分类黑产研究下的文章

dqriot 发布于 04月24, 2018

StealthBot:150余个小众手机品牌预置刷量木马销往中小城市

360烽火实验室 一、 主要发现移动平台的流量黑产一直是我们的研究对象,2017年我们在《移动平台流量黑产研究——流量作弊与流量泡沫》报告中揭露了用于流量作弊的恶意刷量木马,该木马幕后指向北京的一家互联网服务公司。通过对该公司推广渠道的跟踪分析,我们发现了新型的刷量作弊木马家族,由于这类家族使用了特殊的自我隐藏方式以及成熟的模拟点击流程,如同一批由工厂自动流水线生产出来的隐形机器人,我们借用《刺猬...

阅读全文 »

dqriot 发布于 04月03, 2018

勒索软件“假面”系列——代刷软件

360烽火实验室

第一章 勒索中的“代刷”

勒索软件是指启动后通过置顶自身窗口或重置锁机密码强制锁定用户桌面、使用户无法正常使用设备,并以支付解锁对用户进行勒索的软件。近年来,Android平台勒索软件以其高危害、高伪装性、难卸载等特点一直是360烽火实验室关注的重点。针对勒索软件擅于伪装成特定流行软件进行传播的现象,360烽火实验室对Android平台勒索软件伪装类别及相关产业进行了持续跟踪与分析。在2018年3月初发表的《勒索软件“假面”系列——免流软件》中,我们已经介绍了勒索软件的一类“假面”——免流软件,并对免流产业现状、原理与危害做了详细阐述。近期,我们把目光瞄准了一类比免流软件更加常见的伪装类别——代刷代挂类软件(以下简称代刷软件)。

阅读全文 »

dqriot 发布于 03月07, 2018

勒索软件“假面”系列——免流软件

360烽火实验室

第一章 勒索中的“免流”

勒索软件是指启动后通过置顶自身窗口或重置锁机密码强制锁定用户桌面、使用户无法正常使用设备,并以支付解锁对用户进行勒索的软件。近年来,360烽火实验室始终密切关注勒索软件发展动向,并持续对勒索软件新技术新形式、勒索软件黑产、以及Android新版本系统在对抗勒索软件方面的新特性进行了深入研究。在对勒索软件的长期跟进中我们发现,勒索软件是一类非常擅长伪装自己的软件,为了诱导用户下载安装运行,勒索软件通常会伪装成各种极具诱惑力、通过不正规手段牟利的软件,例如游戏外挂、代刷、盗版应用、WIFI密码破解、抢红包等等,这些软件拥有一定的用户群与传播途径,勒索软件正是利用了其易吸引用户、传播快的特点玩起了“假面游戏”。

阅读全文 »

dqriot 发布于 01月24, 2018

Android平台挖矿木马研究报告

360烽火实验室

摘 要

  • 手机挖矿木马就是在用户不知情的情况下利用其手机的计算能力来为攻击者获取电子加密货币的应用程序。
  • 电子加密货币是一种匿名性的虚拟货币,由于不受政府控制、相对匿名、难以追踪的特性,电子加密货币常被用来进行非法交易,也成为犯罪工具、或隐匿犯罪所得的工具。
  • 2014年3月首个Android平台挖矿木马被曝光。
  • 从2013年开始至2018年1月,360烽火实验室共捕获Android平台挖矿木马1200余个,其中仅2018年1月Android平台挖矿木马接近400个。
  • 从Android平台挖矿木马伪装应用类型看,工具类(20%)、下载器类(17%)、壁纸类(14%)是最常伪装的应用类型。
  • 从样本来源来看,除了被曝光的在Google play中发现的十多个挖矿木马外,我们在第三方下载站点捕获了300多个挖矿木马,总下载次数高达260万余次。
  • 从网站来看,据Adguard数据显示,2017年近1个月时间内在Alexa排行前十万的网站上,约有220多个网站在用户打开主页时无告知的利用用户计算机进行挖矿,影响人数多达5亿。大多是以视频门户网站,文件分享站,色情网站和新闻媒体站等这类相对访问时间较长的站点。
  • Android平台发现的挖矿木马选择的币种主要有(BitCoin)、莱特币(Litecoin)、狗币(Dogecoin)、卡斯币(Casinocoin) 以及门罗币(Monero)这五种。
  • 挖矿方式有单独挖矿和矿池挖矿两种,Android平台挖矿木马主要采用矿池挖矿。
  • Android平台挖矿木马技术原理从代码上看,主要分为使用开源的矿池代码库进行挖矿和使用浏览器JavaScript脚本挖矿。
  • 挖矿木马的技术手段包括检测设备电量、唤醒状态、充电状态、设置不可见页面以及仿冒应用下载器。
  • 应用盈利模式由广告转向挖矿,门罗币成为挖矿币种首选以及攻击目标向电子货币钱包转移成为Android平台挖矿木马的趋势。
  • 目前挖矿木马的防御措施,PC平台已经具备防御能力,移动平台由于权限控制不能彻底防御。
  • 移动平台挖矿受限于电池容量和处理器能力,但电子加密货币正在快速增长,现有货币增值并出现新的货币币种,挖矿最终会变得更有利可图。
  • 国外这种全新的盈利模式,还处在起步阶段,还需要更多的控制和监管,避免被恶意利用。

关键词:手机挖矿木马、电子货币

阅读全文 »

dqriot 发布于 11月10, 2017

ANDROID勒索软件黑产研究 ——恶意软件一键生成器

360烽火实验室

摘 要

  • 2017年1月至9月,360烽火实验室共捕获手机勒索恶意软件50万余个,平均每月捕获手机勒索软件5.5万余个。语音识别、二维码和文件加密等新型勒索软件不断涌现。
  • 社交网络服务被滥用,2017年前三季度,360烽火实验室发现勒索信息中新增QQ号码7.7万余个,QQ群号码1千余个。其中,一季度新增QQ号码和QQ群号码数量均为最多,第二、三季度逐渐下降,与一季度相比二季度下降23.0%,三季度下降56.8%。
  • 大部分勒索信息中都会同时出现QQ号和QQ群号。在相似页面布局的勒索页面中,变化是只是QQ号而QQ群号基本不变。
  • 锁机源码、测试视频、视频教程、软件源码及制作工具等等上传到群文件中,共享给群里其他人,甚至还有人制作木马一键生成器。
  • 通QQ群查询“锁机”关键字得到的结果,带有“锁机”关键字标签的QQ群有200余个,由此可见QQ群是勒索软件的主要传播源。
  • 大部分一键生成器由简易工具AIDE制作而成,一键生成器能够制作22种不同类型的软件,其中包括了12种不同类型的勒索软件、6种钓鱼软件、2种套路软件、1种拦截马软件以及1种表白软件。
  • 生成流程包括三个部分,选择生成软件的类型、填写生成软件的配置信息和添加生成软件ROOT锁。

关键词:移动安全、手机勒索、一键生成器

阅读全文 »

dqriot 发布于 12月27, 2016

移动平台流量黑产研究——色情播放器类恶意软件产业链

360烽火实验室摘 要360烽火实验室8月底发现了三组异常流量曲线,流量曲线呈现存活时间短,连续3天此消彼长的态势,访问量集中最高峰值达到近2万次。大量可疑下载链接数指向的文件均为名称具有诱惑性、图标暴露的色情播放器类恶意软件,并且链接都包含固定的“list/日期”格式。可疑下载链接均来自重定向跳转,流量数据包中的Set-Cookie的值都有一个十分明显的固定特征“cdm=http”。抽取相似网络...

阅读全文 »

dqriot 发布于 06月02, 2016

移动平台千王之王大揭秘

作者:360烽火实验室摘 要近期,360烽火实验室发现一类潜藏两年之久的Android木马,被利用专门从事私彩赌博、短信诈骗活动。该木马集远程控制、中间人攻击、隐私窃取于一身,能够在受害者不知情的情况下,拦截并篡改任意短信,监控受害者的一举一动。通过对该类木马的追踪发现,常见的社交类软件也在攻击中被利用。我国刑法第三百零三条[1]规定:以营利为目的,聚众赌博,开设赌场或以赌博为业的,都以赌博...

阅读全文 »

dqriot 发布于 05月16, 2016

深入分析跨平台网络电信诈骗

作者:360 移动安全团队摘 要360 移动安全团队发现全球首款专用于网络电信诈骗的Android木马,网络电信诈骗进化到包含移动终端在内的跨平台时期。传统网络电信诈骗的过程中,诈骗者必需诱导受害人完成转账;而移动场景下,诈骗者仅依靠植入用户手机的Android木马,就能在受害人不知情的情况下完成远程转账。Android木马为网络电信诈骗增加了丰富的攻击方法,包括隐私窃取、短信拦截、远程控制...

阅读全文 »

dqriot 发布于 04月12, 2016

Android勒索软件研究报告

作者:360移动安全团队摘 要手机勒索软件是一种通过锁住用户移动设备,使用户无法正常使用设备,并以此胁迫用户支付解锁费用的恶意软件。其表现为手机触摸区域不响应触摸事件,频繁地强制置顶页面无法切换程序和设置手机PIN码。手机勒索软件的危害除了勒索用户钱财,还会破坏用户数据和手机系统。手机勒索软件最早从仿冒杀毒软件发展演变而来,2014年5月Android平台首个真正意义上的勒索样本被发现。截至...

阅读全文 »

dqriot 发布于 08月27, 2015

流量僵尸木马及流量黑产分析报告

摘 要

  • 近期,360互联网安全中心截获一批名为“流量僵尸”的手机恶意程序。截止2015年7月13日,共发现90款不同名称的应用被植入“流量僵尸”木马,包括80款游戏类应用和10款工具类应用,样本数量达到1000余个,感染手机445561部。
  • 截至2015年7月13日,360互联网安全中心共监测到流量僵尸木马的下载源289个,涉及手机应用商店16家。
  • 测试结果显示,此类木马在用户每次滑动解锁手机屏幕时都会在后台进行一次静默刷流量操作,平均每次操作消耗用户手机流量约76M。按照每个用户平均每天解锁手机屏幕150次计算(参考第三方实验统计),该木马平均每天约消耗每位用户手机流量114M。
  • 若手机安全软件未对此类木马进行查杀,则仅这44万余部被感染的手机,每天就会为木马所指向的导航网站和搜索引擎刷掉约6683万次的虚假请求量。约可占国内最大搜索引擎日均搜索请求量的68%。
  • 流量僵尸木马的攻击过程主要分三个阶段:一、下载恶意插件;二、刷指定网页;三、刷指定的搜索引擎。
  • 流量僵尸木马会联网从控制服务器上下载关键词,并使用下载到的关键词来模拟用户的搜索行为。控制服务器选取的关键词是经过精心设计的,不仅和当日新闻热点有关,而且选词范围非常丰富,这就使得木马所模拟的搜索行为看起来更加真实,更加不容易被一般的搜索引擎的反作弊机制发现。
  • 在20000次模拟测试中,木马取回的关键词里,娱乐新闻最多,占3%;其次是商品信息,25.2%;服务信息、一般新闻和时政新闻分别占比15.6%、12.7%、7.2%。
  • 流量僵尸木马的样本主要使用了4个不同的数字签名证书,其中一个数字证书的名称和木马的恶意插件下载地址均指向深圳市某科技公司。
  • 按照每千次query(访问请求)5元-20元的一般市场价格计算,若流量僵尸木马未被查杀,则此类木马可以为木马作者每天赚取约33万-134万元的经济收入。
  • 移动互联网上至少有相当数量的点击、下载、安装甚至是点赞、评论都并非是真实用户所为,而是由一些木马或自动化工具来完成的。而这些虚假的流量实际上就是移动互联上的流量泡沫。在移动互联网高速发展的今天,我们更应该警惕流量泡沫背后所隐藏的巨大黑洞。

    关键词:流量僵尸、刷流量、木马、流量损耗、资费消耗

阅读全文 »