陳宏偉-企業(yè)級(jí)惡意程序開發(fā)者攪局移動(dòng)安全

"企業(yè)級(jí)"惡意程序開發(fā)者攪局移動(dòng)安全360烽火實(shí)驗(yàn)室高級(jí)安全研究員關(guān)于我們Android研究、移動(dòng)威脅預(yù)警以及Android漏洞挖掘等移動(dòng)安全領(lǐng)域及手等提供核心安全數(shù)據(jù)和頑固木馬清除解決方案。同時(shí)也為上百家國內(nèi)外廠商、應(yīng)用商店等合作伙伴提供移動(dòng)應(yīng)用安全3惡意開發(fā)者之間的“較量”0惡意程序開發(fā)者概況0個(gè)人開發(fā)者數(shù)量，單位：個(gè)企業(yè)開發(fā)者數(shù)量，單位：個(gè)3年0惡意程序開發(fā)者概況0個(gè)人開發(fā)者數(shù)量，單位：個(gè)企業(yè)開發(fā)者數(shù)量，單位：個(gè)5794963年年惡意程序開發(fā)者概況個(gè)人開發(fā)者數(shù)量，單位：個(gè)企業(yè)開發(fā)者數(shù)量，單位：個(gè)57915001496147703年年年強(qiáng)制下載第三方應(yīng)用發(fā)布低俗色情應(yīng)用發(fā)布山寨應(yīng)用窺探用戶隱私SE7強(qiáng)制下載第三方應(yīng)用發(fā)布低俗色情應(yīng)用發(fā)布山寨應(yīng)用窺探用戶隱私SE7EN提交虛假身份信息無無提示扣費(fèi)使用惡使用惡意廣告3惡意開發(fā)者之間的“較量”流量僵尸關(guān)鍵詞：游戲、搜索引擎、熱搜榜、消耗流量流量僵尸26%26%流量僵尸感染應(yīng)用簽名分布圖teamOUngsteamheCCNdcebff09456acbab345gleOUgoogleCNoidDebugOAndroidecbcd2c853c30a6897a335%請(qǐng)求下載地址解密、安裝雙頭蛇木馬返回下載地址靜默安裝下載并動(dòng)態(tài)加載運(yùn)行提權(quán)模塊A自我保護(hù)修改、寫入開機(jī)自啟請(qǐng)求下載地址解密、安裝雙頭蛇木馬返回下載地址靜默安裝下載并動(dòng)態(tài)加載運(yùn)行提權(quán)模塊A自我保護(hù)修改、寫入開機(jī)自啟提權(quán)模塊B本地解密釋放調(diào)用釋放、拷貝、安裝私自下載私自下載部署惡意插件模塊釋放、拷貝、安裝聯(lián)網(wǎng)更新聯(lián)網(wǎng)更新篡改系統(tǒng)文件模塊在對(duì)該木馬家族進(jìn)行分析時(shí)，發(fā)現(xiàn)一個(gè)偽裝成游戲“DailyRacing”的變種，在其運(yùn)行的衍生物中發(fā)現(xiàn)了名為ngsteamprf.xml的配置文件。意程序另一個(gè)變種聯(lián)網(wǎng)下載的衍生物中，發(fā)現(xiàn)與之前相似結(jié)構(gòu)的網(wǎng)址。2015年9月22日，F(xiàn)ireEye在其博客也發(fā)布了對(duì)該惡意程序的分析報(bào)告。幕后的作者指向一家中國公司。某公司的“黑歷史”xinyinhe幕后黑手xinyinheffastmopaynngsteam某公司的“黑歷史”部設(shè)在北京100人左右，其中技術(shù)研發(fā)人員在10人左右達(dá)50人，其余人員以銷售和運(yùn)營為主上渠道：廣告推廣，應(yīng)用計(jì)費(fèi)，轉(zhuǎn)賣計(jì)費(fèi)渠道渠道：應(yīng)用預(yù)裝，刷機(jī)提供商渠道商軟件公司應(yīng)用集成運(yùn)營商計(jì)費(fèi)代碼封裝為SDK破解轉(zhuǎn)賣計(jì)費(fèi)代碼提供商渠道商軟件公司應(yīng)用集成運(yùn)營商計(jì)費(fèi)代碼封裝為SDK破解轉(zhuǎn)賣計(jì)費(fèi)代碼代理商用正用正規(guī)應(yīng)用申請(qǐng)計(jì)費(fèi)代碼確認(rèn)信應(yīng)用的來源：應(yīng)用CP本的應(yīng)用定用戶量應(yīng)用的團(tuán)隊(duì)代碼和扣費(fèi)代碼重新打包每周活躍應(yīng)用在35款，日激活量在50萬載并安裝應(yīng)用戶的購買的價(jià)格為1元推廣渠道：正規(guī)的應(yīng)用商店和廣告渠道使用自己的“廣告聯(lián)盟”概率平均為10%扣費(fèi)短信的金額在10元以上應(yīng)用發(fā)送短信確認(rèn)信應(yīng)用的來源：應(yīng)用CP本的應(yīng)用定用戶量應(yīng)用的團(tuán)隊(duì)代碼和扣費(fèi)代碼重新打包每周活躍應(yīng)用在35款，日激活量在50萬載并安裝應(yīng)用戶的購買的價(jià)格為1元推廣渠道：正規(guī)的應(yīng)用商店和廣告渠道使用自己的“廣告聯(lián)盟”概率平均為10%扣費(fèi)短信的金額在10元以上應(yīng)用發(fā)送短信費(fèi)運(yùn)行用面應(yīng)用彈面攔截扣量僵尸關(guān)鍵詞：1個(gè)人量僵尸關(guān)鍵詞：1個(gè)人3天5,000,000次100,000次關(guān)鍵詞：海外Root大師誤抓取同一個(gè)世同一個(gè)世界同一款病毒3惡意開發(fā)者之間的“較量”技術(shù)深度傳播范圍功能較為單一極少有技術(shù)難度影響范圍比較小傳播能力有限個(gè)人和小規(guī)模團(tuán)隊(duì)的“弱點(diǎn)”技術(shù)深度傳播范圍功能較為單一極少有技術(shù)難度影響范圍比較小傳播能力有限傳播傳播方式渠道單一渠道單一通過社交軟件、論壇、貼吧傳播傳播方式傳播范圍渠道多樣例如嵌入SDK、影響能力較強(qiáng)具備大面積傳播企業(yè)開發(fā)團(tuán)隊(duì)的“優(yōu)勢(shì)傳播方式傳播范圍渠道多樣例如嵌入SDK、影響能力較強(qiáng)具備大面積傳播技術(shù)技術(shù)深度功能復(fù)雜功能復(fù)雜有一定技術(shù)難度，大加密等對(duì)抗手段，多采用動(dòng)態(tài)加載的方式內(nèi)部老板唯利是圖，處處算計(jì)員工欺上瞞下，悶聲發(fā)財(cái)內(nèi)部老板唯利是圖，處處算計(jì)員工欺上瞞下，悶聲發(fā)財(cái)外部環(huán)境看似風(fēng)平浪靜，實(shí)則暗流涌動(dòng)公司之間競(jìng)爭(zhēng)激烈，爾虞我詐精明的老板精明的老板機(jī)制機(jī)制的員工?偷梁換柱?手到擒(錢)來?產(chǎn)品經(jīng)理的噩夢(mèng)3惡意開發(fā)者之間的“較量”運(yùn)營商手機(jī)廠商政府機(jī)構(gòu)應(yīng)對(duì)策略運(yùn)營商手機(jī)廠商政府機(jī)構(gòu)謹(jǐn)慎選擇植入的SDK留意SDK所需要的權(quán)限開開發(fā)者