當前位置:
首頁 > 科技 > 地下暗流:新發現惡意程序GhostFramework,百萬手機被控制刷量

地下暗流:新發現惡意程序GhostFramework,百萬手機被控制刷量

近日,騰訊安全反詐騙實驗室發現一名為GhostFramework的惡意後門程序,GhostFramework感染區域高度聚集, 大部分的影響用戶都位於浙江省境內,主要影響寧波、杭州、溫州、台州、嘉興、金華等地。

(圖:從各個平台搜集的投訴信息)

目前已經有200多萬用戶手機中招,中招的「肉雞」將接收到GhostFramework從雲端下發的控制命令,並進行三項作惡行為:

1.對主流的搜索、電商廣告平台通過模擬點擊廣告、模擬搜索、模擬表單填寫、下載等操作進行刷量

2.對手機安裝不明應用

3.對手機彈廣告

部分用戶手機中還會被安裝以下的應用:

手機連接助手,二維碼連接助手

移動助手

微助手

作惡行為分析

惡意後門程序GostFramework高度定製了一個本地webview框架來實現客戶端模擬刷量行為,我們通過雲端返回的刷量js邏輯代碼對其解密分析後,該js文件就是刷量操作的核心操作,其包含了模擬點擊廣告、模擬搜索、模擬表單填寫、下載應用等功能。

除了常規的模擬操作,我們還發現該惡意模塊試圖模擬用戶的隨機操作,根據設置的閾值看很可能是為了規避被平台發現的風險。

(圖:代碼示例,模擬用戶隨機行為)

我們還發現JS邏輯裡面還有隨機用戶生成的功能: 比如隨機生成人名、年齡、電話、郵箱等信息然後提交,這些偽裝的數據可以用於虛假註冊或部分廣告表單的數據偽裝。

(圖:代碼示例,模擬用戶填寫個人信息)

其邏輯中還會針對部分包含下載APK的廣告,進行自動點擊下載操作。

除了廣告刷量,GostFramework還會調用其他惡意模塊,比如通過監控用戶手機使用狀態伺機對用戶進行惡意廣告騷擾、靜默安裝應用、禁用殺毒軟體功能等惡意操作

如何預防成為GostFramework肉雞?

用戶安裝並開啟騰訊手機管家即可攔截查殺GhostFramework家族病毒:

1、 直接卸載軟體

2、 刪除/sdcard/目錄下的com.android.system.xfortify和.e1216efb兩個文件夾

3、 如發現無法卸載,嘗試解除設備管理器許可權後卸載

4、 均無法生效時嘗試Root後強制刪除或刷機


喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 wifi駭客 的精彩文章:

程序員和工程獅斗圖過程,爭論點永遠是這些
人類的起源終於搞清楚了:35萬年前起源於南部非洲,難道我們都是非洲人啊
阿里巴巴陷入「抄襲門」,大公司都喜歡抄襲嗎?
杭州一網貸平台突然關門:收益高、回款快?30萬打水漂
長距離短波背負式軍用電台,荷蘭特種部隊曾引進使用

TAG:wifi駭客 |