流量黑产作为移动互联网产业链条的痼疾,不仅对用户的信息安全以及移动互联网生态安全构成了巨大威胁,同时也成为当前电信网络诈骗的重要手段之一。360互联网安全中心烽火实验室于近日发布的一份追踪报告显示,一个新型的刷量作弊木马家族正在中小城市的150多个小众品牌手机中肆虐。由于其采用了自我隐藏方式以及成熟的模拟点击流程,如同一批由工厂自动流水线生产出来的隐形机器人,较之于传统木马更难以被发现和预防。360烽火实验室将这一隐形机器人家族命名为StealthBot。
双重隐藏令人难防 热门APP受到影响
从报告内容来看,360烽火实验室检测和追踪StealthBot已经有3个多月的时间。StealthBot的开发者是北京的一家长期从事恶意刷量木马开发的互联网公司,360烽火实验室在2017年发布的《移动平台流量黑产研究——流量作弊与流量泡沫》即已对该公司进行过揭露,此后也一直对这家公司的推广渠道进行追踪分析,而StealthBot正是在今年1月初被发现的。
图一:推广过程模拟图
与主流的刷量作弊木马相比,StealthBot能够伪装成系统服务通知,通过开机自动运行、外部唤醒等启动方式耗费用户的数据流量,还能够自动更新并加载最新版本的恶意插件,响应服务器下发的指令。
而为了防止被用户发现,StealthBot采用了视觉隐藏和听觉隐藏两种方式来隐藏自己踪迹——前者使用透明且无焦点的WebView窗口覆盖正常的应用程序窗口,而后者则是通过技术手段开启页面静音,使手机可以在后台播放一些音乐、视频等内容。这些技术手段的使用使得StealthBot更难以被发现和清除,而目前这一木马已经涵盖了搜索、购物、新闻、视频、红包等多个领域的应用之中,微博客户端、百度搜索、凤凰新闻、爱奇艺视频等热门APP也纷纷受到影响。
图二:多家公司制作和传播关系
报告同时显示,围绕StealthBot已经形成了一个完整的传播链条,涉及到了北京、杭州和深圳的共4家公司。其中,北京市鸿途信达科技有限公司和北京盈创嘉鑫科技有限公司参与了StealthBot的制作,而杭州传信网络科技有限公司和深圳鼎智通讯股份有限公司则成为了StealthBot的主要传播者,手机预置和内嵌产品推广分别称为两家公司最主要的推广渠道。例如,传信科技对StealthBot的推广传播就是利用自身研发的产品如“换机精灵”、“头条速览”等进行的。
中小城市小众品牌手机最易受感染 移动网络安全建设亟待加强
由于手机预置和内嵌产品推广成为StealthBot最主要的传播渠道,因此安全意识薄弱的用户群体,以及安全性较差的手机品牌成为了StealthBot出现率最高的领域。360烽火实验室的统计数据显示,自今年1月开始StealthBot已经感染了超过400万台手机,但与此前一二线城市感染者为主的情况不同,StealthBot的感染者主要集中在国内的中小城市,这一地区的占比达到了76.83%。不过,此次受感染的150多个手机品牌主要是小众手机品牌,主流手机品牌基本没有影响。StealthBot感染群体的转变既表明当前一二线城市用户手机安全意识的提升,同时也表明当前网络安全生态仍存在相当大的空白。
图三:中心和中小城市感染分布占比
360烽火实验室认为,小众品牌手机之所以成为StealthBot传播的主要载体,是因为小众品牌手机价格低廉、盈利空间有限,因而窃取用户隐私、预置恶意软件以获取流量黑产收益就成为了其弥补自己市场份额、增加收益的主要方式。而由于中小城市用户的收入水平相对较低,对手机价格较为敏感,因此他们会更倾向于选择小众品牌手机,这无疑为StealthBot在中小城市的爆发提供了土壤。
整体来看,此次事件影响的目标机型集中在众多中小品牌手机,具有很强的针对性;同时倾销地也指向三四线中小城市,具有很强的隐蔽性难以被发现。这些现象的存在既暴露出当前移动生态面临的诸多安全威胁,更让人看到了中小城市用户移动安全意识的缺失以及流量黑产猖獗肆虐的现状。也许StealthBot只是供应链分发环节中的冰山一角,对于相关企业和流量黑产360烽火实验室表示未来将持续追踪,为用户创造更安全的网络环境。