余次。
  • 开发者、