阿里巴巴旗下钱盾反诈实验室近日监测到,黑客利用吃鸡玩家的游戏排名以及游戏账号的预约痛点,开发了多种木马病毒,以锁屏勒索、恶意扣费、捆绑恶意代码等方式来达到感染用户手机,勒索钱财的目的。
「大吉大利 今晚吃鸡」,一款大逃杀类的 FPS/TPS 游戏《绝地求生:大逃杀》在 2017 年下半年成为游戏领域的绝对热门。玩家之众,从明星到普通用户,直接导致 Steam 中国区用户的比例跃升到了 56.37%,登顶世界第一,「吃鸡游戏」也成为年度热词。
「吃鸡游戏」本身具有极强的竞技性和观赏性,但阿里巴巴旗下钱盾反诈实验室近日监测到,黑客和黑产从业者正是抓住玩家看中游戏排名以及游戏账号预约的玩家痛点,开发了多种木马病毒,以锁屏勒索、恶意扣费、捆绑恶意代码等方式来达到感染用户手机,勒索钱财的目的,严重威胁用户的手机安全。
吃鸡木马的危害逻辑
钱盾反诈实验室高级安全工程师赵翰表示,通过监测发现,吃鸡类木马大部分在 11 月-12 月期间大量出现,将勒索病毒披上「绝地求生辅助」、「绝地求生抢号神器」等外衣,甚至直接做出手机版本的仿冒软件。
「近几年手游受到大家追捧,很多原来 pc 上的游戏都做了手游版,有的玩家就会以为『绝地求生』也有手机版,就到一些不正规的市场上下载了伪装官方的木马。木马制作者也最擅长打着热点事件的噱头,诱导用户安装,然后锁定用户手机屏幕并向用户勒索解锁费用。」赵翰称。
赵翰指出,从技术层面解读来看,木马在资源文件下隐藏这一个恶意子包 assets/libdalvik_pat.so,表面上看是一个.so 的动态库文件,其实是一个.apk 木马安装包;之所以隐姓埋名是为了免杀,给逆向分析人员增加分析的难度;诱导用户点击操作,并获取 root 权限,然后将该恶意木马写入系统目录 system/app,重启手机来完成对木马软件的安装,这样做的目的是增加卸载的难度。
据了解,一旦用户装上了此类木马软件,不仅会被锁屏勒索,该木马还会在用户不知情的情况下恶意扣费、恶意捆绑代码,造成用户的资费消耗。赵翰称,钱盾还监测到该木马以」我的绝地求生晚上吃鸡之迷你艾莎购物」为名,捆绑恶意代码,频繁加载广告,后台下载推广应用并诱导用户安装,造成用户流量的严重消耗。
吃鸡木马背后的产业链
钱盾反诈实验室通过监测、分析及追踪,也挖掘到了吃鸡木马背后的产业链。赵翰以吃鸡锁屏勒索木马为例,木马制作者会通过一些渠道将勒索木马投放,一旦有用户中马则会根据在锁屏界面预留的联系方式(一般是 QQ 号)联系到木马制作者寻求解锁方式。
首先,招揽门徒制作木马是木马软件的源头。赵翰称,木马制作者一般要求被勒索用户拍照证明手机真实被锁;接着会勒索用户 20 元的解锁费用,更戏剧化的是木马制作者还招揽门徒,公然打着「实力教学」的旗号,要求小白徒弟只要交 40 元的费用即可通过视频教程、QQ 语音等方式,教你如何在 20 分钟内完成一款勒索木马的制作,同时打包木马制作工具及源码分享给学徒。
正是得益于学费低廉、开发设备(只需有一款 Android 智能手机即可通过 AIDE 使用手机制作木马)简单便携、制作技术含量低,外加之好奇心作怪,让黑产队伍不断的壮大,导致勒索手机木马软件的感染量长期居高不下,但就木马代码分析,技术套路比较常见「换汤不换药」。
与此同时,木马投放的多渠道性也增加了木马的传播途径。赵翰称,通过 QQ 联系上木马制作者之后,对方会教门徒如何投放木马,一般方式包括 APP 捆绑、网页挂马、社交网络传播(论坛)、广告推广和利用热点事件诱导用户安装,「主要通过各种投放渠道诱导用户手机感染木马(或在用户不知情的情况下完成安装),锁定用户手机,最终达到敲诈勒索感染木马用户的钱财的目的。」
游戏黑产盛行威胁手机安全
除了上述病毒,钱盾反诈实验室近期还发现了一种名为「DowginCw」的病毒,通过插件形式藏身于「明星公主换装小游戏」、「疯狂小宝石」等多款热门游戏应用中,已偷偷控制了国内至少上数十万手机设备。目前,它仍「存活」在多个应用商店中,日均感染量近万台。
钱盾反诈实验室高级安全工程师魏峰表示,「DowginCw」病毒去年10月就已上线,通过插件形式集成到大量儿童游戏应用中,发布于各大应用商店,通过用户自发下载或强制软件更新等手段安装到手机设备中。一旦运行,设备将不停下载、安装其他恶意应用,直接造成用户手机卡顿,话费资损和个人隐私泄漏。
「例如手机会自动弹出广告,无论点击界面任何地方都会自动下载安装其他的恶意应用、扣费软件等,最终用户设备将成为黑产提款机。」魏峰说。钱盾团队还发现,「DowginCw」病毒背后还有一条庞大产业链,「制马人(黑客)」「广告平台」「多渠道分发」「转账洗钱」四个团队构成了「DowginCw」黑灰产业链的关键环节。
阿里巴巴集团安全部技术副总裁杜跃进表示,进入到互联网时代,当前最大的安全威胁来自于利用病毒等多种技术手段运作的网络黑灰产业。据了解,近年来网络黑灰产业呈现出明显集团化、产业化趋势,获取网民个人信息和银行卡资料成为「惯用招数」。数据显示,我国网络黑灰产业链从业人员已超过150万,市场规模更是达到了千亿级别。
《中国游戏产业报告》公布的数据显示,2017 年中国游戏市场实际销售收入达到 2036.1 亿元,同比增长 23%。游戏产业的蓬勃发展也面临着黑产盛行的威胁。
工信部近期也公布了近三年的不良 APP,「恶意吸费」的应用软件占比达到 8%,有 35 款,基本都是游戏软件。而一款名为「开心连连看」的 APP 在 2015 年下半年曾三次上榜,其 V2.6、V1.5.0 及 V3.1 版本均存在这一问题。
「锁屏勒索病毒近几年也是有流行的趋势,牟利方式可谓是简单粗暴,可以直接导致用户无法使用手机。所以希望广大用户安装手机端杀毒软件预防勿安装了木马病毒软件。」赵翰表示。