黑產(chǎn)盯上“吃雞”游戲：木馬盛行勒索扣費(fèi)

　　黑產(chǎn)盯上“吃雞”游戲：木馬盛行勒索扣費(fèi)。阿里巴巴旗下錢盾反詐實(shí)驗(yàn)室近日監(jiān)測(cè)到，黑客利用吃雞玩家的游戲排名以及游戲賬號(hào)的預(yù)約痛點(diǎn)，開(kāi)發(fā)了多種木馬病毒，以鎖屏勒索、惡意扣費(fèi)、捆綁惡意代碼等方式來(lái)達(dá)到感染用戶手機(jī)，勒索錢財(cái)?shù)哪康摹按蠹罄?今晚吃雞”，一款大逃殺類的FPS/TPS游戲《絕地求生：大逃殺》在2017年下半年成為游戲領(lǐng)域的絕對(duì)熱門。玩家之眾，從明星到普通用戶，直接導(dǎo)致Steam中國(guó)區(qū)用戶的比例躍升到了56.37%，登頂世界第一，“吃雞游戲”也成為年度熱詞。

　　“吃雞游戲”本身具有極強(qiáng)的競(jìng)技性和觀賞性，但阿里巴巴旗下錢盾反詐實(shí)驗(yàn)室近日監(jiān)測(cè)到，黑客和黑產(chǎn)從業(yè)者正是抓住玩家看中游戲排名以及游戲賬號(hào)預(yù)約的玩家痛點(diǎn)，開(kāi)發(fā)了多種木馬病毒，以鎖屏勒索、惡意扣費(fèi)、捆綁惡意代碼等方式來(lái)達(dá)到感染用戶手機(jī)，勒索錢財(cái)?shù)哪康?，?yán)重威脅用戶的手機(jī)安全。

　　吃雞木馬的危害邏輯

　　錢盾反詐實(shí)驗(yàn)室高級(jí)安全工程師趙翰表示，通過(guò)監(jiān)測(cè)發(fā)現(xiàn)，吃雞類木馬大部分在11月-12月期間大量出現(xiàn)，將勒索病毒披上“絕地求生輔助”、“絕地求生搶號(hào)神器”等外衣，甚至直接做出手機(jī)版本的仿冒軟件。

　　“近幾年手游受到大家追捧，很多原來(lái)pc上的游戲都做了手游版，有的玩家就會(huì)以為‘絕地求生’也有手機(jī)版，就到一些不正規(guī)的市場(chǎng)上下載了偽裝官方的木馬。木馬制作者也最擅長(zhǎng)打著熱點(diǎn)事件的噱頭，誘導(dǎo)用戶安裝，然后鎖定用戶手機(jī)屏幕并向用戶勒索解鎖費(fèi)用?！壁w翰稱。

　　趙翰指出，從技術(shù)層面解讀來(lái)看，木馬在資源文件下隱藏這一個(gè)惡意子包assets/libdalvik_pat.so，表面上看是一個(gè).so的動(dòng)態(tài)庫(kù)文件，其實(shí)是一個(gè).apk木馬安裝包；之所以隱姓埋名是為了免殺，給逆向分析人員增加分析的難度；誘導(dǎo)用戶點(diǎn)擊操作，并獲取root權(quán)限，然后將該惡意木馬寫入系統(tǒng)目錄system/app，重啟手機(jī)來(lái)完成對(duì)木馬軟件的安裝，這樣做的目的是增加卸載的難度。

　　據(jù)了解，一旦用戶裝上了此類木馬軟件，不僅會(huì)被鎖屏勒索，該木馬還會(huì)在用戶不知情的情況下惡意扣費(fèi)、惡意捆綁代碼，造成用戶的資費(fèi)消耗。趙翰稱，錢盾還監(jiān)測(cè)到該木馬以”我的絕地求生晚上吃雞之迷你艾莎購(gòu)物”為名，捆綁惡意代碼，頻繁加載廣告，后臺(tái)下載推廣應(yīng)用并誘導(dǎo)用戶安裝，造成用戶流量的嚴(yán)重消耗。

　　吃雞木馬背后的產(chǎn)業(yè)鏈

　　錢盾反詐實(shí)驗(yàn)室通過(guò)監(jiān)測(cè)、分析及追蹤，也挖掘到了吃雞木馬背后的產(chǎn)業(yè)鏈。趙翰以吃雞鎖屏勒索木馬為例，木馬制作者會(huì)通過(guò)一些渠道將勒索木馬投放，一旦有用戶中馬則會(huì)根據(jù)在鎖屏界面預(yù)留的聯(lián)系方式（一般是QQ號(hào)）聯(lián)系到木馬制作者尋求解鎖方式。

　　首先，招攬門徒制作木馬是木馬軟件的源頭。趙翰稱，木馬制作者一般要求被勒索用戶拍照證明手機(jī)真實(shí)被鎖；接著會(huì)勒索用戶20元的解鎖費(fèi)用，更戲劇化的是木馬制作者還招攬門徒，公然打著“實(shí)力教學(xué)”的旗號(hào)，要求小白徒弟只要交40元的費(fèi)用即可通過(guò)視頻教程、QQ語(yǔ)音等方式，教你如何在20分鐘內(nèi)完成一款勒索木馬的制作，同時(shí)打包木馬制作工具及源碼分享給學(xué)徒。

　　正是得益于學(xué)費(fèi)低廉、開(kāi)發(fā)設(shè)備（只需有一款A(yù)ndroid智能手機(jī)即可通過(guò)AIDE使用手機(jī)制作木馬）簡(jiǎn)單便攜、制作技術(shù)含量低，外加之好奇心作怪，讓黑產(chǎn)隊(duì)伍不斷的壯大，導(dǎo)致勒索手機(jī)木馬軟件的感染量長(zhǎng)期居高不下，但就木馬代碼分析，技術(shù)套路比較常見(jiàn)“換湯不換藥”。

　　與此同時(shí)，木馬投放的多渠道性也增加了木馬的傳播途徑。趙翰稱，通過(guò)QQ聯(lián)系上木馬制作者之后，對(duì)方會(huì)教門徒如何投放木馬，一般方式包括APP捆綁、網(wǎng)頁(yè)掛馬、社交網(wǎng)絡(luò)傳播（論壇）、廣告推廣和利用熱點(diǎn)事件誘導(dǎo)用戶安裝，“主要通過(guò)各種投放渠道誘導(dǎo)用戶手機(jī)感染木馬（或在用戶不知情的情況下完成安裝），鎖定用戶手機(jī)，最終達(dá)到敲詐勒索感染木馬用戶的錢財(cái)?shù)哪康?。?/p>

　　1514181958(1)

　　游戲黑產(chǎn)盛行威脅手機(jī)安全

　　除了上述病毒，錢盾反詐實(shí)驗(yàn)室近期還發(fā)現(xiàn)了一種名為“DowginCw”的病毒，通過(guò)插件形式藏身于“明星公主換裝小游戲”、“瘋狂小寶石”等多款熱門游戲應(yīng)用中，已偷偷控制了國(guó)內(nèi)至少上數(shù)十萬(wàn)手機(jī)設(shè)備。目前，它仍“存活”在多個(gè)應(yīng)用商店中，日均感染量近萬(wàn)臺(tái)。

　　錢盾反詐實(shí)驗(yàn)室高級(jí)安全工程師魏峰表示，“ＤｏｗｇｉｎＣｗ”病毒去年１０月就已上線，通過(guò)插件形式集成到大量?jī)和螒驊?yīng)用中，發(fā)布于各大應(yīng)用商店，通過(guò)用戶自發(fā)下載或強(qiáng)制軟件更新等手段安裝到手機(jī)設(shè)備中。一旦運(yùn)行，設(shè)備將不停下載、安裝其他惡意應(yīng)用，直接造成用戶手機(jī)卡頓，話費(fèi)資損和個(gè)人隱私泄漏。

　　“例如手機(jī)會(huì)自動(dòng)彈出廣告，無(wú)論點(diǎn)擊界面任何地方都會(huì)自動(dòng)下載安裝其他的惡意應(yīng)用、扣費(fèi)軟件等，最終用戶設(shè)備將成為黑產(chǎn)提款機(jī)。”魏峰說(shuō)。錢盾團(tuán)隊(duì)還發(fā)現(xiàn)，“ＤｏｗｇｉｎＣｗ”病毒背后還有一條龐大產(chǎn)業(yè)鏈，“制馬人（黑客）”“廣告平臺(tái)”“多渠道分發(fā)”“轉(zhuǎn)賬洗錢”四個(gè)團(tuán)隊(duì)構(gòu)成了“ＤｏｗｇｉｎＣｗ”黑灰產(chǎn)業(yè)鏈的關(guān)鍵環(huán)節(jié)。

　　阿里巴巴集團(tuán)安全部技術(shù)副總裁杜躍進(jìn)表示，進(jìn)入到互聯(lián)網(wǎng)時(shí)代，當(dāng)前最大的安全威脅來(lái)自于利用病毒等多種技術(shù)手段運(yùn)作的網(wǎng)絡(luò)黑灰產(chǎn)業(yè)。據(jù)了解，近年來(lái)網(wǎng)絡(luò)黑灰產(chǎn)業(yè)呈現(xiàn)出明顯集團(tuán)化、產(chǎn)業(yè)化趨勢(shì)，獲取網(wǎng)民個(gè)人信息和銀行卡資料成為“慣用招數(shù)”。數(shù)據(jù)顯示，我國(guó)網(wǎng)絡(luò)黑灰產(chǎn)業(yè)鏈從業(yè)人員已超過(guò)１５０萬(wàn)，市場(chǎng)規(guī)模更是達(dá)到了千億級(jí)別。

　　《中國(guó)游戲產(chǎn)業(yè)報(bào)告》公布的數(shù)據(jù)顯示，2017年中國(guó)游戲市場(chǎng)實(shí)際銷售收入達(dá)到2036.1億元，同比增長(zhǎng)23%。游戲產(chǎn)業(yè)的蓬勃發(fā)展也面臨著黑產(chǎn)盛行的威脅。

　　工信部近期也公布了近三年的不良APP，“惡意吸費(fèi)”的應(yīng)用軟件占比達(dá)到8%，有35款，基本都是游戲軟件。而一款名為“開(kāi)心連連看”的APP在2015年下半年曾三次上榜，其 V2.6、V1.5.0及V3.1版本均存在這一問(wèn)題。

　　“鎖屏勒索病毒近幾年也是有流行的趨勢(shì)，牟利方式可謂是簡(jiǎn)單粗暴，可以直接導(dǎo)致用戶無(wú)法使用手機(jī)。所以希望廣大用戶安裝手機(jī)端殺毒軟件預(yù)防勿安裝了木馬病毒軟件。”趙翰表示。

     2898站長(zhǎng)資源平臺(tái)站長(zhǎng)訪談：http://afrimangol.com/interview/