2014移动恶意色情代码研究报告

一、引言

AVL移动安全团队在分析2014全年移动恶意代码时发现:大量移动恶意应用通过色情内容诱导用户下载并安装使用,这些应用不但涉嫌传播淫秽色情内容,还可能执行恶意扣费、恶意推广、窃取用户隐私等操作,造成用户隐私泄露或经济损失。因此,我们针对移动恶意色情应用的传播情况、行为特点等进行深入分析。希望帮助大家充分了解移动恶意色情应用的危害性,培养良好的上网习惯和安全防范意识。

二、恶意色情应用传播特点

1.传播情况

2014年,AVL移动安全团队捕获色情应用超过10万个,其中恶意色情应用占比高达65%。下图展示了2014年每月捕获的色情应用及恶意色情应用的数量变化趋势,可以看出此类应用数量呈现出爆发式增长。

图 1 恶意色情应用数量变化情况

2.传播内容

1) 恶意色情应用名称Top10

恶意色情应用利用极具诱惑力的名称引诱用户下载,下图展示了2014年出现频率排名前十的恶意色情应用名称。

图 2 恶意色情应用名称Top10

2) 恶意色情应用家族Top10

据AVL移动安全团队统计, 2014年十大恶意色情应用家族如图3所示。其中数量最多的是Fakesysui家族。2014年6月之前,该家族通过伪装成系统应用,并推送广告的方式非法牟利。此后该家族大量伪装成色情应用,诱骗用户下载安装。通过这种变化情况,我们可以看出部分恶意代码家族已开始借色情应用的高诱惑性进行推广传播。

图 3 恶意色情应用家族Top10

3. 传播模式

1) 通过手机色情网站传播

色情网站挂马传播是传统PC上恶意软件的主要传播途径之一,随着移动恶意应用的爆发式增长,AVL移动安全团队在手机端也发现了类似的传播方式:当用户通过手机浏览器访问被挂马的色情网站时,会被诱导安装恶意色情应用。

相关场景如图4 所示。

图 4 手机色情网站诱导安装恶意色情应用

2)通过恶意色情应用传播

AVL移动安全团队分析发现,除了利用色情挂马网站传播外,恶意开发者还会将恶意代码包装成色情应用大肆传播。此种方式下,色情内容和页面展示功能分别由不同的后台服务器提供,这在一定程度上增加了手机安全软件的查杀难度。 该方式下恶意代码通过不断创建虚假快捷方式、弹对话框、伪造通知栏等方式引诱用户点击安装,最终导致手机中安装大量恶意应用。相关场景如图5所示。

图 5 恶意色情应用诱导安装其他恶意应用

三、恶意色情应用行为特点

1.趋利性明显

2014年6月 “快播”被严打后出现了一些捆绑在色情应用中的恶意代码,这类恶意代码利用色情图标和内容引诱用户下载,安装后会在后台不断推送恶意应用,消耗手机流量、非法赚取推广费用甚至发送扣费短信,逐步形成一条通过恶意推广和恶意扣费进行非法牟利的灰色利益链。具体描述如图6所示。

图 6 恶意色情应用灰色利益链

1) 牟利方式:恶意扣费

恶意色情应用最直接的牟利方式:向特定SP号码发送短信进行扣费。以“禁播视频”为例,图标和应用名都有明显的色情暗示,应用内容为“欲女初生”、“性爱俱乐部”的短视频。用户浏览过程中,后台会访问远程服务器获取相关指令,发送扣费短信并拦截相关回执短信,造成用户经济损失。以下是某手机安全软件截获该色情应用,并提示该应用会发送扣费短信的相关截图如图7所示。

图 7 运行后立即发送扣费短信

2) 牟利方式:恶意推广

由于各大手机安全软件对扣费类恶意应用的查杀力度不断增大,恶意开发者也逐渐利用恶意推广手段非法赚取推广费用。由于色情内容的高诱惑性,色情应用与恶意推广行为迅速结合,形成以恶意推广为特点的恶意色情应用。 恶意色情应用利用色情信息引诱用户下载安装,一旦有手机安装,恶意色情应用则会推送并安装大量其他恶意应用,不仅影响用户的手机使用体验,还可能造成严重的经济损失。恶意色情应用的流氓推广过程如图8所示。

图 8 恶意色情应用的流氓推广行为

以下是一款色情应用引诱用户安装插件,安装后不断在后台推送其他恶意色情内容相关截图:

图 9 诱骗用户安装流氓插件,后台无限制推送其他恶意应用

2. 逃避手机安全软件查杀

由于各大手机安全软件的检测查杀能力不断增强,一些恶意色情应用也开始借助其恶意流氓推广行为躲避手机安全软件的查杀。 以yypush家族为例,2014年6月,捆绑该恶意家族的恶意色情应用数量达到7千个。随着手机安全软件的查杀,该恶意家族数量从7月开始有明显下降(详见图10)。在此期间,恶意开发者立即开始利用另一个具有相同行为特征的家族newpaysdk76在后台推广yypush家族,最终逃避手机安全软件的查杀。 图10是家族yypush和newpaysdk76在互相推广期间的数量变化情况。

图 10 伴生家族逃避检测

通过流氓推广,不同家族的恶意代码利用色情信息为媒介在用户手机中进行疯狂传播推广,而使用这种分散的伴生传播方式,能让恶意色情软件逃避手机安全软件的查杀。

四、安全建议

面对恶意色情应用愈加泛滥的移动应用环境,AVL移动安全团队建议广大用户:

1. 切勿主动搜索、下载色情应用,不点击任何色情链接,尤其是短信、QQ、微信等聊天工具中不熟识的“朋友”发来的链接;

2. 切勿被色情应用的名称、内容所诱惑欺骗,不要轻易访问自己不熟悉的视频网站;

3. 切勿轻易下载网站推荐的应用,以防上当受骗;

4. 安装应用之后,要选用正规厂商的手机安全软件对该应用进行扫描,检查手机是否被安装恶意应用,一旦发现,立即卸载;

5. 建议用户培养良好的上网习惯,定期为手机扫描体检,远离恶意应用威胁。

原文发布时间为:2015-01-03

时间: 2024-07-28 22:49:26

2014移动恶意色情代码研究报告的相关文章

腾讯手机管家严查恶意色情应用

工业和信息化部(以下简称工信部)开始出拳打击利用APP传播淫秽色情信息,利用与情色挂钩,内置手机病毒的恶意色情应用APP泛滥状况有望得到遏制.而一直以来,为从源头控制色情恶意应用,腾讯手机管家与40余家电子市场合作提供应用上架的安全检测服务.安装了腾讯手机管家的手机,在安装新应用时就可以进行实时检测,查杀内置病毒. 7月22日,工信部发布<工业和信息化部关于深入开展整治移动智能终端应用传播淫秽色情信息工作的通知>称,工信部将组织各通信管理局.部电信研究院.中国互联网协会等单位深入开展整治利用A

2014年中国在线教育研究报告(组图)

2014年中国在线教育研究报告(组图)

WordPress怎么清除网站底部恶意广告代码

解决方法: 请从Ftp下载主题文件夹,或者整站文件,使用Notepad++.Dreamweaver等软件搜索以下代码: 代码可能经常变化,若搜索不到,可以搜索当中的一些关键词.找到后将其删除即可. 该代码通常隐藏在模板的 function.php 文件中.该恶意代码的前后还有一些 function 是调用热门文章或者 widget,估计是为隐藏恶意代码加上去的. 如:"_check_isactive_widget" "_get_allwidgetcont" &quo

php防恶意刷新代码实例

防恶意刷新php教程实例代码是非常实例的,我们经常会为了防止一些操作而来对用户一些用户进行防恶意刷新下面我们来看看这款实例代码吧. <?php session_start(); $k=$_GET['k']; $t=$_GET['t']; $allowTime = 1800;//防刷新时间 $ip = get_client_ip(); $allowT = md5($ip.$k.$t); if(!isset($_SESSION[$allowT])) { $refresh = true; $_SESS

SQL查询分析器清除被注入恶意病毒代码

在SQL查询分析器执行以下代码就可以了. 01.declare @t varchar(255),@c varchar(255) 02.declare table_cursor cursor for select a.name,b.name 03.from sysobjects a,syscolumns b ,systypes c 04.where a.id=b.id and a.xtype='u' and c.name 05.in ('char', 'nchar', 'nvarchar', 'v

清除SQL被注入恶意病毒代码的语句

在SQL查询分析器执行以下代码就可以了. 01.declare @t varchar(255),@c varchar(255) 02.declare table_cursor cursor for select a.name,b.name 03.from sysobjects a,syscolumns b ,systypes c 04.where a.id=b.id and a.xtype='u' and c.name 05.in ('char', 'nchar', 'nvarchar', 'v

解决并清除SQL被注入&amp;lt;script&amp;gt;恶意病毒代码的语句

在SQL查询分析器执行以下代码就可以了. declare @t varchar(255),@c varchar(255) declare table_cursor cursor for select a.name,b.name from sysobjects a,syscolumns b ,systypes c where a.id=b.id and a.xtype='u' and c.name in ('char', 'nchar', 'nvarchar', 'varchar','text',

解析:清除SQL被注入恶意病毒代码的语句_MsSql

在SQL查询分析器执行以下代码就可以了. 复制代码 代码如下: declare @t varchar(255),@c varchar(255)declare table_cursor cursor for select a.name,b.namefrom sysobjects a,syscolumns b ,systypes cwhere a.id=b.id and a.xtype='u' and c.namein ('char', 'nchar', 'nvarchar', 'varchar',

解析:清除SQL被注入恶意病毒代码的语句

在SQL查询分析器执行以下代码就可以了. 复制代码 代码如下: declare @t varchar(255),@c varchar(255) declare table_cursor cursor for select a.name,b.name from sysobjects a,syscolumns b ,systypes c where a.id=b.id and a.xtype='u' and c.name in ('char', 'nchar', 'nvarchar', 'varch