首頁 > 安全資訊 > 正文

破解惡意軟件“合縱連橫”之術,360安全大腦溯源黑灰產“驚天魔盜團”

色情軟件游走在網絡監管邊緣由來已久,積重難返的色情軟件傳播問題似乎在邊打邊跑的游擊戰中,又找到了一條與賭博、監控、云呼甚至跨平臺惡意程序"合縱連橫"的作惡之路——拓展牟利渠道,躲避安全軟件查殺,定制黑灰產軟件,倒賣用戶隱私,敲詐勒索等各種手段齊上陣層層盤剝受害者。

近期,360安全大腦發現了一批存在嚴重隱私竊取行為的色情軟件,不僅能夠竊取用戶短信、通訊錄等隱私信息,還能在受害者使用軟件時實時錄像用戶行為。更為嚴重的是,背后的黑灰產團伙批量制作多種類型的灰黑產軟件,包括色情、賭博、手機遠控、云呼等,該團伙有明確組織分工及傳播分發特點,牟利手段多樣。目前,360安全大腦已將追溯的黑灰產情報接入360威脅情報云,幫助客戶防御安全風險。

"幼兒園""會所"APP猛增

實為色情直播應用暗盜隱私

針對涉黃涉非突出問題,特別是傳播危害青少年身心健康的有害信息現象,自今年4月以來,全國"掃黃打非"辦公室深入推進"凈網2020"行動,在全民積極響應的氛圍下,至今已取得了不俗的成績。

在7月中旬,360安全大腦發現近百款行為可疑的色情軟件,這批軟件皆應用E4A框架開發,名稱以"會所專用"為主,另有部分軟件的名稱為"安東幼兒園"、"夜都交換"、"魅惑直播"等。

這批軟件啟動后會打開一個登錄頁面,登錄頁面需要輸入"會所專用VIP密碼"并提供了客服和試看入口,進入客服入口會開啟一個與昵稱為"a_軟件開發平臺"的QQ賬號的聊天窗口,可在線購買或索要VIP密碼,而進入試看頁面會看一些極具"誘惑力"的色情短視頻。

這批軟件聲稱其為沈陽某高端會所專用軟件,且軟件涉及的色情內容全部是真實在線直播,在抓取到的網絡配置文件中發現了部分開發者的QQ賬號與微信號。表面上看這些軟件只是一批靠收費會員特權非法牟利的色情軟件,但從軟件啟動開始,用戶的個人隱私信息就開始被非法竊取,地理位置、通訊信息、相冊文件均會被私自上傳,甚至有針對性的靜默錄像,使用前置攝像頭偷拍,并將錄像文件上傳至指定服務器,而除了上傳隱私信息,這批惡意軟件還會通過郵箱轉發用戶隱私,用戶的私密行為被暴露于黑灰產的視野中。

更隱蔽的是,活躍FTP服務器上的用戶隱私文件并不會一直保存,而是不定期會被備份到攻擊者本地,同時從FTP服務器上被清理掉。

小作坊接大"業務"

"跨界"黑產軟件井噴

除了憑借極具誘惑力的外衣吸引用戶下載,進行非法獲利的涉黃惡意軟件外,監控、云呼類的惡意軟件也同樣通過仿冒正常軟件的形式,肆虐網絡。在此次溯源中,360安全大腦也發現了由相同開發者開發的其他黑灰產軟件,呈現井噴態勢。

截至8月初,共發現了1400多款同源軟件,這些同源軟件都利用E4A、Cocos2d-Lua或APICloud等低成本開發方式開發,軟件類型主要包括色情軟件、遠程監控軟件、棋牌游戲以及"呼死你"軟件,涉及色情、非法監控、賭博、云呼等多種非法黑灰產。

1. 色情軟件深諳人心,誘導分享駕輕就熟

在找到的同源軟件中色情軟件占據了75%,包括各種"直播"、"寶盒"、"神器"、"VIP聚合"等,這類軟件啟動后的界面與主要功能十分相似,首頁可以輸入卡密進行登錄并進入觀看頁面,卡密可以通過聯系軟件中提供的QQ賬號進行購買。

這批軟件"充分"利用了用戶的"二次傳播"能力,利用"分享可獲取VIP會員"與"不分享影響觀看穩定性"的話術極力誘導用戶對色情軟件進行二次傳播,讓已上鉤的用戶成為他們傳播色情、牟取利益中的"利器"。

2. 監控軟件花樣翻新,盜取隱私明碼標價

同源軟件中監控軟件的數量大約占據了10%,這些監控軟件名稱多為"防出軌"、"**定位",也包括某些仿冒正常軟件的名稱,如"系統"、"萬年歷"、"LanYa"等。

這些監控軟件對用戶的地理位置、通訊信息、多媒體文件等隱私信息進行了監控與竊取,且以"卡密"形式"明碼標價"買賣用戶的這些隱私信息,只要花錢,用戶隱私可以隨意暴露給任何人。

3. 云呼軟件陳倉暗度,非法討債敲詐勒索

同源軟件中云呼軟件的數量大約也占據了10%,同樣需要購買卡密才能正常使用。云呼軟件因可向指定的手機號碼連續撥打電話和發送短信、具有較強的騷擾能力而被列為違規軟件,購買云呼軟件的人多將其用于非法討債、敲詐勒索等非法活動,社會危害性極大。

4. 棋牌游戲真出老千,后臺操作控制輸贏

在同源中還發現了近十款棋牌游戲軟件,這些棋牌游戲軟件都具有充值提現功能、帶有明顯的賭博性質,且開發者名下的藍奏網盤中甚至還發現了疑似帶有后臺操控輸贏功能的棋牌游戲軟件,名稱為"棋牌(后臺可控制輸贏)",從安裝包名稱看,這款棋牌游戲軟件可以在后臺控制用戶勝率,結合該軟件帶有的違規充值提現功能,用戶極有可能掉入棋牌賭博的"老千陷阱",無論投入多少錢財都會消耗殆盡。

作案團伙浮出水面

金字塔式代理層級分明

這批軟件的開發者是一個小型的、有組織、有分工的黑灰產制造與傳播團伙,該團伙以軟件定制開發、售賣黑灰產軟件賬號密碼來牟取錢財。其"涉獵"的黑灰產領域甚廣,包括但不限于已經發現的色情、賭博、監控、云呼等。

三名主要成員來自遼寧省沈陽市,均為開發者,他們完成了黑灰產軟件的開發、原始傳播與對竊取的用戶隱私進行存儲,他們對功能模塊開發有明確的分工:分別負責安卓遠控模塊、網站或服務器搭建模塊、軟件模塊的開發,另有一名開發者負責網站排名優化。

除了最上游的黑灰產軟件制造者,還有若干活躍于黑灰產中游的傳播人員,這些人多以客服形式存在,主要負責售賣"卡密"與代理傳播黑灰產軟件。中間代理的存在讓這批黑灰產軟件形成了多級的傳播方式,在開發者傳播源下,還包括多個中間傳播者與用戶傳播者。

該黑灰產團伙組織"畫像"

低成本開發多重牟利手段曝光

360威脅情報云全面收錄黑灰產團伙情報信息

該組織在開發色情、監控等黑灰產軟件上有一些明顯的技術特點。首先,這批黑灰產軟件開發基本都使用了開源或免費的軟件開發框架,這批軟件的也核心代碼會多次復用,以此來降低開發成本。

同時,該組織具備一定的"反殺軟"與對抗意識。該組織開發的黑灰產軟件幾乎都具有"假失效"功能,需要多次重啟才能正常運行,這種行為能直接影響殺毒軟件沙箱的檢測效果,且這個組織還會在黑灰產軟件運行時進行網絡抓包環境檢測以對抗作弊。

此外,這個組織有跨平臺能力,除了制造與傳播Android端黑灰產軟件外,還開發了Windows端的惡意軟件。

該組織所使用的多種非法牟利手段,包括承接黑灰產軟件定制、販賣黑灰產軟件賬號密碼、運營和操控賭博軟件等,甚至存在倒賣用戶隱私與敲詐勒索的嫌疑。

隨著各大應用市場對軟件上架的審核越來越嚴格,黑灰產軟件上架應用市場的幾率越來越小,但QQ群、論壇、網盤等游離在應用市場審核機制之外的地方成了黑灰產軟件及其開發者的重要聚集地,雖然各平臺都有相關的規定與檢測機制,但狡猾的黑灰產從業者"似乎"總有辦法來躲避,多數情況下都是在被發現后換一個名字或換一套"殼"重新出現。同時也不再滿足于單一黑灰產帶來的收入,而是在利益趨勢下將手伸到了多種黑灰產上,并開始交叉滲透。

在這種形式下,對黑灰產軟件的防范需要多方努力,除了應用市場要繼續嚴格上架審核制度外,各大社交平臺、論壇、網盤等黑灰產常用的分發平臺也需要進一步完善監管制度。黑灰產防范亟需升維,根據黑灰產變化趨勢不斷更新監測與查殺策略,以應對"變化多端、擅于隱蔽"的黑灰產軟件。

在360安全大腦的極智賦能下,360烽火實驗室特有的監測探針能及時探測應用軟件存在的風險行為,目前已經將挖掘到的包括黑灰產情報在內的威脅信息全部接入360威脅情報云,以幫助有需要的客戶更好地防御惡意軟件帶來的風險。

關于360烽火實驗室:

360烽火實驗室致力于Android病毒分析、移動黑產研究、移動威脅預警以及Android漏洞挖掘等移動安全領域及Android安全生態的深度研究。作為全球頂級移動安全生態研究實驗室,360烽火實驗室在全球范圍內首發了多篇具備國際影響力的Android木馬分析報告和Android木馬黑色產業鏈研究報告。實驗室在為360手機衛士、360手機急救箱、360手機助手等提供核心安全數據和頑固木馬清除解決方案的同時,也為上百家國內外廠商、應用商店等合作伙伴提供了移動應用安全檢測服務,全方位守護移動安全。

360安全衛士

熱點排行

用戶
反饋
返回
頂部
竞博官网登录