安全路透社
当前位置:安全路透社 > 网络转载 > 正文

AI引擎助力揭秘百万地下暗流EvilJS隐匿者家族幕后

一、概要

近期,腾讯反诈骗实验室和移动安全实验室研发新一代的AI引擎TRP,从应用行为,网络行为等维度进行人工智能学习训练,并对检测能力泛化,最终在海量APK文件检出一款新型的流量盗刷应用,确认某SDK模块是恶意行为发起方,并通过神羊线索关联系统定位到名为上海柚**信息技术有限公司存在重大嫌疑。

该恶意病毒家族通过SDK代码集成,应用重打包植入等方式嵌入各类流行应用中,然后通过应用市场,软件下载站,线下手机店等渠道安装到用户手机设备中,一旦进入用户设备后其内置云控模块会在云端下发控制指令非法占用用户的手机设备执行后台模拟点击广告,模拟Google Play刷量等后台操作。腾讯反诈骗实验室和移动安全实验室安全专家注意到开发者嚣张的在代码中留下” /evil/invisible”的字符串信息(evil中文作恶的意思),为此将该恶意病毒家族命名为” EvilJS隐匿者”病毒家族。

腾讯反诈骗实验室和移动安全实验室通过AI引擎聚类关联发现,不仅多米音乐等多款流行正规应用都不慎植入EvilJS隐匿者,还通过某应用市场PC版及非官方ROM将包含恶意的后门程序植入到用户设备中,根据神羊威胁情报信息显示该家族主要通过几种方式大量传播:

1、伪装成系统应用并通过某些PC应用市场模块进行线下推广

2、通过非官方ROM植入用户手机

3、通过合作植入到一些流行应用中

4、通过重打包流行应用然后诱导用户下载

EvilJS隐匿者潜入用户后,会在WIFI环境下产生大量的后台网络请求用户下载广告和应用,对用户体验造成不良影响。

AI引擎赋能:助力揭秘百万地下暗流EvilJS隐匿者家族幕后

目前腾讯手机管家已经全面支持查杀该家族,用户可以下载腾讯手机管家进行查杀拦截。

AI引擎赋能:助力揭秘百万地下暗流EvilJS隐匿者家族幕后

影响范围:

AI引擎赋能:助力揭秘百万地下暗流EvilJS隐匿者家族幕后

二、详细分析

2.1  样本基本信息

应用名:系统**

包名:com.android.system.se****

证书:ECC18BE38********568C57A0D

恶意行为:

AI引擎赋能:助力揭秘百万地下暗流EvilJS隐匿者家族幕后

主要访问域名:

任务下发域名 api.jsi**.com
广告下发域名 a.youe***ia.com(注册公司为“上海柚**信息技术有限公司”)
api.miss***enz.cn(可下发安装APK)
api.oran***213.cn(可下发安装APK)

涉及部分广告URL:

广告商 URL
百度 http://wn.pos.ba***.com/adx.php?c=d25pZD04Nj
AnG https://ad.agr***m.com/AdServer/…
玩咖 http://adxreport.gm***5.com/
Jesgoo http://rcv.jes***.com/show?CAAQHA.WsypG…(URL格式与youemedia。com部分URL相似)
Zampdsp http://s.zam***p.com/wnt?v=21
众盟 http://ssp.zme***23.com/zmtmobads
2.2  模拟广告点击流程分析

未经允许不得转载:安全路透社 » AI引擎助力揭秘百万地下暗流EvilJS隐匿者家族幕后

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册