作者:钱盾反诈实验室
0x1.背景
近期,钱盾反诈实验室通过钱盾恶意代码智能监测引擎感知并捕获一批恶意应用。由于该批病毒会联网加载“CWAPI”插件,故将其命名为“DowginCw”病毒家族。“DowginCw”通过插件形式集成到大量儿童游戏应用中,然后通过发布于各大应用商店或强制软件更新等手段,将恶意代码植入用户手机设备中,用户一旦运行,设备将不停下载、安装其他恶意应用,直接造成用户手机卡顿,话费资损,个人隐私泄漏等风险等。
“DowginCw”能上架知名应用商店和长期驻留用户设备,是因为它使用了一套成熟的免杀技术,利用这套技术,免杀病毒可在杀软面前肆无忌惮地实施恶意行为而不被发现,其免杀技术手段包括:代码加固保护、插件化,以及代码延迟加载。
0x2.影响范围
相关数据表明,早在去年10月“DowginCw”病毒家族应用就上架应用商店。其中几款应用下载量甚至高达3千万,疑似存在刷榜,刷量和刷评分,来诱骗用户下载。
目前,钱盾反诈实验室已拦截查杀“DowginCw”病毒家族2603款应用。下图近两月病毒感染设备次数已达93w,平均每日感染用户过万,共计感染87w用户设备。
下表感染用户top10的应用。
| 应用名 |
包名 |
感染量 |
| 魔仙公主换装 |
com.cocoplay.iceskater |
107543 |
| 大球吃小球烧烤 |
com.mahjong.sichuang |
39403 |
| 魔仙公主装扮游戏 |
com.colorme.game.gongzhuhuayuano |
最低0.47元/天 解锁文章
扫一扫
3739
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
