手機流氓推廣黑色產(chǎn)業(yè)鏈 每日暴利達(dá)千萬元

????當(dāng)前，隨著智能手機的普及，各種形式的手機病毒大量肆虐傳播，手機應(yīng)用惡意扣費、竊取用戶隱私等行為日益嚴(yán)重。

????今年上半年，手機流氓推廣木馬呈現(xiàn)了泛濫的勢頭，“自動下軟件”、“自己下軟件”，“不停下軟件”成為網(wǎng)絡(luò)上廣大手機用戶關(guān)注的焦點。在此過程中，一條黑色產(chǎn)業(yè)鏈也在悄然形成，更因其數(shù)量驚人成為新的黑色暴利產(chǎn)業(yè)。

????用戶手機流量電量“被消耗” 流氓推廣暴利驚人

????來自網(wǎng)秦“云安全”監(jiān)測平臺的數(shù)據(jù)顯示，在2012年上半年截獲的“遠(yuǎn)程控制木馬”類惡意軟件中，超過70%具備接收服務(wù)器指令后通過聯(lián)網(wǎng)下載、強行推送到用戶手機進(jìn)行流氓推廣的行為。僅2012年上半年，手機流氓推廣木馬已在全球范圍內(nèi)直接感染手機521萬部(其中中國大陸地區(qū)468萬部)，以其平均日下載2次X單次安裝1元的平均結(jié)算價格計算，僅在一天時間內(nèi)，通過“遠(yuǎn)程控制木馬”實施惡意推廣的最高獲利或達(dá)936萬元。

????測試顯示，像“耗電行者”這樣的惡意軟件，平均每日下載3到5次，單個推廣文件體積在3至6MB之間(黑客可通過遠(yuǎn)程服務(wù)器非常靈活的配置下載頻次和下載內(nèi)容，對時長等隨意定制)，大量消耗用戶的手機上網(wǎng)流量，平均每天平白耗費20-30MB流量。

????電量方面，“耗電行者”會啟動大量的CPU數(shù)據(jù)運算，從而導(dǎo)致大量的手機電量損耗。經(jīng)測試，正常Android手機在充滿電量情況下，通常待機時間在28至35小時左右，而手機在感染“耗電行者”后，在后臺下載、安裝過程中會大量損耗電量。

????惡意廣告聯(lián)盟強行刷機內(nèi)置應(yīng)用 蒙蔽廣告主從中謀利

????目前，手機廣告主為有效推廣自身應(yīng)用，通常會通過渠道代理來進(jìn)行廣告投放的方式來增加用戶量，并以實際效果，如下載次數(shù)、激活次數(shù)與之結(jié)算。渠道代理商則會通過在應(yīng)用商店中做推薦、與終端廠商進(jìn)行預(yù)裝合作等正規(guī)形式來為其增加用戶，并于廣告主正常結(jié)算。

????然而，由于受廣告主不菲的結(jié)算價格誘惑，一些渠道代理商(惡意推廣聯(lián)盟)會不惜通過惡意軟件聯(lián)網(wǎng)自動下載、強行刷機內(nèi)置的流氓推廣的方式來強推應(yīng)用，并通過一條密集的、連貫的流氓推廣產(chǎn)業(yè)鏈來快速達(dá)成推廣指標(biāo)，從而蒙蔽廣告主，與之結(jié)算分成，從中謀利。

????惡意推廣聯(lián)盟會直接自制或伙同從事惡意軟件制作的黑客將包含推送這些應(yīng)用的網(wǎng)址加入到如“炸彈人”、“硬幣海盜”、“財急送”等熱門應(yīng)用之中，并通過一些安全認(rèn)證薄弱的應(yīng)用商店騙取用戶下載。

????通過這一方式，用戶手機的流量電量會大量損耗，同時，他們還成為了被利用的對象，惡意推廣聯(lián)盟通過分成收益，根據(jù)傳播頻次謀取暴利。而廣告主同樣也將因被惡意推廣聯(lián)盟蒙蔽而遭受損失，在投入不菲經(jīng)費后反只獲得低質(zhì)量用戶，并因產(chǎn)品“被流氓推廣”造成用戶的強烈反感，使品牌嚴(yán)重受損。

????此外，惡意推廣聯(lián)盟還會通過不同渠道，采用刷機方式將這些應(yīng)用強行內(nèi)置到用戶的手機之中，他們與一些水貨刷機市場合作，將出廠手機中原已內(nèi)置的應(yīng)用刪除，再重新內(nèi)置到新的推廣應(yīng)用，重新包裝后銷售，此時當(dāng)消費者購買到手機后，就會在聯(lián)網(wǎng)過程中自動返回激活信息，惡意推廣聯(lián)盟以此來蒙蔽廣告主試圖騙取收益。

????流氓推廣木馬可靈活配置下載 誘騙用戶安裝與黑客分成

????據(jù)網(wǎng)秦2012年上半年全球手機安全報告稱，流氓推廣木馬在特征上也出現(xiàn)了較多的變換，其可對服務(wù)器網(wǎng)址進(jìn)行加密，可靈活配置下載列表，且隱蔽自身特征，偽裝提示安裝，還可自動判斷手機是否具備ROOT權(quán)限等。

????目前多數(shù)手機流氓推廣軟件均對用于推送軟件的服務(wù)器地址進(jìn)行了加密處理，在感染手機后再通過解密指令讀取，從而再讀出其中的服務(wù)器列表，推送指令和下載內(nèi)容。解密完成后，便可讀取服務(wù)器地址，其中包含有用于流氓推廣的指令以及黑客配置好的下載列表，而這個下載列表，實際通過服務(wù)器端可進(jìn)行靈活配置。

????同時，根據(jù)指令，在下載、安裝過程中，流氓推廣木馬還可自動檢測當(dāng)前網(wǎng)絡(luò)狀態(tài)。設(shè)置其延遲時間，若網(wǎng)絡(luò)為wifi則立刻下載，若為其他，則每隔若干小時下載一次。而在自動下載完成后，流氓推廣木馬還可通過服務(wù)器指令配置彈窗顯示的文字內(nèi)容，如以“系統(tǒng)更新”為名誘騙用戶點擊安裝，而一旦安裝后則會記錄次數(shù)上傳以與黑客分成。

????目前手機流氓推廣木馬多已具備對ROOT權(quán)限這一Android系統(tǒng)的核心權(quán)限的判定過程，如針對帶root的手機，樣本會運行命令申請獲得root權(quán)限，用戶一旦授予權(quán)限，樣本便會在后臺將SD卡的download文件夾下的樣本，靜默安裝在/data/data/路徑下，獲取root權(quán)限直接完成安裝。

????針對未ROOT的用戶，樣本下載后會通過通知欄通知用戶“系統(tǒng)更新，您好，已經(jīng)獲取最新更新，請點擊安裝”等欺騙性詞匯，誘導(dǎo)用戶安裝下載的軟件。