分类黑产研究下的文章

360烽火实验室(360 Beaconlab) 发布于 02月18, 2019

2018年Android恶意软件专题报告

摘 要2018年全年,360互联网安全中心共截获移动端新增恶意软件样本约434.2万个,平均每天新增约1.2万个。全年相比2017年(757.3万个)下降了约42.7%。2018全年移动端新增恶意软件类型主要为资费消耗,占比高达63.2%;其次为隐私窃取(33.7%)、恶意扣费(1.6%)、流氓行为(1.2%)、远程控制(0.3%)。2018全年,360互联网安全中心累计监测移动端恶意软件感...

阅读全文 »

360烽火实验室(360 Beaconlab) 发布于 01月15, 2019

移动平台新型诈骗解析

第一章 诈骗形式的演化随着各种骗局被新闻媒体报道、公开,人们的防诈骗意识也在不断提高,但诈骗事件仍时有发生。随着科技的发展,电话,手机等通讯设备以及互联网的出现和普及,诈骗手段也从早期人与人之间的传统诈骗发展到利用电话,网络的电信网络诈骗。骗子的骗术在不断更新升级。一、 传统诈骗传统诈骗活动主要依赖人与人的直接接触,其影响范围较为局限。传统诈骗常见的诈骗方式如图-1所示,而生活中的诈骗...

阅读全文 »

dqriot 发布于 04月24, 2018

StealthBot:150余个小众手机品牌预置刷量木马销往中小城市

360烽火实验室 一、 主要发现移动平台的流量黑产一直是我们的研究对象,2017年我们在《移动平台流量黑产研究——流量作弊与流量泡沫》报告中揭露了用于流量作弊的恶意刷量木马,该木马幕后指向北京的一家互联网服务公司。通过对该公司推广渠道的跟踪分析,我们发现了新型的刷量作弊木马家族,由于这类家族使用了特殊的自我隐藏方式以及成熟的模拟点击流程,如同一批由工厂自动流水线生产出来的隐形机器人,我们借用《刺猬...

阅读全文 »

dqriot 发布于 04月03, 2018

勒索软件“假面”系列——代刷软件

360烽火实验室

第一章 勒索中的“代刷”

勒索软件是指启动后通过置顶自身窗口或重置锁机密码强制锁定用户桌面、使用户无法正常使用设备,并以支付解锁对用户进行勒索的软件。近年来,Android平台勒索软件以其高危害、高伪装性、难卸载等特点一直是360烽火实验室关注的重点。针对勒索软件擅于伪装成特定流行软件进行传播的现象,360烽火实验室对Android平台勒索软件伪装类别及相关产业进行了持续跟踪与分析。在2018年3月初发表的《勒索软件“假面”系列——免流软件》中,我们已经介绍了勒索软件的一类“假面”——免流软件,并对免流产业现状、原理与危害做了详细阐述。近期,我们把目光瞄准了一类比免流软件更加常见的伪装类别——代刷代挂类软件(以下简称代刷软件)。

阅读全文 »

dqriot 发布于 03月07, 2018

勒索软件“假面”系列——免流软件

360烽火实验室

第一章 勒索中的“免流”

勒索软件是指启动后通过置顶自身窗口或重置锁机密码强制锁定用户桌面、使用户无法正常使用设备,并以支付解锁对用户进行勒索的软件。近年来,360烽火实验室始终密切关注勒索软件发展动向,并持续对勒索软件新技术新形式、勒索软件黑产、以及Android新版本系统在对抗勒索软件方面的新特性进行了深入研究。在对勒索软件的长期跟进中我们发现,勒索软件是一类非常擅长伪装自己的软件,为了诱导用户下载安装运行,勒索软件通常会伪装成各种极具诱惑力、通过不正规手段牟利的软件,例如游戏外挂、代刷、盗版应用、WIFI密码破解、抢红包等等,这些软件拥有一定的用户群与传播途径,勒索软件正是利用了其易吸引用户、传播快的特点玩起了“假面游戏”。

阅读全文 »

dqriot 发布于 01月24, 2018

Android平台挖矿木马研究报告

360烽火实验室

摘 要

  • 手机挖矿木马就是在用户不知情的情况下利用其手机的计算能力来为攻击者获取电子加密货币的应用程序。
  • 电子加密货币是一种匿名性的虚拟货币,由于不受政府控制、相对匿名、难以追踪的特性,电子加密货币常被用来进行非法交易,也成为犯罪工具、或隐匿犯罪所得的工具。
  • 2014年3月首个Android平台挖矿木马被曝光。
  • 从2013年开始至2018年1月,360烽火实验室共捕获Android平台挖矿木马1200余个,其中仅2018年1月Android平台挖矿木马接近400个。
  • 从Android平台挖矿木马伪装应用类型看,工具类(20%)、下载器类(17%)、壁纸类(14%)是最常伪装的应用类型。
  • 从样本来源来看,除了被曝光的在Google play中发现的十多个挖矿木马外,我们在第三方下载站点捕获了300多个挖矿木马,总下载次数高达260万余次。
  • 从网站来看,据Adguard数据显示,2017年近1个月时间内在Alexa排行前十万的网站上,约有220多个网站在用户打开主页时无告知的利用用户计算机进行挖矿,影响人数多达5亿。大多是以视频门户网站,文件分享站,色情网站和新闻媒体站等这类相对访问时间较长的站点。
  • Android平台发现的挖矿木马选择的币种主要有(BitCoin)、莱特币(Litecoin)、狗币(Dogecoin)、卡斯币(Casinocoin) 以及门罗币(Monero)这五种。
  • 挖矿方式有单独挖矿和矿池挖矿两种,Android平台挖矿木马主要采用矿池挖矿。
  • Android平台挖矿木马技术原理从代码上看,主要分为使用开源的矿池代码库进行挖矿和使用浏览器JavaScript脚本挖矿。
  • 挖矿木马的技术手段包括检测设备电量、唤醒状态、充电状态、设置不可见页面以及仿冒应用下载器。
  • 应用盈利模式由广告转向挖矿,门罗币成为挖矿币种首选以及攻击目标向电子货币钱包转移成为Android平台挖矿木马的趋势。
  • 目前挖矿木马的防御措施,PC平台已经具备防御能力,移动平台由于权限控制不能彻底防御。
  • 移动平台挖矿受限于电池容量和处理器能力,但电子加密货币正在快速增长,现有货币增值并出现新的货币币种,挖矿最终会变得更有利可图。
  • 国外这种全新的盈利模式,还处在起步阶段,还需要更多的控制和监管,避免被恶意利用。

关键词:手机挖矿木马、电子货币

阅读全文 »

dqriot 发布于 11月10, 2017

ANDROID勒索软件黑产研究 ——恶意软件一键生成器

360烽火实验室

摘 要

  • 2017年1月至9月,360烽火实验室共捕获手机勒索恶意软件50万余个,平均每月捕获手机勒索软件5.5万余个。语音识别、二维码和文件加密等新型勒索软件不断涌现。
  • 社交网络服务被滥用,2017年前三季度,360烽火实验室发现勒索信息中新增QQ号码7.7万余个,QQ群号码1千余个。其中,一季度新增QQ号码和QQ群号码数量均为最多,第二、三季度逐渐下降,与一季度相比二季度下降23.0%,三季度下降56.8%。
  • 大部分勒索信息中都会同时出现QQ号和QQ群号。在相似页面布局的勒索页面中,变化是只是QQ号而QQ群号基本不变。
  • 锁机源码、测试视频、视频教程、软件源码及制作工具等等上传到群文件中,共享给群里其他人,甚至还有人制作木马一键生成器。
  • 通QQ群查询“锁机”关键字得到的结果,带有“锁机”关键字标签的QQ群有200余个,由此可见QQ群是勒索软件的主要传播源。
  • 大部分一键生成器由简易工具AIDE制作而成,一键生成器能够制作22种不同类型的软件,其中包括了12种不同类型的勒索软件、6种钓鱼软件、2种套路软件、1种拦截马软件以及1种表白软件。
  • 生成流程包括三个部分,选择生成软件的类型、填写生成软件的配置信息和添加生成软件ROOT锁。

关键词:移动安全、手机勒索、一键生成器

阅读全文 »

dqriot 发布于 12月27, 2016

移动平台流量黑产研究——色情播放器类恶意软件产业链

360烽火实验室摘 要360烽火实验室8月底发现了三组异常流量曲线,流量曲线呈现存活时间短,连续3天此消彼长的态势,访问量集中最高峰值达到近2万次。大量可疑下载链接数指向的文件均为名称具有诱惑性、图标暴露的色情播放器类恶意软件,并且链接都包含固定的“list/日期”格式。可疑下载链接均来自重定向跳转,流量数据包中的Set-Cookie的值都有一个十分明显的固定特征“cdm=http”。抽取相似网络...

阅读全文 »

dqriot 发布于 06月02, 2016

移动平台千王之王大揭秘

作者:360烽火实验室摘 要近期,360烽火实验室发现一类潜藏两年之久的Android木马,被利用专门从事私彩赌博、短信诈骗活动。该木马集远程控制、中间人攻击、隐私窃取于一身,能够在受害者不知情的情况下,拦截并篡改任意短信,监控受害者的一举一动。通过对该类木马的追踪发现,常见的社交类软件也在攻击中被利用。我国刑法第三百零三条[1]规定:以营利为目的,聚众赌博,开设赌场或以赌博为业的,都以赌博...

阅读全文 »

dqriot 发布于 05月16, 2016

深入分析跨平台网络电信诈骗

作者:360 移动安全团队摘 要360 移动安全团队发现全球首款专用于网络电信诈骗的Android木马,网络电信诈骗进化到包含移动终端在内的跨平台时期。传统网络电信诈骗的过程中,诈骗者必需诱导受害人完成转账;而移动场景下,诈骗者仅依靠植入用户手机的Android木马,就能在受害人不知情的情况下完成远程转账。Android木马为网络电信诈骗增加了丰富的攻击方法,包括隐私窃取、短信拦截、远程控制...

阅读全文 »