地下暗流：新發現惡意程序GhostFramework，百萬手機被控制刷量

近日，騰訊安全反詐騙實驗室發現一名為GhostFramework的惡意後門程序，GhostFramework感染區域高度聚集, 大部分的影響用戶都位於浙江省境內,主要影響寧波、杭州、溫州、台州、嘉興、金華等地。

（圖：從各個平台搜集的投訴信息）

目前已經有200多萬用戶手機中招，中招的「肉雞」將接收到GhostFramework從雲端下發的控制命令，並進行三項作惡行為：

1.對主流的搜索、電商廣告平台通過模擬點擊廣告、模擬搜索、模擬表單填寫、下載等操作進行刷量

2.對手機安裝不明應用

3.對手機彈廣告

部分用戶手機中還會被安裝以下的應用：

手機連接助手，二維碼連接助手

移動助手

微助手

作惡行為分析

惡意後門程序GostFramework高度定製了一個本地webview框架來實現客戶端模擬刷量行為，我們通過雲端返回的刷量js邏輯代碼對其解密分析後，該js文件就是刷量操作的核心操作，其包含了模擬點擊廣告、模擬搜索、模擬表單填寫、下載應用等功能。

除了常規的模擬操作,我們還發現該惡意模塊試圖模擬用戶的隨機操作，根據設置的閾值看很可能是為了規避被平台發現的風險。

（圖：代碼示例，模擬用戶隨機行為）

我們還發現JS邏輯裡面還有隨機用戶生成的功能: 比如隨機生成人名、年齡、電話、郵箱等信息然後提交，這些偽裝的數據可以用於虛假註冊或部分廣告表單的數據偽裝。

（圖：代碼示例，模擬用戶填寫個人信息）

其邏輯中還會針對部分包含下載APK的廣告，進行自動點擊下載操作。

除了廣告刷量，GostFramework還會調用其他惡意模塊，比如通過監控用戶手機使用狀態伺機對用戶進行惡意廣告騷擾、靜默安裝應用、禁用殺毒軟體功能等惡意操作

如何預防成為GostFramework肉雞？

用戶安裝並開啟騰訊手機管家即可攔截查殺GhostFramework家族病毒：

1、 直接卸載軟體

2、 刪除/sdcard/目錄下的com.android.system.xfortify和.e1216efb兩個文件夾

3、 如發現無法卸載，嘗試解除設備管理器許可權後卸載

4、 均無法生效時嘗試Root後強制刪除或刷機

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 wifi駭客 的精彩文章: