“Fake System”木马惊现新变种,百万Android设备沦为肉鸡
手机 不停地弹出恶意广告、私自发送恶意扣费短信……这种情况你遇到过吗?近期,腾讯安全反诈骗实验室自研的TRP-AI反病毒引擎捕获到一批大肆传播的Android后门木马病毒样本,该木马私自潜入用户手机设备,后台频繁安装应用、弹出骚扰广告,甚至在后台偷偷发送短信订阅用户不需要的增值服务,降低手机续航能力的同时,也存在巨大的安全风险。
值得一提的是,腾讯安全反诈骗实验室自研的TRP-AI反病毒引擎基于应用的行为进行深度学习,能有效探测应用的可疑操作,目前已全面支持查杀该木马家族。
仿冒系统应用搞破坏,三大“逃逸”技术对抗杀软
据腾讯安全技术专家介绍,这批披着 科技 外衣的病毒样本属于“Fake System”木马家族的新变种,主要以“Power”、“UI组件”、“SystemBase”、“进程管理”和“系统工具”等明显仿冒系统应用的软件名进行命名,隐蔽性和欺骗性极强。
相较于普通APP应用层病毒,该类木马病毒更擅长隐藏和“保护”自己,甚至不惜通过ROOT技术破坏用户手机系统以系统应用的名义偷偷潜伏,该家族木马还会进行复杂而全面的运行环境检查试图对抗安全软件,达到肆意破坏手机用户安全的目的。
具体来看,该类木马病毒使用自动化框架,为每个恶意功能定制不同的加密算法来逃逸静态检测技术;其次,其使用的动态沙箱检测逃逸技术,通过18种设备状态监控,如模拟器文件,xposed框架,ADB、Debugger和Usb连接状态等,全面识别非真实用户运行环境;最后,其还会运用最新的第三代云逃逸技术,将恶意功能剥离成payload文件并存储在云服务器,然后通过云端控制下发payload文件执行。通过以上三种逃逸方式,一旦用户设备执行恶意功能代码时,传统厂商将很难捕捉恶意代码进行检测。
波及上百万安卓手机用户,三大黑产变现手段向“钱”看
据悉,该木马病毒最早的样本出现在2016年8月,以潜伏周期长而“闻名于世”。根据腾讯安全反诈骗实验室大数据引擎数据显示,最近“Fake System”木马新变种的感染用户增长迅猛,在过去一个月的时间里,几个新变种的感染用户都迅速增长到20万左右,截至目前,“Fake System”木马已影响近百万用户。
为进一步牟取灰色收益,该木马集成了三大主要的黑产变现手段:首先,恶意推广应用,通过从云端获取应用推广任务,对不同用户推广ROM内和ROM外应用,达到恶意推广应用推广的目的;其次,恶意扣费短信,从云端获取扣费短信任务,操控中毒设备发送扣费短信,从而直接获取收益;最后,广告作弊刷量,利用多多广告平台,多种类型广告支持刷量,模拟广告的拉取、点击、下载,安装等数据上报。
其中,“Fake System”木马恶意推广的应用数量庞大,ROM应用主要是木马的其他病毒样本,通常“Fake System”木马会在感染用户设备上安装多个不同的病毒样本,确保对感染设备的控制;而木马在普通类APK的推广上范围十分广泛,涉及多种类型的应用。
安全专家提醒:安卓手机用户需当心,谨防沦为不法黑客的挖矿肉鸡
目前来说,“Fake System”木马功能强大,用户设备一旦感染,即会成为黑产分子控制的“肉鸡”,沦为黑产分子进行应用推广、短信扣费、广告刷量的工具。腾讯手机管家安全专家提醒广大安卓用户,提高网络安全意识,养成良好的上网习惯,不要从非正规的应用市场和网页下载安装应用,不随意点击来源不明的链接或扫描安全性未知的二维码信息;及时对设备进行安全更新;推荐安装手机管家等主流安全软件,实时进行保护,若发现手机感染木马病毒,请及时使用安全软件进行清理,避免重复交叉感染。
针对恶意应用广告刷量给各大广告平台和广告主带来负面影响和 经济 损失的问题,腾讯安全反诈骗实验室结合自身终端感知能力、覆盖能力,发挥腾讯安全对于黑产设备、从业者信息积累等优势,向广告平台、广告主提供运用大数据模型的移动 互联网 流量反欺诈解决方案。
APP广告主仅需将自身收到的计费流量数据例如“点击上报”、“激活上报”等上传至反欺诈识别服务接口,反欺诈服务平台即会根据流量数据进行虚假流量评估与精确识别。同时,广告主还可通过安全云流量反欺诈服务对当前 营销 、推广整体状况进行有效评估,准确、有效评估各渠道流量质量,精准识别欺诈流量,摆脱金钱成本、信用成本、机会成本损失以及数据不靠谱的危害。
据悉,腾讯TRP-AI反病毒引擎首次引入基于APP行为特征的动态检测,并结合AI深度学习,对新病毒和变种病毒有更强的泛化检测能力,能够及时发现未知、变异病毒,及时发现病毒恶意代码云控加载,更为智能地保护用户手机安全。