代刷产业链成型 360报告揭开勒索软件又一张“假面”
随着近两年来移动社交软件与视频直播软件的流行,越来越多的用户开始关注自身账户等级、特权、以及粉丝量等指标,以少量金钱、时间换取高账户特权等级、高粉丝量成为了部分用户的强烈诉求,代刷软件由此“应运而生”并飞速传播开来。通过对代刷软件进行持续跟进与分析后发现,代刷软件以其价格低廉、功能齐全、兼容性强、操作简单、效果显著等特性吸引了大量商家与用户,且从商家最初建站到用户最终购买已形成了清晰的产业链。
近日,360烽火实验室联合360互联网安全中心发布了《勒索软件“假面”系列-代刷软件》(以下简称《报告》),报告显示,代刷主战场已逐渐由Web平台向移动代刷软件转移,仅2017年一年新增的代刷软件就超过了15万个,是2015年总量的35.6倍,由此可见代刷软件增长之势极为迅猛。同时,在360烽火实验室捕获的代刷软件中,有超半数是恶意勒索软件,这些软件对用户的财产和个人信息安全有着极大威胁。
“代刷”成勒索软件主要伪装 意在染指用户财产和信息
在永恒之蓝勒索蠕虫病毒(WannaCry)肆虐全球后,勒索病毒正式进入公众视野,并逐步向移动端“进击”,而其入侵用户手机的伪装多种多样,让人防不胜防。据《报告》显示,勒索软件伪装类别以色情和黑客工具为主,在黑客工具中,代刷类占比为18.46%,位列第二。
图1:勒索软件伪装类别分布
代刷软件是指通过特定手段提高特定账户粉丝量、访问量或挂机时间等量化指标,或者获取特定权限的软件。随着代刷软件的加速移动化发展,其数量与日俱增,截止到2018年3月,360烽火实验室捕获的代刷软件数超20万,其中便有57.4%的恶意勒索软件。
据360手机卫士安全专家介绍,伪装成代刷软件的勒索软件大多名为“XX代刷”、“XX代挂”和“XX业务”,实际上这类软件在运行后,却会将特定窗口置顶,从而阻止用户进入桌面,或者申请设备管理器锁屏密码相关权限并在用户授权后实施锁屏。一旦用户手机被不法分子控制,用户轻则被迫缴纳所谓的赎金,重则自己的个人信息面临被窃取的风险。
图2 冒充代刷软件的勒索软件
量化指标催生代刷软件 且已实现快速量产
近两年来,随着社交软件、视频直播软件的流行,越来越多的用户便进入了一个衡量自我价值的误区,将自身账号的等级、特权、粉丝量,或发布内容的点击量、阅读数等看得极为重要。于是,以少量金钱和时间来换取高等级、高粉丝量、高点击量便成为了部分用户的诉求,代刷软件由此“应运而生”,并在飞速发展下逐步形成了分工明确的产业链。
现如今,市面上流行的代刷软件主要分为刷量、刷会员与代挂三大类,利用不同的代刷软件,使用者就能达成某项特定的量化指标,访问量、点赞数、会员特权、登录和挂机时长等,都能达到“事半功倍”或“不劳而获”的结果。
360手机卫士安全专家对大量Android代刷软件分析后发现,作为实际实现代刷逻辑与完成代刷业务的地方,供货商的代刷后台会针对不同类型的代刷业务,应用不同的代刷原理。代刷网站也是一个下单平台,且交互界面与代刷软件十分相似。代刷网站在接收到代刷软件发送过来的业务请求后会将业务请求连同请求参数一同发送给代刷后台,代刷后台会根据请求参数完成代刷业务。
图3 代刷软件与对应的代刷网站
代刷产业链成型 学生成“廉价劳力”主体
随着代刷业务需求的不断增多,代刷软件的价格低廉、功能齐全、操作简单、效果显著等特性愈发凸显,而这也成功吸引了更多代刷“经营者”的入驻。在此基础上,代刷产业也渐渐形成了由上至下、层层发散的产业链,从最上层供货商到中间的各类主站、分站再到最终消费的用户,各角色间既各司其职又有功能衔接与交叉,共同维系着整个代刷产业。
代刷产业链之所以能成型,还离不开它的推广和盈利模式的完善。据《报告》显示,代刷产业的盈利模式为“上层吃下层回扣”,而这一盈利模式也导致其推广呈现出从主站由上至下层层扩散的架构。主站经营者为了扩大业务“版图”,会将自己的代刷网站或软件通过各类社交网站进行宣传和推广,从而发展更多“下线”,层层扩散下不断有更多分站管理员涌入,最终完善整个推广架构。
图4 代刷产业推广模式
此外,360烽火实验室还对TOP代刷QQ群成员分布进行了分析,由此发现,代刷产业的关注人群普遍偏年轻化,其中00和90后占据了半壁江山。虽然代刷产业链中“大鱼吃小鱼,小鱼吃虾米”的现象极为显著,但是在成本低、耗时短和风险小的诱惑下,很多初高中和大学生仍然热衷于这类兼职工作。
代刷假面下暗藏“杀机” 360安全专家有妙招
《报告》显示,在代刷业务加速移动化趋势下,自2015年开始,Android代刷软件开始批量出现并逐渐增多,且近几年增长趋势逐年增强,仅2017年一年新增的代刷软件就超过了15万个,是2016年总量的3.1倍,2015年总量的35.6倍。在代刷软件猖獗的情况下,勒索软件的制作者便将此视为作恶的“沃土”,以此来加速勒索软件传播与扩大勒索软件感染范围。
图5 Android代刷软件数量增长趋势
在360手机卫士安全专家捕获到的代刷软件中,超过一半是恶意锁屏勒索软件。这类勒索软件事先披上代刷软件这一伪装,诱导用户下载安装后,便会对中招者实施锁屏勒索。而很多人在遇到这类问题时,很可能会选择妥协并主动支付解锁,这就助长了勒索软件开发者的嚣张气焰,使他们更肆无忌惮地利用用户侥幸心理实施犯罪。
图6 仿冒勒索软件的代刷软件
不止如此,部分恶意代刷软件还会窃取用户的短信、联系人、通话记录等此类隐私信息。值得注意的是,这类软件在首次启动后会自动进入“隐藏模式”,使得用户日常无法感知和卸载,以此达到长期潜伏、持续作恶的目的。
对于各类恶意代刷软件,360手机卫士安全专家提醒广大用户,抱着侥幸或虚荣心理进行刷量尝试并不可取,国家网信办也曾就此事发布过相关规定,旨在规范和惩治刷量行为,所以,用户想要拥有高点击量、特权、会员等,需通过官方、正规渠道来获得,舍弃代刷软件此类不正当工具。此外,为了规避随意下载和安装软件产生的不可预知风险,360手机卫士安全专家建议用户尽量选择正规应用市场下载软件,并且要谨慎授予软件设备管理器、获取通讯录等高风险权限。
。