俄罗斯贵宾会入口-俄罗斯贵宾会-官网

信息化处
 学院俄罗斯贵宾会入口  部门俄罗斯贵宾会入口  资讯动态  通知公告  部门概述  网络安全  规章制度  智慧校园  服务指南  常用下载 
今天是:
您的位置: 部门俄罗斯贵宾会入口>网络安全>正文
“心跳助手”暗藏玄机,”双生花”暗刷木马家族借尸还魂
2018-09-03   金山毒霸

近期,金山毒霸安全尝试室通过“捕风”威胁感知系统的监控数据,追踪发现一款名为“心跳助手”的安卓手游模拟器App暗藏流量暗刷类病毒。比较出格的是,病毒宿主进程被同时嵌入两套流量暗刷插件,经过病毒特征同源性阐发,我们确认这两套木马插件分别是”JsCtrl”和”老裁缝”两大暗刷病毒家族的最新变种,正如传说中的”双生花”,一株二艳,并蒂双花,在同一个枝蔓上相生相杀,所以我们将本次爆发传播的流量暗刷木马命名为”双生花”家族。

从我们的监控数据看,此中的”JsCtrl”变种通过JS脚本下载刷量模块到当地内存加载实行,主要针对目标为58同城、百度糯米、百度的广告推广和SEO排名优化;另外一款“老裁缝”变种通过多层的内存模块加载释放后,利用内嵌的浏览器内核和松鼠脚本引擎squirrel来操作加载模拟点击,主要针对目标为爱奇艺、优酷、PPTV等主流视频站点, 通过暗刷视频播放量从各大视频平台赚取广告内容分成。

两大暗刷木马家族同时藏身”心跳助手”这款正常App实现”借尸还魂”,虽然”双生花”暗刷木马的合作传播内幕目前尚不完全清楚,但从某种角度来看,这应该算得上一次变相的App供应链攻击.从” Putty后门事件”、” XcodeGhost开发工具污染”到”Xshell后门”, App供应链攻击案例层出不穷,官方App是否真的可信,正规App身份的黑白界限也越来越模糊,以本次”双生花”暗刷病毒家族的传播为例,按照我们的监控数据回溯,本次传播攻击从18年4月初开始出现,早期变种只包含”JsCtrl”变种,到1.1.18版本开始到场”老裁缝”最新变种。凭借正规App外壳,隐蔽性极强,通过内存加载和脚本机制实现全程无落地文件攻击,在国内多家安全App的眼皮下,本次”双生花”家族的传播攻击时间跨度已接近半年。

另外,”流量暗刷”这种攻击行为一直都是黑产流量变现的重要渠道手段之一,虚假流量也在互联网的各个行业渠道都能看到身影,对于产品商业、业务安全的毒害影响之重已无需多言。对于产品厂商而言,这样的模拟流量暗刷攻击基本上完整模拟了用户的操作过程,从服务端进行有效鉴定识别非常困难,安全策略会被频繁绕过,从我们的监控数据看,近期针对各大广告平台、资讯平台、视频平台的流量攻击愈发泛滥,我们也非常欢迎爱奇艺、优酷、PPTV、58同城、百度糯米等受影响厂商与我们联系(存眷我们的官方微信号” yucunsafe”答复即可),共同解决此类业务安全问题。 目前,金山毒霸支撑拦截和查杀该病毒。


关闭窗口
 
相关文章  
读取内容中,请等待...

版权所有: 重庆俄罗斯贵宾会职业学院 校址:重庆市沙坪坝区大学城中路81号
德律风:023-61691001邮编:401331
50010602500176 

 

浏览总数:
今日浏览:

俄罗斯贵宾会入口|俄罗斯贵宾会

XML 地图 | Sitemap 地图