破解恶意软件“合纵连横”之术 360安全大脑溯源黑灰产“惊天魔盗团”
2020-08-28
色情软件游走在网络监管边缘由来已久,积重难返的色情软件传播问题似乎在边打边跑的游击战中,又找到了一条与赌博、监控、云呼甚至跨平台恶意程序“合纵连横”的作恶之路——拓展牟利渠道,躲避安全软件查杀,定制黑灰产软件,倒卖用户隐私,敲诈勒索等各种手段齐上阵层层盘剥受害者。
近期,360安全大脑发现了一批存在严重隐私窃取行为的色情软件,不仅能够窃取用户短信、通讯录等隐私信息,还能在受害者使用软件时实时录像用户行为。更为严重的是,背后的黑灰产团伙批量制作多种类型的灰黑产软件,包括色情、赌博、手机远控、云呼等,该团伙有明确组织分工及传播分发特点,牟利手段多样。目前,360安全大脑已将追溯的黑灰产情报接入360威胁情报云,帮助客户防御安全风险。
“幼儿园”“会所”APP猛增
实为色情直播应用暗盗隐私
针对涉黄涉非突出问题,特别是传播危害青少年身心健康的有害信息现象,自今年4月以来,全国“扫黄打非”办公室深入推进“净网2020”行动,在全民积极响应的氛围下,至今已取得了不俗的成绩。
在7月中旬,360安全大脑发现近百款行为可疑的色情软件,这批软件皆应用E4A框架开发,名称以“会所专用”为主,另有部分软件的名称为“安东幼儿园”、“夜都交换”、“魅惑直播”等。
这批软件启动后会打开一个登录页面,登录页面需要输入“会所专用VIP密码”并提供了客服和试看入口,进入客服入口会开启一个与昵称为“a_软件开发平台”的QQ账号的聊天窗口,可在线购买或索要VIP密码,而进入试看页面会看一些极具“诱惑力”的色情短视频。这批软件声称其为沈阳某高端会所专用软件,且软件涉及的色情内容全部是真实在线直播,在抓取到的网络配置文件中发现了部分开发者的QQ账号与微信号。
表面上看这些软件只是一批靠收费会员特权非法牟利的色情软件,但从软件启动开始,用户的个人隐私信息就开始被非法窃取,地理位置、通讯信息、相册文件均会被私自上传,甚至有针对性的静默录像,使用前置摄像头偷拍,并将录像文件上传至指定服务器,而除了上传隐私信息,这批恶意软件还会通过邮箱转发用户隐私,用户的私密行为被暴露于黑灰产的视野中。
从服务器上抓取的用户隐私文件截选
更隐蔽的是,活跃FTP服务器上的用户隐私文件并不会一直保存,而是不定期会被备份到攻击者本地,同时从FTP服务器上被清理掉。
小作坊接大“业务”
“跨界”黑产软件井喷
除了凭借极具诱惑力的外衣吸引用户下载,进行非法获利的涉黄恶意软件外,监控、云呼类的恶意软件也同样通过仿冒正常软件、赌博软件等形式,肆虐网络。
在此次溯源中,360安全大脑也发现了由相同开发者开发的其他黑灰产软件,呈现井喷态势。截至8月初,共发现了1400多款同源软件,这些同源软件都利用E4A、Cocos2d-Lua或APICloud等低成本开发方式开发,软件类型主要包括色情软件、远程监控软件、棋牌游戏以及“呼死你”软件,涉及色情、非法监控、赌博、云呼等多种非法黑灰产。
1.色情软件深谙人心,诱导分享驾轻就熟
在找到的同源软件中色情软件占据了75%,包括各种“直播”、“宝盒”、“神器”、“VIP聚合”等,这类软件启动后的界面与主要功能十分相似,首页可以输入卡密进行登录并进入观看页面,卡密可以通过联系软件中提供的QQ账号进行购买。这批软件“充分”利用了用户的“二次传播”能力,利用“分享可获取VIP会员”与“不分享影响观看稳定性”的话术极力诱导用户对色情软件进行二次传播,让已上钩的用户成为他们传播色情、牟取利益中的“利器”。
诱导二次传播
2.监控软件花样翻新,盗取隐私明码标价
同源软件中监控软件的数量大约占据了10%,这些监控软件名称多为“防出轨”、“**定位”,也包括某些仿冒正常软件的名称,如“系统”、“万年历”、“LanYa”等。这些监控软件对用户的地理位置、通讯信息、多媒体文件等隐私信息进行了监控与窃取,且以“卡密”形式“明码标价”买卖用户的这些隐私信息,只要花钱,用户隐私可以随意暴露给任何人。
仿冒正常软件的同源监控软件
3.云呼软件陈仓暗度,非法讨债敲诈勒索
同源软件中云呼软件的数量大约也占据了10%,同样需要购买卡密才能正常使用。云呼软件因可向指定的手机号码连续拨打电话和发送短信、具有较强的骚扰能力而被列为违规软件,购买云呼软件的人多将其用于非法讨债、敲诈勒索等非法活动,社会危害性极大。
同源付费云呼软件
4.棋牌游戏真出老千,后台操作控制输赢
在同源中还发现了近十款棋牌游戏软件,这些棋牌游戏软件都具有充值提现功能、带有明显的赌博性质,且开发者名下的蓝奏网盘中甚至还发现了疑似带有后台操控输赢功能的棋牌游戏软件,名称为“棋牌(后台可控制输赢)”,从安装包名称看,这款棋牌游戏软件可以在后台控制用户胜率,结合该软件带有的违规充值提现功能,用户极有可能掉入棋牌赌博的“老千陷阱”,无论投入多少钱财都会消耗殆尽。
作案团伙浮出水面
金字塔式代理层级分明
这批软件的开发者是一个小型的、有组织、有分工的黑灰产制造与传播团伙,该团伙以软件定制开发、售卖黑灰产软件账号密码来牟取钱财。其“涉猎”的黑灰产领域甚广,包括但不限于已经发现的色情、赌博、监控、云呼等。
三名主要成员来自辽宁省沈阳市,均为开发者,他们完成了黑灰产软件的开发、原始传播与对窃取的用户隐私进行存储,他们对功能模块开发有明确的分工:分别负责安卓远控模块、网站或服务器搭建模块、软件模块的开发,另有一名开发者负责网站排名优化。
除了最上游的黑灰产软件制造者,还有若干活跃于黑灰产中游的传播人员,这些人多以客服形式存在,主要负责售卖“卡密”与代理传播黑灰产软件。中间代理的存在让这批黑灰产软件形成了多级的传播方式,在开发者传播源下,还包括多个中间传播者与用户传播者。
该黑灰产团伙组织“画像”
低成本开发多重牟利手段曝光
360威胁情报云全面收录黑灰产团伙情报信息
该组织在开发色情、监控等黑灰产软件上有一些明显的技术特点。首先,这批黑灰产软件开发基本都使用了开源或免费的软件开发框架,这批软件的也核心代码会多次复用,以此来降低开发成本。
同时,该组织具备一定的“反杀软”与对抗意识。该组织开发的黑灰产软件几乎都具有“假失效”功能,需要多次重启才能正常运行,这种行为能直接影响杀毒软件沙箱的检测效果,且这个组织还会在黑灰产软件运行时进行网络抓包环境检测以对抗作弊。
此外,这个组织有跨平台能力,除了制造与传播Android端黑灰产软件外,还开发了Windows端的恶意软件。
该组织所使用的多种非法牟利手段,包括承接黑灰产软件定制、贩卖黑灰产软件账号密码、运营和操控赌博软件等,甚至存在倒卖用户隐私与敲诈勒索的嫌疑。
随着各大应用市场对软件上架的审核越来越严格,黑灰产软件上架应用市场的几率越来越小,但QQ群、论坛、网盘等游离在应用市场审核机制之外的地方成了黑灰产软件及其开发者的重要聚集地,虽然各平台都有相关的规定与检测机制,但狡猾的黑灰产从业者“似乎”总有办法来躲避,多数情况下都是在被发现后换一个名字或换一套“壳”重新出现。同时也不再满足于单一黑灰产带来的收入,而是在利益趋势下将手伸到了多种黑灰产上,并开始交叉渗透。
在这种形式下,对黑灰产软件的防范需要多方努力,除了应用市场要继续严格上架审核制度外,各大社交平台、论坛、网盘等黑灰产常用的分发平台也需要进一步完善监管制度。黑灰产防范亟需升维,根据黑灰产变化趋势不断更新监测与查杀策略,以应对“变化多端、擅于隐蔽”的黑灰产软件。在360安全大脑的极智赋能下,360烽火实验室特有的监测探针能及时探测应用软件存在的风险行为,目前已经将挖掘到的包括黑灰产情报在内的威胁信息全部接入360威胁情报云,以帮助有需要的客户更好地防御恶意软件带来的风险。
关于360烽火实验室:360烽火实验室致力于Android病毒分析、移动黑产研究、移动威胁预警以及Android漏洞挖掘等移动安全领域及Android安全生态的深度研究。作为全球顶级移动安全生态研究实验室,360烽火实验室在全球范围内首发了多篇具备国际影响力的Android木马分析报告和Android木马黑色产业链研究报告。实验室在为360手机卫士、360手机急救箱、360手机助手等提供核心安全数据和顽固木马清除解决方案的同时,也为上百家国内外厂商、应用商店等合作伙伴提供了移动应用安全检测服务,全方位守护移动安全。