“银行提款机”病毒报告公开恶意扣费黑产变现“内幕”
近日,腾讯手机管家联合腾讯安全反诈骗实验室更新发布《银行提款机惊现病毒:绕过杀毒软件达到牟利目的》报告(以下简称“报告”),曝光一批恶意扣费病毒及变种,因恶意扣费的病毒行为,将其命名为“银行提款机”,指出此批病毒变种主要通过自我社工隐藏方式以及动态加载组装,绕开杀毒软件的查杀,完成恶意扣费的黑产变现任务。
“银行提款机”病毒藏身色情、游戏类应用,隐蔽性和对抗查杀特征明显
“我在网页上查信息,突然弹出个色情广告弹窗,立即点击了关闭按钮,但手机还是自动下载安装了一个软件。随后收到了十几条扣费信息,手机话费被扣了二三百,这是什么情况?”相信很多人也都遇到过类似情况,其实频繁出现在网页中色情、游戏类小广告,背后即有可能潜藏着恶意扣费病毒。而且,不法分子设置广告弹窗被点击就会自动下载,即便用户主动点击关闭,但依然无法阻止恶意扣费病毒进入手机。
“银行提款机”恶意扣费病毒早在2018年1月就开始出现,截至6月中旬累计感染量超过百万台设备。随着安全厂商采取必要的防治措施后,恶意开发者也变换了入侵手段,增强隐蔽性,导致病毒感染样本量呈下降趋势、感染用户却上升的现象,在2018年6月-2019年2月期间感染用户40万左右。
2018年6月后,“银行提款机”变种病毒样本呈下降趋势
其实,“银行提款机”病毒最初只是通过广告弹窗进行推广,影响用户使用体验,并不会直接造成财产损失。面对杀毒软件的围追堵截,“银行提款机”病毒变种的隐蔽性和攻防对抗性变强,主要表现在:其一,利用热门软件打包传播,多为游戏、色情、工具类软件;其二,恶意软件开发者利用代码加固技术,实现更高的混淆程度;其三,云端服务器配置更新恶意SDK执行恶意操作;其四,采用公司化运作模式,幕后负责全面的查杀对抗。《报告》数据显示,2018-2019年初,“银行提款机”新增变种病毒类型主要为色情类,占比高达41%;其次为游戏类,占比为35%。
“银行提款机”变种病毒多借助色情、游戏类软件传播
“银行提款机”黑产变现手段曝光,其产业链团伙坐等“利益分成”
当用户不小心下载并安装了“银行提款机”病毒后,手机话费俨然变成了黑产团伙的提款机。《报告》通过病毒运行后的流程图,揭秘了“银行提款机”病毒在用户无察觉、无感知的情况下完成恶意扣费的“内幕”。
“银行提款机”病毒在安装后,会自动操控智能手机,收集手机设备及用户隐私信息到云端,并下发恶意文件,然后控制手机发送某订阅服务短信。这时,运营商会发送二次确认短信到手机,确认用户是否订购该项服务。对此,“银行提款机”病毒会自动拦截、自动回复后并删除短信,相应地,运营商会扣除该项增值服务的费用,这样用户在无感知时订阅了增值服务,被动完成了“恶意扣费”的步骤。
“银行提款机”病毒实现恶意扣费的流程图
一旦“银行提款机”病毒APP产生经济效益,其背后的黑产团伙将进行利益“分成”。《报告》通过对恶意软件动态监控分析,发现恶意软件黑产背后的主要成员包括黑产开发者、广告商、网站和分发平台,其中黑产开发者负责集成病毒插件并嵌入安装包内,而广告商、网站、分发平台负责投放和管理分发。譬如,他们可以将病毒样本投放到某网络推广平台、游戏外挂破解网站,或在小众应用市场、应用内推广,吸引用户下载,进而完成变现操作实现牟利分成。
“银行提款机”病毒及背后的黑色产业链条,成为威胁移动端安全和用户财产安全的“毒瘤”。在防治方面,需要国家政策、社会各方和技术层面协同联动,实现对平台违规行为的有力打击,净化网络文化环境。
告别“银行提款机”恶意扣费,腾讯手机管家建议做好安全防护
大家在了解“银行提款机”病毒黑产作乱的真相后,又该如何避免被偷话费的意外呢?腾讯手机管家安全专家陈列建议从以下方面进行防护:其一,检查每个应用程序的权限,确认程序所申请的权限与该软件相符,尽量避免短信权限授权以减少风险;其二,安装腾讯手机管家并定期更新,及时发现木马病毒并一键清除;其三,下载软件时选择应用宝等正规的应用市场以及官方渠道,避开未进行安全检测的网站;其四,用户购买新手机时尽量选择大型正规卖场,避免手机系统被装入恶意预装软件;其五,建议用户在账单日及时查看消费账单,及时发现可疑的扣费信息。
腾讯手机管家精准查杀“银行提款机”病毒软件
此次“银行提款机”恶意扣费病毒只是黑色产业链的缩影,腾讯手机管家作为移动端的第一道防线,一直在升级完善杀毒能力,依托自研AI反病毒引擎TRP-AI和自研杀毒引擎TAV,实现对手机端木马病毒及其变种的精准查杀,保障用户财产安全。同时,腾讯手机管家还将联动警方、企业共同打击黑色产业链条,为用户营造安全的手机使用环境。