新华社讯(记者 朱涵)“明星公主换装小游戏”“疯狂消宝石”“大球吃小球烧烤”……谁能想到,画面粉嫩可爱的儿童游戏背后,竟然暗藏一条网络黑灰产业链。
国务院联席办联合阿里巴巴成立的钱盾反诈公益平台近期监测到,一款名为“DowginCw”的病毒以多种热门游戏为伪装,已偷偷控制了全国至少数十万的手机设备!
伪装应用2600多种 日均感染手机近万
记者了解到,这种新型病毒是钱盾反诈实验室在今年11月24日通过恶意代码智能监测引擎感知并捕获。该批应用会联网加载“CWAPI”插件,故实验室将其命名为“DowginCw”病毒家族。
钱盾反诈实验室高级安全工程师魏峰表示,“DowginCw”病毒去年10月就已上线,通过插件形式集成到大量儿童游戏应用中,发布于各大应用商店,通过用户自发下载或强制软件更新等手段安装到手机设备中。一旦运行,设备将不停下载、安装其他恶意应用,直接造成用户手机卡顿,话费资损和个人隐私泄漏。
“例如手机会自动弹出广告,无论点击界面任何地方都会自动下载安装其他的恶意应用、扣费软件等,最终用户设备将成为黑产提款机。”魏峰说。
据统计,目前钱盾反诈实验室已拦截查杀的“DowginCw”病毒家族应用达到2603款,今年9月至11月的三个月中感染了87万台设备,平均每日感染数量达到近万台,山东、河南、四川等人口大省是重点感染区域。
据了解,该病毒主要针对安卓系统用户,目前仍“存活”在国内多个应用商店中。其中“魔仙公主换装”“大球吃小球烧烤”“魔仙公主装扮游戏”“巴拉拉公主蛋糕”等几款游戏的感染量位居前列。
“反侦察”技术升级 黑灰产业链暗藏其中
经常收到莫名扣费短信、总是自动弹出广告、手机运行得越来越慢,这些通常都是中了“DowginCw”病毒的表现,值得注意的是,“DowginCw”病毒“与时俱进”地使用了“免杀”手段。
钱盾反诈实验室高级工程师郝天表示,病毒使用了知名安全厂商的加固方案,从而能够绕开杀毒软件,肆无忌惮地实施恶意行为,此外病毒经历多次升级,已经迭代到5.0版本。该病毒开发者紧跟趋势开发流行应用,手法变化很快,显示出极强的专业性。
针对用户举报和反馈的分析跟踪,钱盾团队发现,“DowginCw”病毒背后还有一条庞大产业链,“制马人(黑客)”“广告平台”“多渠道分发”“转账洗钱”四个团队构成了“DowginCw”黑灰产业链的关键环节。
“制马人负责开发维护,‘广告平台’是这一病毒的主要赚钱手法,通过在黑市宣传推广,以成功下载应用或成功安装病毒木马来强制扣费‘薅’用户‘羊毛’。”郝天说。
相关人士表示,从实际运作来看,整个圈子除了上述几个重要角色外,一些环节还会有其他黑灰产业人员参与其中,比如上架应用商店后,想要让App曝光诱骗用户下载,会请专业人员进行刷榜,刷量,刷好评,以吸引消费者。
业内人士呼吁构筑防御屏障
“DowginCw”病毒在应用分发平台和用户手机中“来去自如”,暴露出审核监管机制和手段的缺失。
“DowginCw”病毒通过感染终端设备强制收取费用,随着感染用户的增长,涉及金额也在迅速增加,而更为严峻的是,病毒和恶意应用会窃取用户的账号和密码,存在巨大风险。然而由于没有明确的法律法规约束,像“DowginCw”病毒一类的恶意应用仍游走于灰色地带。
阿里巴巴集团安全部技术副总裁杜跃进表示,进入到互联网时代,当前最大的安全威胁来自于利用病毒等多种技术手段运作的网络黑灰产业。据了解,近年来网络黑灰产业呈现出明显集团化、产业化趋势,获取网民个人信息和银行卡资料成为“惯用招数”。数据显示,我国网络黑灰产业链从业人员已超过150万,市场规模更是达到了千亿级别。
业内人士认为,应尽快完善对网络黑灰产业的立法和监管,相关监管和执法部门应联合网络平台、运营商、金融机构、分发物流商等多方力量,消除信息孤岛、明晰权责,构筑起从信息泄露源头到手机端的安全产业链,共同维护网络安全。