返回首页
 

"舞毒蛾"木马演变报告

发布日期
2016-03-10
关键词
舞毒蛾、色情播放器、云控、恶意推广
摘要
近期,360移动安全团队监测到一款云控木马“舞毒蛾”正在集中爆发。该木马家族最早于2015年2月被360移动安全团队捕获,截至2016年2月底,“舞毒蛾”已经累计样本超过1.2万个,木马累计感染量高达340余万。其中,三星和OPPP手机用户的感染量最大。
      从2015年2月到2016年2月底,国内感染量接近330万,广东、河南是木马感染的重灾区。全球范围看,“舞毒蛾”木马感染最严重的前三个国家是中国、印度和印度尼西亚,主要是亚洲国家。
从感染的手机厂商数据显示,三星和OPPO是感染最严重的手机品牌,其次是酷派、华为、vivo等。
从每月捕获样本数量看,“舞毒蛾”在2015年底和2016年初呈现爆发式增长,仅2016年2月期间就捕获到近8000个。
      从木马传播源看,色情播放器是首要传播源,占比为80%;此外,“舞毒蛾”木马还伪装成一些热门应用,例如,美图秀秀、小米便签。
从木马流程看,“舞毒蛾”运行后,会联网上传配置信息,请求包含多个恶意文件的核心模块下载地址。在早期的版本中,还会本地释放核心模块。
      “舞毒蛾”木马的核心模块共包含了八大功能。其中包括获取Root,篡改系统文件、恶意扣费、隐私窃取、恶意广告、静默下载安装其他应用六大恶意行为,以及自我保护、联网更新升级等。
      “舞毒蛾”核心模块在2016年2月份演变频繁,最新的版本5几乎每天都进行文件更新,隐藏方法不断升级;木马结构更加复杂,各模块间实现功能替补,相互保护。“舞毒蛾”木马增强提权能力所利用的漏洞包括VROOT–CVE-2013-6282、TowelRoot–CVE-2014-3153,以及针对三星Galaxy S6和采用MTK芯片手 机的漏洞利用模块:PingPongRoot–CVE-2015-3636、Mtkfb–mt658x & mt6592。
      通过对C&C服务器关系进行分析发现,与“舞毒蛾”木马私自下载、更新、推广功能相关的多个服务器,是由相同署名注册。此外,核心模块下载相关的服务器则是由另一署名注册。
      360移动安全团队研究发现,联网下载带有提权功能的恶意包是木马出现的新趋势。这类木马结构复杂,一旦某个模块被删除,其他模块还会实现功能替补,达到各功能模块互相保护,更加难以清除。

扫描二维码分享朋友圈

NEW最新研究报告

Android恶意软件专题报告(2016)

2016年全年,360互联网安全中心累计截获Android平台新增恶意程序样本1403.3万个,平均每天新增3.8万恶意程序样本,2016年全年,从手机用户感染恶意程序情况看,360互联网....

关键企业保障网络安全的形势与挑战

近年来,随着人类社会的进步和信息技术的发展,人类在能源、环境、交通、居住、安全等领域都面临着严峻的挑战,迫使人们不得不利用大数据、物联网等互联网技术实现更加高效、智能....

2016年中国互联网安全报告

2016年360互联网安全中心共截获PC端新增恶意程序样本1.9亿个。敲诈者病毒在国内发生两次大规模传播,全国至少有497多万台用户电脑遭到了敲诈者病毒攻击。通过对受害者调研...

2016年中国高级持续性威胁研究报告

2016年,全球各地安全机构展开了大量关于APT的专业研究。截至2016年12月,360追日团队共监测到全球41个安全机构发布的各类APT研究报告100份,涉及相关APT组织43个,被攻击...

2016骚扰电话形势分析报告

2016年360手机卫士共拦截骚扰电话385.1亿次,创历史新高。比2015年大幅增涨41.3%,平均每天为全国用户识别与拦截1.05亿次,在骚扰电话的号码源中,由固定电话呼出的骚扰...

2016年中国手机安全状况报告

2016年全年,360互联网安全中心累计截获Android平台新增恶意程序样本1403.3万个,平均每天新增3.8万恶意程序样本,360手机卫士共为全国手机用户拦截各类钓鱼网站攻击15.9亿次...