-
-
2014年移动恶意色情应用研究报告
-
发表于: 2015-1-3 00:12 801
-
新闻链接:http://www.freebuf.com/articles/terminal/55428.html
新闻时间:2015-01-01
新闻正文:
一、引言
AVL移动安全团队在分析2014全年移动恶意代码时发现:大量移动恶意应用通过色情内容诱导用户下载并安装使用,这些应用不但涉嫌传播淫秽色情内容,还可能执行恶意扣费、恶意推广、窃取用户隐私等操作,造成用户隐私泄露或经济损失。
因此,我们针对移动恶意色情应用的传播情况、行为特点等进行深入分析。希望帮助大家充分了解移动恶意色情应用的危害性,培养良好的上网习惯和安全防范意识。
二、恶意色情应用传播特点
1.传播情况
2014年,AVL移动安全团队捕获色情应用超过10万个,其中恶意色情应用占比高达65%。下图展示了2014年每月捕获的色情应用及恶意色情应用的数量变化趋势,可以看出此类应用数量呈现出爆发式增长。
1
图 1 恶意色情应用数量变化情况
2.传播内容
1) 恶意色情应用名称Top10
恶意色情应用利用极具诱惑力的名称引诱用户下载,下图展示了2014年出现频率排名前十的恶意色情应用名称。2
图 2 恶意色情应用名称Top10
2) 恶意色情应用家族Top10
据AVL移动安全团队统计, 2014年十大恶意色情应用家族如图3所示。其中数量最多的是Fakesysui家族。2014年6月之前,该家族通过伪装成系统应用,并推送广告的方式非法牟利。此后该家族大量伪装成色情应用,诱骗用户下载安装。通过这种变化情况,我们可以看出部分恶意代码家族已开始借色情应用的高诱惑性进行推广传播。
3
图 3 恶意色情应用家族Top10
3. 传播模式
1) 通过手机色情网站传播
色情网站挂马传播是传统PC上恶意软件的主要传播途径之一,随着移动恶意应用的爆发式增长,AVL移动安全团队在手机端也发现了类似的传播方式:当用户通过手机浏览器访问被挂马的色情网站时,会被诱导安装恶意色情应用。
相关场景如图4 所示。
4
图 4 手机色情网站诱导安装恶意色情应用
2)通过恶意色情应用传播
AVL移动安全团队分析发现,除了利用色情挂马网站传播外,恶意开发者还会将恶意代码包装成色情应用大肆传播。此种方式下,色情内容和页面展示功能分别由不同的后台服务器提供,这在一定程度上增加了手机安全软件的查杀难度。 该方式下恶意代码通过不断创建虚假快捷方式、弹对话框、伪造通知栏等方式引诱用户点击安装,最终导致手机中安装大量恶意应用。相关场景如图5所示。
5
图 5 恶意色情应用诱导安装其他恶意应用
三、恶意色情应用行为特点
1.趋利性明显
2014年6月 “快播”被严打后出现了一些捆绑在色情应用中的恶意代码,这类恶意代码利用色情图标和内容引诱用户下载,安装后会在后台不断推送恶意应用,消耗手机流量、非法赚取推广费用甚至发送扣费短信,逐步形成一条通过恶意推广和恶意扣费进行非法牟利的灰色利益链。具体描述如图6所示。
6
图 6 恶意色情应用灰色利益链
1) 牟利方式:恶意扣费
恶意色情应用最直接的牟利方式:向特定SP号码发送短信进行扣费。以“禁播视频”为例,图标和应用名都有明显的色情暗示,应用内容为“欲女初生”、“性爱俱乐部”的短视频。用户浏览过程中,后台会访问远程服务器获取相关指令,发送扣费短信并拦截相关回执短信,造成用户经济损失。
以下是某手机安全软件截获该色情应用,并提示该应用会发送扣费短信的相关截图如图7所示。
7
图 7 运行后立即发送扣费短信
2) 牟利方式:恶意推广
由于各大手机安全软件对扣费类恶意应用的查杀力度不断增大,恶意开发者也逐渐利用恶意推广手段非法赚取推广费用。由于色情内容的高诱惑性,色情应用与恶意推广行为迅速结合,形成以恶意推广为特点的恶意色情应用。 恶意色情应用利用色情信息引诱用户下载安装,一旦有手机安装,恶意色情应用则会推送并安装大量其他恶意应用,不仅影响用户的手机使用体验,还可能造成严重的经济损失。
恶意色情应用的流氓推广过程如图8所示。
8
图 8 恶意色情应用的流氓推广行为
以下是一款色情应用引诱用户安装插件,安装后不断在后台推送其他恶意色情内容相关截图:
9
图 9 诱骗用户安装流氓插件,后台无限制推送其他恶意应用
2. 逃避手机安全软件查杀
由于各大手机安全软件的检测查杀能力不断增强,一些恶意色情应用也开始借助其恶意流氓推广行为躲避手机安全软件的查杀。 以yypush家族为例,2014年6月,捆绑该恶意家族的恶意色情应用数量达到7千个。随着手机安全软件的查杀,该恶意家族数量从7月开始有明显下降(详见图10)。在此期间,恶意开发者立即开始利用另一个具有相同行为特征的家族newpaysdk76在后台推广yypush家族,最终逃避手机安全软件的查杀。 图10是家族yypush和newpaysdk76在互相推广期间的数量变化情况。
10
图 10 伴生家族逃避检测
通过流氓推广,不同家族的恶意代码利用色情信息为媒介在用户手机中进行疯狂传播推广,而使用这种分散的伴生传播方式,能让恶意色情软件逃避手机安全软件的查杀。
四、安全建议
面对恶意色情应用愈加泛滥的移动应用环境,AVL移动安全团队建议广大用户:
1. 切勿主动搜索、下载色情应用,不点击任何色情链接,尤其是短信、QQ、微信等聊天工具中不熟识的“朋友”发来的链接;
2. 切勿被色情应用的名称、内容所诱惑欺骗,不要轻易访问自己不熟悉的视频网站;
3. 切勿轻易下载网站推荐的应用,以防上当受骗;
4. 安装应用之后,要选用正规厂商的手机安全软件对该应用进行扫描,检查手机是否被安装恶意应用,一旦发现,立即卸载;
5. 建议用户培养良好的上网习惯,定期为手机扫描体检,远离恶意应用威胁。
新闻时间:2015-01-01
新闻正文:
一、引言
AVL移动安全团队在分析2014全年移动恶意代码时发现:大量移动恶意应用通过色情内容诱导用户下载并安装使用,这些应用不但涉嫌传播淫秽色情内容,还可能执行恶意扣费、恶意推广、窃取用户隐私等操作,造成用户隐私泄露或经济损失。
因此,我们针对移动恶意色情应用的传播情况、行为特点等进行深入分析。希望帮助大家充分了解移动恶意色情应用的危害性,培养良好的上网习惯和安全防范意识。
二、恶意色情应用传播特点
1.传播情况
2014年,AVL移动安全团队捕获色情应用超过10万个,其中恶意色情应用占比高达65%。下图展示了2014年每月捕获的色情应用及恶意色情应用的数量变化趋势,可以看出此类应用数量呈现出爆发式增长。
1
图 1 恶意色情应用数量变化情况
2.传播内容
1) 恶意色情应用名称Top10
恶意色情应用利用极具诱惑力的名称引诱用户下载,下图展示了2014年出现频率排名前十的恶意色情应用名称。2
图 2 恶意色情应用名称Top10
2) 恶意色情应用家族Top10
据AVL移动安全团队统计, 2014年十大恶意色情应用家族如图3所示。其中数量最多的是Fakesysui家族。2014年6月之前,该家族通过伪装成系统应用,并推送广告的方式非法牟利。此后该家族大量伪装成色情应用,诱骗用户下载安装。通过这种变化情况,我们可以看出部分恶意代码家族已开始借色情应用的高诱惑性进行推广传播。
3
图 3 恶意色情应用家族Top10
3. 传播模式
1) 通过手机色情网站传播
色情网站挂马传播是传统PC上恶意软件的主要传播途径之一,随着移动恶意应用的爆发式增长,AVL移动安全团队在手机端也发现了类似的传播方式:当用户通过手机浏览器访问被挂马的色情网站时,会被诱导安装恶意色情应用。
相关场景如图4 所示。
4
图 4 手机色情网站诱导安装恶意色情应用
2)通过恶意色情应用传播
AVL移动安全团队分析发现,除了利用色情挂马网站传播外,恶意开发者还会将恶意代码包装成色情应用大肆传播。此种方式下,色情内容和页面展示功能分别由不同的后台服务器提供,这在一定程度上增加了手机安全软件的查杀难度。 该方式下恶意代码通过不断创建虚假快捷方式、弹对话框、伪造通知栏等方式引诱用户点击安装,最终导致手机中安装大量恶意应用。相关场景如图5所示。
5
图 5 恶意色情应用诱导安装其他恶意应用
三、恶意色情应用行为特点
1.趋利性明显
2014年6月 “快播”被严打后出现了一些捆绑在色情应用中的恶意代码,这类恶意代码利用色情图标和内容引诱用户下载,安装后会在后台不断推送恶意应用,消耗手机流量、非法赚取推广费用甚至发送扣费短信,逐步形成一条通过恶意推广和恶意扣费进行非法牟利的灰色利益链。具体描述如图6所示。
6
图 6 恶意色情应用灰色利益链
1) 牟利方式:恶意扣费
恶意色情应用最直接的牟利方式:向特定SP号码发送短信进行扣费。以“禁播视频”为例,图标和应用名都有明显的色情暗示,应用内容为“欲女初生”、“性爱俱乐部”的短视频。用户浏览过程中,后台会访问远程服务器获取相关指令,发送扣费短信并拦截相关回执短信,造成用户经济损失。
以下是某手机安全软件截获该色情应用,并提示该应用会发送扣费短信的相关截图如图7所示。
7
图 7 运行后立即发送扣费短信
2) 牟利方式:恶意推广
由于各大手机安全软件对扣费类恶意应用的查杀力度不断增大,恶意开发者也逐渐利用恶意推广手段非法赚取推广费用。由于色情内容的高诱惑性,色情应用与恶意推广行为迅速结合,形成以恶意推广为特点的恶意色情应用。 恶意色情应用利用色情信息引诱用户下载安装,一旦有手机安装,恶意色情应用则会推送并安装大量其他恶意应用,不仅影响用户的手机使用体验,还可能造成严重的经济损失。
恶意色情应用的流氓推广过程如图8所示。
8
图 8 恶意色情应用的流氓推广行为
以下是一款色情应用引诱用户安装插件,安装后不断在后台推送其他恶意色情内容相关截图:
9
图 9 诱骗用户安装流氓插件,后台无限制推送其他恶意应用
2. 逃避手机安全软件查杀
由于各大手机安全软件的检测查杀能力不断增强,一些恶意色情应用也开始借助其恶意流氓推广行为躲避手机安全软件的查杀。 以yypush家族为例,2014年6月,捆绑该恶意家族的恶意色情应用数量达到7千个。随着手机安全软件的查杀,该恶意家族数量从7月开始有明显下降(详见图10)。在此期间,恶意开发者立即开始利用另一个具有相同行为特征的家族newpaysdk76在后台推广yypush家族,最终逃避手机安全软件的查杀。 图10是家族yypush和newpaysdk76在互相推广期间的数量变化情况。
10
图 10 伴生家族逃避检测
通过流氓推广,不同家族的恶意代码利用色情信息为媒介在用户手机中进行疯狂传播推广,而使用这种分散的伴生传播方式,能让恶意色情软件逃避手机安全软件的查杀。
四、安全建议
面对恶意色情应用愈加泛滥的移动应用环境,AVL移动安全团队建议广大用户:
1. 切勿主动搜索、下载色情应用,不点击任何色情链接,尤其是短信、QQ、微信等聊天工具中不熟识的“朋友”发来的链接;
2. 切勿被色情应用的名称、内容所诱惑欺骗,不要轻易访问自己不熟悉的视频网站;
3. 切勿轻易下载网站推荐的应用,以防上当受骗;
4. 安装应用之后,要选用正规厂商的手机安全软件对该应用进行扫描,检查手机是否被安装恶意应用,一旦发现,立即卸载;
5. 建议用户培养良好的上网习惯,定期为手机扫描体检,远离恶意应用威胁。
赞赏
看原图
赞赏
雪币:
留言: