“大吉大利 今晚吃鸡”,一款大逃杀类的 FPS/TPS 游戏《绝地求生:大逃杀》在 2017 年下半年成为游戏领域的绝对热门。玩家之众,从明星到普通用户,直接导致 Steam 中国区用户的比例跃升到了 56.37%,登顶世界第一,“吃鸡游戏”也成为年度热词。
“吃鸡游戏”本身具有极强的竞技性和观赏性,而黑客和黑产从业者正是抓住玩家看中游戏排名以及游戏账号预约的玩家痛点,开发了多种木马病毒,以锁屏勒索、恶意扣费、捆绑恶意代码等方式来达到感染用户手机,勒索钱财的目的,严重威胁用户的手机安全。
吃鸡木马的危害逻辑
钱盾反诈实验室高级安全工程师赵翰表示,通过监测发现,吃鸡类木马大部分在 11 月-12 月期间大量出现,将勒索病毒披上“绝地求生辅助”、“绝地求生抢号神器”等外衣,甚至直接做出手机版本的仿冒软件。
“近几年手游受到大家追捧,很多原来pc上的游戏都做了手游版,有的玩家就会以为‘绝地求生’也有手机版,就到一些不正规的市场上下载了伪装官方的木马。木马制作者也最擅长打着热点事件的噱头,诱导用户安装,然后锁定用户手机屏幕并向用户勒索解锁费用。”赵翰称。
赵翰指出,从技术层面解读来看,木马在资源文件下隐藏这一个恶意子包 assets/libdalvik_pat.so,表面上看是一个 .so 的动态库文件,其实是一个 .apk 木马安装包;之所以隐姓埋名是为了免杀,给逆向分析人员增加分析的难度;诱导用户点击操作,并获取 root 权限,然后将该恶意木马写入系统目录 system/app,重启手机来完成对木马软件的安装,这样做的目的是增加卸载的难度。
据了解,一旦用户装上了此类木马软件,不仅会被锁屏勒索,该木马还会在用户不知情的情况下恶意扣费、恶意捆绑代码,造成用户的资费消耗。赵翰称其还监测到该木马以“我的绝地求生晚上吃鸡之迷你艾莎购物”为名,捆绑恶意代码,频繁加载广告,后台下载推广应用并诱导用户安装,造成用户流量的严重消耗。
吃鸡木马背后的产业链
关于吃鸡木马背后的产业链,赵翰以吃鸡锁屏勒索木马为例,木马制作者会通过一些渠道将勒索木马投放,一旦有用户中马则会根据在锁屏界面预留的联系方式(一般是 QQ 号)联系到木马制作者寻求解锁方式。
首先,招揽门徒制作木马是木马软件的源头。赵翰称,木马制作者一般要求被勒索用户拍照证明手机真实被锁;接着会勒索用户 20 元的解锁费用,更戏剧化的是木马制作者还招揽门徒,公然打着“实力教学”的旗号,要求小白徒弟只要交 40 元的费用即可通过视频教程、QQ 语音等方式,教你如何在 20 分钟内完成一款勒索木马的制作,同时打包木马制作工具及源码分享给学徒。
正是得益于学费低廉、开发设备(只需有一款 Android 智能手机即可通过 AIDE 使用手机制作木马)简单便携、制作技术含量低,外加之好奇心作怪,让黑产队伍不断的壮大,导致勒索手机木马软件的感染量长期居高不下,但就木马代码分析,技术套路比较常见“换汤不换药”。
与此同时,木马投放的多渠道性也增加了木马的传播途径。赵翰称,通过 QQ 联系上木马制作者之后,对方会教门徒如何投放木马,一般方式包括 APP 捆绑、网页挂马、社交网络传播(论坛)、广告推广和利用热点事件诱导用户安装,“主要通过各种投放渠道诱导用户手机感染木马(或在用户不知情的情况下完成安装),锁定用户手机,最终达到敲诈勒索感染木马用户的钱财的目的。”
游戏黑产盛行威胁手机安全
《中国游戏产业报告》公布的数据显示,2017 年中国游戏市场实际销售收入达到 2036.1 亿元,同比增长 23%。游戏产业的蓬勃发展也面临着黑产盛行的威胁。
工信部近期也公布了近三年的不良 APP,“恶意吸费”的应用软件占比达到 8%,有 35 款,基本都是游戏软件。而一款名为“开心连连看”的 APP 在 2015 年下半年曾三次上榜,其 V2.6、V1.5.0 及 V3.1 版本均存在这一问题。
而锁屏勒索病毒近几年也是有流行的趋势,牟利方式可谓是简单粗暴,可以直接导致用户无法使用手机。用户可通过安装手机端杀毒软件预防安装木马病毒的软件。
文章由钱盾反诈实验室投稿,雷锋网宅客频道(微信公众号:letshome)编辑。
雷锋网(公众号:雷锋网)宅客频道,专注先锋科技,讲述黑客背后的故事,欢迎关注雷锋网宅客频道。
。
原创文章,作者:kepupublish,如若转载,请注明出处:https://blog.ytso.com/111763.html