黑產盯上“吃雞”游戲 木馬病毒盛行勒索扣費

原標題：黑產盯上“吃雞”游戲 木馬盛行勒索扣費

阿裡巴巴旗下錢盾反詐實驗室近日監測到，黑客利用吃雞玩家的游戲排名以及游戲賬號的預約痛點，開發了多種木馬病毒，以鎖屏勒索、惡意扣費、捆綁惡意代碼等方式來達到感染用戶手機，勒索錢財的目的“大吉大利今晚吃雞”，一款大逃殺類的FPS/TPS游戲《絕地求生：大逃殺》在2017年下半年成為游戲領域的絕對熱門。玩家之眾，從明星到普通用戶，直接導致Steam中國區用戶的比例躍升到了56.37%，登頂世界第一，“吃雞游戲”也成為年度熱詞。

“吃雞游戲”本身具有極強的競技性和觀賞性，但阿裡巴巴旗下錢盾反詐實驗室近日監測到，黑客和黑產從業者正是抓住玩家看中游戲排名以及游戲賬號預約的玩家痛點，開發了多種木馬病毒，以鎖屏勒索、惡意扣費、捆綁惡意代碼等方式來達到感染用戶手機，勒索錢財的目的，嚴重威脅用戶的手機安全。

吃雞木馬的危害邏輯

錢盾反詐實驗室高級安全工程師趙翰表示，通過監測發現，吃雞類木馬大部分在11月-12月期間大量出現，將勒索病毒披上“絕地求生輔助”、“絕地求生搶號神器”等外衣，甚至直接做出手機版本的仿冒軟件。

“近幾年手游受到大家追捧，很多原來pc上的游戲都做了手游版，有的玩家就會以為‘絕地求生’也有手機版，就到一些不正規的市場上下載了偽裝官方的木馬。木馬製作者也最擅長打著熱點事件的噱頭，誘導用戶安裝，然後鎖定用戶手機屏幕並向用戶勒索解鎖費用。”趙翰稱。

趙翰指出，從技術層面解讀來看，木馬在資源文件下隱藏這一個惡意子包assets/libdalvik_pat.so，錶面上看是一個.so的動態庫文件，其實是一個.apk木馬安裝包；之所以隱姓埋名是為了免殺，給逆向分析人員增加分析的難度；誘導用戶點擊操作，並獲取root權限，然後將該惡意木馬寫入系統目錄system/app，重啟手機來完成對木馬軟件的安裝，這樣做的目的是增加卸載的難度。

據瞭解，一旦用戶裝上了此類木馬軟件，不僅會被鎖屏勒索，該木馬還會在用戶不知情的情況下惡意扣費、惡意捆綁代碼，造成用戶的資費消耗。趙翰稱，錢盾還監測到該木馬以”我的絕地求生晚上吃雞之迷你艾莎購物”為名，捆綁惡意代碼，頻繁加載廣告，後臺下載推廣應用並誘導用戶安裝，造成用戶流量的嚴重消耗。

吃雞木馬背後的產業鏈

錢盾反詐實驗室通過監測、分析及追蹤，也挖掘到了吃雞木馬背後的產業鏈。趙翰以吃雞鎖屏勒索木馬為例，木馬製作者會通過一些渠道將勒索木馬投放，一旦有用戶中馬則會根據在鎖屏界面預留的聯繫方式（一般是QQ號）聯繫到木馬製作者尋求解鎖方式。

首先，招攬門徒製作木馬是木馬軟件的源頭。趙翰稱，木馬製作者一般要求被勒索用戶拍照證明手機真實被鎖；接著會勒索用戶20元的解鎖費用，更戲劇化的是木馬製作者還招攬門徒，公然打著“實力教學”的旗號，要求小白徒弟只要交40元的費用即可通過視頻教程、QQ語音等方式，教你如何在20分鐘內完成一款勒索木馬的製作，同時打包木馬製作工具及源碼分享給學徒。

正是得益於學費低廉、開發設備（只需有一款Android智能手機即可通過AIDE使用手機製作木馬）簡單便攜、製作技術含量低，外加之好奇心作怪，讓黑產隊伍不斷的壯大，導致勒索手機木馬軟件的感染量長期居高不下，但就木馬代碼分析，技術套路比較常見“換湯不換藥”。

與此同時，木馬投放的多渠道性也增加了木馬的傳播途徑。趙翰稱，通過QQ聯繫上木馬製作者之後，對方會教門徒如何投放木馬，一般方式包括APP捆綁、網頁掛馬、社交網絡傳播（論壇）、廣告推廣和利用熱點事件誘導用戶安裝，“主要通過各種投放渠道誘導用戶手機感染木馬（或在用戶不知情的情況下完成安裝），鎖定用戶手機，最終達到敲詐勒索感染木馬用戶的錢財的目的。”

游戲黑產盛行威脅手機安全

除了上述病毒，錢盾反詐實驗室近期還發現了一種名為“DowginCw”的病毒，通過插件形式藏身於“明星公主換裝小游戲”、“瘋狂小寶石”等多款熱門游戲應用中，已偷偷控制了國內至少上數十萬手機設備。目前，它仍“存活”在多個應用商店中，日均感染量近萬台。

錢盾反詐實驗室高級安全工程師魏峰表示，“DowginCw”病毒去年10月就已上線，通過插件形式集成到大量兒童游戲應用中，發佈於各大應用商店，通過用戶自發下載或強制軟件更新等手段安裝到手機設備中。一旦運行，設備將不停下載、安裝其他惡意應用，直接造成用戶手機卡頓，話費資損和個人隱私泄漏。

“例如手機會自動彈出廣告，無論點擊界面任何地方都會自動下載安裝其他的惡意應用、扣費軟件等，最終用戶設備將成為黑產提款機。”魏峰說。錢盾團隊還發現，“DowginCw”病毒背後還有一條龐大產業鏈，“制馬人（黑客）”“廣告平臺”“多渠道分發”“轉賬洗錢”四個團隊構成了“DowginCw”黑灰產業鏈的關鍵環節。

阿裡巴巴集團安全部技術副總裁杜躍進表示，進入到互聯網時代，當前最大的安全威脅來自於利用病毒等多種技術手段運作的網絡黑灰產業。據瞭解，近年來網絡黑灰產業呈現出明顯集團化、產業化趨勢，獲取網民個人信息和銀行卡資料成為“慣用招數”。數據顯示，我國網絡黑灰產業鏈從業人員已超過150萬，市場規模更是達到了千億級別。

《中國游戲產業報告》公佈的數據顯示，2017年中國游戲市場實際銷售收入達到2036.1億元，同比增長23%。游戲產業的蓬勃發展也面臨著黑產盛行的威脅。

工信部近期也公佈了近三年的不良APP，“惡意吸費”的應用軟件占比達到8%，有35款，基本都是游戲軟件。而一款名為“開心連連看”的APP在2015年下半年曾三次上榜，其V2.6、V1.5.0及V3.1版本均存在這一問題。

“鎖屏勒索病毒近幾年也是有流行的趨勢，牟利方式可謂是簡單粗暴，可以直接導致用戶無法使用手機。所以希望廣大用戶安裝手機端殺毒軟件預防勿安裝了木馬病毒軟件。”趙翰表示。