DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

警惕新型儿童游戏木马,守护孩子们的天空

09-17 WEB安全

一、概要
近期,腾讯安全反诈骗实验室自研的TRP-AI反病毒引擎捕获到儿童游戏-宝宝**、儿童游戏-宝宝**、儿童游戏-公主** 等“儿童游戏”系列应用在用户设备上有流量异常行为,且存在频繁动态加载dex文件、执行命令、私自提权等可疑操作。安全研究人员通过深入跟踪和分析,发现这类应用表面上是儿童益智类的小游戏,在国内大部分应用市场都有上架,运行后应用界面也没有广告,看起来很“良心”,但实际上,这些应用可以通过云端控制下发恶意插件,在背地里做着用户无法感知的恶意行为:加载恶意广告插件,通过将广告展示界面设置为不可见,进行广告盗刷行为,疯狂消耗用户流量;动态加载恶意ROOT子包,获取手机ROOT权限,替换系统文件,将恶意的ELF文件植入用户手机。
安全人员将这一系列木马应用称为“BlackBaby”木马家族,且“BlackBaby”木马植入的恶意ELF文件模块可以脱离母体独立运行,长期潜伏用户手机,且开机自启动,在后台静默推送恶意色情、扣费软件,对用户造成严重滋扰。
腾讯安全专家分析发现“BlackBaby”系列木马为了绕过查杀、提升了与杀软对抗的能力,使用了很多病毒逃逸技术,主要包括:
使用代码分离技术将代码拆分为多个dex子包,分阶段自云端下载并动态加载,用以绕过了杀软的安装包检测,且便于其他应用集成;
使用了强混淆技术,自定义的字符串变形加密等手段,对抗静态代码检测;
云端控制下发逻辑,躲避杀软的蜜罐检测;
“BlackBaby”系列木马涉及一百多款儿童游戏应用,累计影响用户数达百万,其中影响用户较大的应用有:
软件名
包名
周用户量
儿童游戏-涂***
com.men.******rawl
20万+
儿童游戏-宝宝***钉
com.lhyy.chil****urnly
12万+
儿童游戏-打***
com.yuyoo******le3.sub1
7万+
宝宝***-儿童游戏
com.lhyy.chi*****ro
7万+
宝宝学习-涂色***
com.ba*****lor
6万+
儿童游戏-宝宝***
com.lhyy.children***
4万+
儿童游戏-宝宝***
com.lhyy.childrenc***
3.5万+
宝宝游戏-儿童超市
com.lhyy.children***
3.5万+
儿童游戏-宝宝***钉
com.lhyy.children****ly
3.5万+
儿童游戏-宝宝***屋
com.lhyy.ltm.baby****
3万+
儿童游戏-宝宝***钉
com.lhyy.children******
3万+
儿童游戏-宝宝***
com.doding.children******
3万+
宝宝游戏-儿童***
com.lhyy.children******
2.5万+
儿童游戏-宝宝***巴士
com.baby.baby***
2.5万+
恐龙宝宝***益智
com.lhyy.wl.protwobaby******
2.5万+
宝宝***派对
com.lhyy.ltm.baby******
2.5万+
宝宝游戏-儿童***
com.lhyy.children******
2.5万+
儿童游戏-方块***
com.lhyy.******ks
2.5万+
儿童游戏-宝宝***
com.lhyy.children******
2.5万+
儿童游戏-***花园
com.yuyoogame.ameng******u1Sub1.sub1
2.5万+
****拼图儿童拼图
com.lhyy.*****
2万+
儿童游戏-宝宝***
com.baby.****
2万+
宝宝***酷游戏
com.lhyy.wl*****
2万+
儿童游戏-***音乐
com.doding.children****
1.5万+
儿童游戏-宝宝****
com.lhyy.children****
1.5万+
****游戏-2到7岁
com.doding.fmsdjig******
1.5万+
宝宝神奇**
com.lhyy.wl.new****
1.5万+
儿童学习公主****
com.lhyy.wl.princesspuzzl****
1.5万+
****游戏-2到7岁
com.doding.fmsdjigsaw****
1.5万+
美图****宝宝拼图
com.lhyy.wl.****puzzle
1.5万+
****乐园-宝宝游戏
com.yuyoogame.ameng******.bingyuan1
1.5万+
儿童游戏-宝宝****
com.lhyy.children****
1.5万+
宝宝游戏-儿童***
com.lhyy.children****
1.5万+
儿童游戏-宝宝****
com.doding.children******
1万+
宝宝认知****游戏
com.yuyoogame.******gu1
1万+
宝宝****益智游戏
com.lhyy.wl.probaby****
1万+
儿童游戏-****乐园
com.yuyoogame.******
1万+
宝宝***
com.lhyy.children****
1万+
宝宝游戏***达人
com.lhyy.wl.******
1万+
宝宝游戏-儿童****钉
com.lhyy.children******
1万+
儿童游戏-**世界
com.yuyoogame.******
1万+
****乐园3
com.yuyoogame.ameng.****
1万+
儿童游戏****拼图
com.lhyy.wl.****puzzle
1万+
儿童游戏-宝宝****
com.lhyy.children****
1万+
……
 
 
腾讯安全反诈骗实验室自研的TRP-AI反病毒引擎基于应用的行为进行深度学习,能有效探测应用的可疑操作,很好的应对上述病毒应用采用的逃逸技术,目前已经率先支持查杀该木马家族。

警惕新型儿童游戏木马,守护孩子们的天空


警惕新型儿童游戏木马,守护孩子们的天空


二、病毒详细分析
我们以 儿童拼图**拼图 样本为例,对“BlackBaby”木马的作恶行为进行详细分析。
2.1 病毒执行流程

警惕新型儿童游戏木马,守护孩子们的天空


2.2  详细流程分析

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://sskjddosgb11.ddosgb.com//web/99.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 698415访问次数
  • 建站天数
  • 友情链接

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X