移动互联网时代,看似风平浪静,实则暗流涌动。日前,国外曝光“Agent Smith”恶意软件伪装成与 Google 相关的应用,在用户不知情或未操作的情况下,利用已知 Android 漏洞,自动将已安装的应用“变脸”为恶意版本,已感染 2500 万台设备。
国内也有同款软件伺机待发,却是“出师未捷身先死”。360安全大脑率先监测到国内应用市场现异常现象,有变脸软件绕开多家主流应用平台审核上架,严重威胁用户移动应用安全。
“变脸”记事本应用在某主流应用平台展示页面
基于独有的360 AVE引擎、360 Sandbox和360 QVM引擎等全球领先的移动恶意软件检测技术,360安全大脑已在第一时间智能识别并查杀此“变脸”恶意应用。
对“变脸”恶意应用展开溯源分析,发现随机变换界面的“变脸”应用,虽下载量不高,但排名、好评都出奇的高,而这一现象背后潜藏的则是恶意软件威胁手段翻新以及刷榜两大黑灰产业链。
应用软件“基因”突变 记事本秒变借贷APP
所谓“变脸”应用,实际是一种恶意软件。具体指的是移动应用平台上,披着正规软件“外衣”,逃过平台审核上架,且一旦下载使用,就悄悄“变脸”成裹挟欺骗、欺诈、偷窃甚至各类病毒等安全威胁的软件。
同时,用户在浏览应用市场软件介绍、图片、示例、评论时,无从辨别真伪,甚至一些“变脸”应用的评论数量、好评量都远远高于软件的本尊,仅凭用户个人的“眼力”难以识别应用软件的虚假“脸谱”,这也进一步助长了“变脸”应用的嚣张气焰。
(“变脸”行为流程)
下载前无从辨别,下载后又是如何“悄然”变脸的呢?经过溯源分析,360安全大脑给出了答案。
原来,“变脸”应用首先会进行网络判断,在有网络连接的情况下访问服务器以获取“脸谱”指令,并根据具体指令进行“脸谱”展示,当“变脸”应用收到“before”指令时,就会自动伪装成使用者最初看到的正规应用模样,而在指令变成“after”时,展示的页面则变回了本来真实的样貌,可能是理财、贷款,也可能是菠菜,但其中无一例外都会裹挟各类网络诈骗威胁。
(恶意软件“变脸”前后)
披着羊皮的狼,也许可以非常贴切地形容“变脸”应用,但此类恶意软件的抬头,却暴露了移动应用平台威胁发展的新趋势。
今年1月,360烽火实验室发布分析文章《移动平台新型诈骗解析》,其中详细介绍了传统恶意应用难以获利的环境下,利用菠菜、伪贷、投资理财等手段获利的新趋势。不法分子借助“金融理财”,“网络彩票”等类型软件设置骗局,获取得用户信任后实施诈骗,而此次360安全大脑捕获到的恶意软件样本,就是伪装成常规记事本工具的“金融贷款”类应用。
“变脸”上线躲避审核 恶意软件变现新招伺机而动
随着“互联网金融”的发展,理财、P2P、第三方支付、众筹、网赚等各类产品逐渐呈现出“门槛低、速度快、手续简单”等特点,方便用户的同时也被诈骗者用于诈骗活动。
经过长期持续追踪,360烽火实验室从软件的应用场景出发,将金融诈骗类软件粗略分为:借贷、投资理财、网赚等类型,其中借贷类诈骗软件在金融类诈骗软件中占比高达58.51%,足以看出这类诈骗活动造成的恶劣影响已不容小觑。
借贷软件诈骗之外,各类投资理财产品中也暗藏大量违规软件。不法理财软件利用虚假信息注册营业执照、网站许可证等资质文件,仿冒正规理财软件、发布高收益率的投资项目吸引用户注册投资,最后以平台升级或企业整改等理由关闭提现通道、冻结用户资产,骗取用户资产。
截至2019年6月,360安全大脑捕获的5400+余款“变脸”应用中,约90%为投资理财或贷款类应用,并有近10%的应用以工具类软件当“外衣”,“变脸”后成投资理财或贷款类应用。
众所周知,由于各项金融规定的出台,以P2P为代表的金融贷款类应用上线,需经过严格的审核,而伪装成工具类应用,则可以更容易的通过审核上线发布。
也就是说,应用“变脸”手段的出现,给各类非法违规应用,提供了绕开平台严格审核,伪装上线进而实施诈骗的新方式,若不加以重视,势必将让移动诈骗势头再起新风浪,严重威胁用户财产安全及移动应用市场的良性发展。
(借贷类诈骗软件运作流程)
“五星好评”让“变脸”应用变成了榜单上最嚣张的“崽”
