不满足传播一种木马,现在的制马人正在多元化发展

标签:木马

访客:15761  发表于:2016-05-20 11:10:13

手机按哪都没反应?点击屏幕提示付钱解锁,这种被敲诈的情况你遇到过么?近期,央视《共同关注》节目曝光了此类案例。据受害者任小姐讲述,自己无意中下载一款刷钻软件后,手机就被锁死了,必须将下载的软件发到3个QQ群,并支付10块钱,才可解锁。

有同样遭遇的不止任小姐,360手机卫士数据显示,截止目前勒索类恶意软件在全球范围内已累计感染近90万部手机。不仅如此,360移动安全团队追踪研究发现,勒索软件备受制马人“青睐”,恶意软件交叉式传播已成最新趋势。

制马人活动日历3月最活跃 交叉式传播成新趋势

近日,360移动安全团队发布《安全预警:勒索软件正成为制马人的新方向》分析报告指出,勒索软件的恶意行为出现了新的变化趋势,开始出现交叉式传播。勒索软件通过遍历手机通讯录,向联系人群发带有恶意下载链接的短信的方式进行恶意软件的传播。传播的对象不仅是恶意软件自身,还有其他家族木马。

360移动安全团队通过对最新捕获的勒索软件进行分析,发掘出制马人留下的手机号和QQ信息,将其制作的恶意样本与捕获到的时间进行关联,回溯了制马人长达半年之久的制马活动。


不满足传播一种木马,现在的制马人正在多元化发展

图1:360移动安全专家回溯制马人半年内制马活动

通过制马人半年内的制马日历可以直观看出,制马人的制马方向从前三个月以Faketaobao木马家族为主,后三个月时逐渐将重点转向勒索软件。其中在3月份时,制马人增加了恶意软件传播方式,开始群发短信进行裂变式传播,活动频率也到达高峰。

木马通过群发短信裂变式传播

制马人制作的勒索木马在用户手机中启动后会自动向指定号码发送报活信息,而后开始向手机通讯录中的所有联系人发送带有恶意下载链接,实现恶意程序的裂变式传播;然后构造并展现锁屏悬浮窗页面,完成锁屏勒索;最终隐藏自身图标,实现安全自保。


不满足传播一种木马,现在的制马人正在多元化发展

图2:木马运行流程

360移动安全团队分析发现,受害人点击短信中的网址链接下载安装后,手机会被植入恶意软件,该软件会遍历受害人手机通讯录,并继续向通讯录名单发送同样的恶意链接短信,以此来获得裂变式的传播速度。


不满足传播一种木马,现在的制马人正在多元化发展

图3:勒索软件传播的FakeTaobao木马家族

然而短信中恶意链接的传播对象并不仅限于勒索软件自身,还包括Faketaobao家族等木马,将不同类型的恶意软件进行交叉式传播。Faketaobao家族木马主要通过钓鱼、诱骗等方式窃取用户银行信息等重要的个人隐私,帮助不法分子实现盗刷中招者银行卡的目的。

多元化木马制作收益可观 制马人年仅15岁

通过查询恶意软件中制马人留下的QQ信息、木马签名信息,以及QQ签名中出现的关键词,360移动安全团队定位出制马人:一个年仅15岁的少年。


不满足传播一种木马,现在的制马人正在多元化发展

图4:通过QQ号码等信息定位到制马人——15 的少年

360移动安全专家通过和制马人的QQ聊天得知,制马人主要制作“拦截马”即FakeTaobao木马家族,月收益相当可观在1.3万元左右,同时制马人也在制作勒索软件,每月能够多带来1500元收益。


不满足传播一种木马,现在的制马人正在多元化发展

图5:制马人的聊天对话内容体现了制马的巨大利益链

由此可见,制马人制马方向转变、制马多元化的原因,主要受利益驱动。与FakeTaobao木马家族盗刷银行卡的收益不同,勒索软件每次勒索的数额并不大,相对来说制马风险也较小。这种交叉式传播不仅能给制马人带来不同收益,还给用户带来更多安全威胁。一旦用户中招,木马会形成攻击链条,用户损失也会出现叠加。

勒索软件传播出现的裂变式传播和交叉传播新趋势,体现了制马人制马正在朝多元化发展,且勒索软件正在成为制马人制马的新方向。

评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");