對于木馬病毒,相信每個人都談之色變。雖然我們的安全防范意識在不斷增強,但現(xiàn)在的木馬也變得越來越狡猾,偽裝及隱藏方式也變得更加多樣化并越來越隱蔽,讓人難以發(fā)現(xiàn)。近日,360烽火實驗室發(fā)布了《StealthBot:150余個小眾手機品牌預(yù)置刷量木馬銷往中小城市》報告,披露了StealthBot木馬的新型隱藏方式,對其運行方式及產(chǎn)業(yè)鏈也進行了全面曝光。
欺騙視聽 StealthBot木馬隱藏方式極為巧妙
不足4個月的時間,StealthBot木馬的感染量已超過400萬,極大威脅著我們的手機安全。與其他刷量作弊木馬隱藏方式不同的是,StealthBot為了避免被用戶發(fā)現(xiàn),采用了極為巧妙的隱藏方式遮人耳目,欺騙了人體感官的視覺和聽覺。
在視覺方面,StealthBot采用透明窗體(使用透明且無焦點的WebView窗口覆蓋正常的應(yīng)用程序窗口)來欺騙我們的眼睛,也就是說我們的手機屏幕上被覆蓋了一個帶有病毒的透明顯示層,這一做法相信每一位用戶都無法發(fā)現(xiàn),但是卻難以逃脫360安全專家的法眼。安全專家在對木馬病毒代碼解析過程中,發(fā)現(xiàn)了圖2所示的透明窗體代碼片段。
圖2:透明窗體代碼片段
在聽覺方面,平時我們在播放視頻或者動畫頁面時候是有聲音的。StealthBot為了防止“露出狐貍尾巴”,采用了靜音的偽裝方式,通過調(diào)用JavaScript腳本設(shè)置成頁面靜音,讓人無法察覺。這種設(shè)置靜音方式,在刷量木馬上是首次出現(xiàn),以往只出現(xiàn)在電信詐騙場景中,用于輔助竊取驗證碼短信信息和來電轉(zhuǎn)移。
圖3:設(shè)置頁面靜音代碼片段
隱藏及傳播方式與眾不同 專家提醒應(yīng)及時升級病毒庫
不得不說,在非法利益的驅(qū)動之下,木馬病毒簡直是喪心病狂并絞盡腦汁,在隱藏及偽裝方面不斷升級,以往的木馬病毒往往嵌入或偽裝到熱門應(yīng)用程序外掛或收費軟件的破解版之中。比如,3月份曝光的RottenSys惡意軟件,主要通過電話分銷平臺來進行傳播,攻擊者在該環(huán)節(jié)上通過“刷機”或APP(再root)的方式,在手機到達用戶手中前,就已經(jīng)在手機上安裝了部分RottenSys惡意軟件,從而達到感染傳播的效果,這種攻擊及傳播方式在移動平臺上已屢見不鮮。
StealthBot木馬病毒的逃逸技術(shù)可謂高超,其掩人耳目的隱藏方式、龐大的刷量業(yè)務(wù)范圍及與眾不同的攻擊目標(biāo)。在運行及傳播方式方面,360的報告指出,StealthBot木馬會偽裝成系統(tǒng)應(yīng)用,并隱藏圖標(biāo),接收指定的大量系統(tǒng)廣播或者自定義廣播啟動。這種傳播方式引發(fā)了360安全團隊的高度重視,通過對這一木馬病毒的深入研究發(fā)現(xiàn)了其運作的全過程,并通過技術(shù)手段對木馬進行了全面圍剿。
當(dāng)前,手機接入互聯(lián)網(wǎng)的入口變得越來越多,感染風(fēng)險也在不斷加大。360安全專家建議廣大用戶可通過安裝并升級360手機衛(wèi)士病毒庫等手段對手機進行全面病毒查殺,攔截風(fēng)險程序,使手機免遭木馬病毒侵?jǐn)_,避免財產(chǎn)遭受損失。
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!