新病毒“DowginCw”入侵小游戲 手機恐受多重傷害

中新網北京12月10日電 頗受女性、青少年兒童中意的換裝、裝扮類休閑小游戲看似“人畜無害”，但因一款名為“DowginCw”的新型病毒出現讓它們成為了手機“殺手”。

記者近日從阿里巴巴錢盾反詐實驗室獲悉，11月24日發現了“DowginCw”病毒。

錢盾反欺詐實驗安全技術專家魏鋒(化名)表示，通過錢盾惡意代碼智能檢測引擎，基于靜態文件特征、動態行為、網絡流量等維度特征進行深度學習而構建智能模型，在海量樣本關聯挖掘相同家族的惡意應用及其變種。

由于上述新型病毒會聯網加載“CWAPI”插件，故將其命名為“DowginCw”病毒家族。

“DowginCw”相比之前的手機病毒有何特別之處？“DowginCw”病毒家族通過插件形式集成到大量兒童游戲應用中，然后通過發布于各大應用商店，或軟件強制更新等手段安裝到用戶手機設備中，用戶一旦運行，設備將不停下載、安裝其他惡意應用，直接造成用戶手機卡頓，話費資損，個人隱私泄漏等風險。

根據檢測，魔仙公主換裝、魔仙公主裝扮游戲、巴拉拉公主蛋糕、奇妙蛋糕屋游戲、葉蘿莉美甲師(免費版)等位列被“DowginCw”感染手機游戲前十位。

相關數據表明，早在去年10月“DowginCw”病毒家族就上架應用商店，目前，多家應用商店仍能下載到此惡意應用，其中幾款應用下載量甚至高達3千萬，疑似存在刷榜、刷量、刷評分，來誘騙用戶下載。

從國內感染區域分布，河南、四川、山東等人口大省是“DowginCw”病毒的重災區，病毒家族發布于各大應用商店，很容易進入用戶手機。

魏鋒指出，“DowginCw”具有成熟的免殺技術，包括利用廠商殼加固和惡意代碼插件化技術繞過殺軟特碼查殺，以及惡意代碼塊延遲加載躲避動態沙盒監測。利用這套技術，免殺病毒可在殺毒軟件面前肆無忌憚地實施惡意行為而不被發現，最終成功上架知名應用商店和長期駐留用戶設備。

更應引起注意的是，由制馬人、廣告平臺、多渠道分發、轉賬洗錢等已經構成了“DowginCw”黑色產業鏈的關鍵環節。

其中制馬人團隊負責開發維護，以及免殺處理，目前病毒已迭代到5.0版本，特點包括：能以插件形式集成到任意app；代碼延遲加載，由云端下發惡意插件；字符串加密，代碼強混淆等技術，可見“DowginCw”開發團隊專業度之高。

“廣告平臺”角色是“DowginCw”病毒的主要賺錢方式，通過在黑市宣傳推廣能力，以成功下載應用或成功安裝病毒木馬收費。

“多渠道分發”團隊在整個鏈條中處于相對核心的地位，通過與某些應用合作，成功集成“DowginCw”插件，致使能上架知名應用商店。

從實際運作來看，整個圈子除了上述幾個重要角色外，一些環節還會有其他“黑產”人員參與其中，比如上架應用商店后，想要讓app曝光誘騙用戶下載，會請專業人員進行刷榜，刷量，刷好評。

目前，錢盾反詐實驗室已攔截查殺2603款“DowginCw”病毒家族應用。近兩月該病毒家族樣本查殺量已達93萬多個，平均每日感染用戶過萬，共計感染87萬用戶設備。