草榴1024社區既然有手機APP?全是套路:假頁面 真騙錢 別上當

發布時間:2017-11-23 19:20 作者:Q趣家園 點擊:我要評論()

 9月20日消息,近日部分網友在社交網絡爆料稱,老司機們都知道的“草榴社區”上架蘋果App Store熱門搜索頁了。 草榴 1024 套路 “草榴社區”上架App Store 老司機勸你千萬別手賤(圖) TechWeb查詢App Store發現,截至目前這款名為“草榴社區”的App仍然能夠被搜索,且評論已經達到了四千多條,但絕大部分評論都與此款App內容無關,水軍刷評論的痕跡非常明顯。從詳情頁面可以發現,這款App最初上架時間為2016年6月14日,最新一次的版本升級為今年6月29日。 去年,趨勢科技就檢測到了Marcher木馬的一個新變異的版本,當時黑客是通過電子郵件或發布的色情網站鏈接,來誘導Android用戶下載Marcher的,再將受害者誘導至Google Play官方網站上的X-VIDEO應用(一個色情應用)后,再假冒該應用的Google Play付款頁面,要求受害者輸入付款信息,從而竊取用戶的資料。其實早在這之前,Marcher就通過色情應用攻擊了數百萬韓國用戶。 不過最近,趨勢科技發現了Marcher木馬利用色情應用的新一波攻擊。安全專家們在iOS和Android平臺上同時發現了大量使用中文用戶界面的色情應用程序,有些甚至可以App Store上找到。目前已經有大量的潛在有害應用程序 (Potentially Unwanted Apps,PUA)正在通過色情網站、熱門論壇及色情網站來進行傳播。 安裝潛在有害應用程序 (PUA)很可能會危及用戶的隱私和本地系統的安全性,需要說明的是,這些PUA都是合法的應用程序,不過通常會在用戶安裝這些程序時被惡意軟件或廣告軟件所盯上,試圖利用社交工程來使用戶安裝額外的產品和服務。 PUA類的應用程序具有一個或多個違規行為或屬性。如果用戶在進行軟件的安全檢測時發現有安全風險提示,可不一定意味著它就是惡意軟件。但是,如果這類應用是在用戶不知情的情況下安裝到用戶的系統中,則用戶的隱私或系統的安全性可能會遭到泄露或破壞,甚至可以攔截用戶所接受的短信。所以在這里我們建議大家還是開啟應用程序的安全檢測功能。 趨勢科技已經確定,這些色情應用目前正在快速地傳播,并且還根據所傳播的區域進行不同的偽裝。除了色情應用本身的吸引力之外,調查還發現,程序分銷商也在其中起到了推波助瀾的作用, 到目前為止,趨勢科技已經確定了兩個合法的分銷商正在分發數千個這些色情應用程序。有的分銷商只是借著色情的幌子來誘騙用戶下載他們所推廣的應用程序,總之由于色情應用可以激發用戶大量下載程序,所以分銷商為了從推廣中獲利,也會打擦邊球。 攻擊用戶的三個階段 這些色情應用程序的攻擊通常分三步進行: 首先,利用色情網絡連接吸引用戶; 其次,偽裝成合法應用,誘導用戶進行程序下載; 最后,當用戶輸入隱私信息后,對這些信息進行盜竊 草榴 1024 套路 利用這種辦法可以很輕松地允許將一些惡意程序安裝到用戶的應用中,所以為了達到目的,有的分銷商就會從用戶的設備中先收集用戶信息,然后推送用戶喜歡的信息鏈接,當用戶被引導到不同的URL,則會誘導他們下載各種程序。 草榴 1024 套路 目前,趨勢科技已經確定了幾個色情網站,它們就利用這些http重定向請求來分發不同類型的色情應用。可以肯定,這種分發方法非常的成功,目前這些應用程序已經廣泛出現在亞洲的不同國家,而且主要是中文區域,因為這些程序的用戶界面語言都是中文的,一下就是色情應用的使用分布圖: 草榴 1024 套路 含有下載鏈接的色情網站 ygyl[.]bysun[.]cc jinm09a[.]eeeeioslyee4[.]pw woaikanpianyongjiumianfei[.]cc 238-114[.]ffjj-2[.]com wdfw[.]ksmsmk[.]com aaaaajbrg[.]cn mo[.]39lo[.]com e[.]919cp[.]com waszyy[.]com xmxli[.]cesicc[.]org[.]cn 草榴 1024 套路 色情應用分析 從收集到的信息中,安全專家注意到,色情應用可以分為幾種不同大類。然后他們將最新收集的色情應用與2016年檢測到的數據進行了比較。發現,2017年第一季度的應用數量約為53萬,比2016年第一季度高出了約10000個。 草榴 1024 套路 每種大類下又有各種應用程序,據統計,平均每個大類下有100個不同的應用程序,每個不同的應用程序大約有10萬次傳播量。單在iOS平臺,專家們就檢測到大約52000個色情應用程序。 色情應用的分銷商 上文我們簡單的提了一下,很多合法的分銷商為了從推廣應用中獲利,會打色情應用的擦邊球,然后利用用戶的注冊信息再進一步獲取更多的隱私細節。目前已經查明,快播雞年版 (QvodPlay Rooster Version)和快播2017HD版 (QvodPlay 2017 HD Version)中的應用程序由同一家分銷商制作和發行。所有在“春愛影院(SexMovie)”,“幻想影院(DreamMovie)”,“絕密影院(BannedMovie)”大類下的應用程序也是由同一分銷商傳播的。另外,專家們還確認幾個色情應用的附屬站點是由同一個用戶注冊的。 草榴 1024 套路 草榴 1024 套路 此外,從付款信息中,專家們也發現這幾千個色情應用程序竟然只被兩個人購買了。而這兩個收款人都是獨立的實體,他們之間并無任何聯系。 iOS平臺的色情應用分發 要將色情應用程序放入到App Store,就必須要求該應用的開發者具備合法的D-U-N-S號碼,簡單說,D-U-N-S 是一個9位的企業標識符,一般大企業才有,在注冊D-U-N-S時,開發者必須提供有關其組織的詳細信息,包括營業執照和其他要求以驗證組織身份的信息。從這一點來講,只有合法的開發者才能將自己的產品放入App Store。 雖然看起來似乎非法組織難以在App Store里動手腳,但黑客卻想到了一些辦法來達到自己的目的: 1. 獲得合法公司的D-U-N-S號碼 2. 通過網絡釣魚或地下市場獲取企業證書所需的注冊信息 在iOS上的色情應用的開發信息標注的都是幾家知名公司的授權信息,但通過實際調查專家們并沒有發現這些企業開發過這些色情應用程序。所以,可以推測出,分銷商可能會竊取企業信息,并冒充這些公司獲得合法的證書來分發他們的應用程序。例如,同一個大類下的一些色情應用認證信息都是由同一公司的證書簽署的。 對于蘋果公司來說,通過盜竊企業證書來分發惡意軟件并不是什么新鮮的事情了。其實趨勢科技早在去年年底就寫了一篇關于“惡意開發者是如何應用App Store來分發他們的廣告軟件應用程序”,而這些色情應用程序的開發商的方法和這篇文章里提到的方法非常類似。 如何從色情應用中獲利 如上所述,這些色情應用的主要目的是為了賺錢。通常,這些應用程序會為用戶提供提供一些免費預覽的部分,然后要求等用戶繼續要求觀看時,就必須進行會員注冊。但是,不要以為注冊為會員之后,就能免費觀看了,在用戶注冊完會員后,不斷會有彈窗提示用戶,必須經過付費后才能觀看這些視頻。當然有些應用完全是騙錢的,因為即使付了款,還是無法觀看。 草榴 1024 套路 草榴 1024 套路 在野外利用中,發現色情程序的惡意行為 到目前為止,這些色情應用的分發與其他可能在用戶安裝合法的應用時附帶的應用,如廣告或色情應用,有些甚至還存在著故意盜竊用戶敏感信息的功能。專家們在野外發現的Android色情應用,就可以做到訪問移動用戶的私人消息、用戶位置、聯系信息、設備ID和SIM序列號。 與Android不同,在野外發現的iOS色情應用的攻擊性則要小的多,它們更側重于傳播的數量。當用戶安轉這些程序后,這些應用程序將連接到遠程服務器并請求用戶下載應用程序列表。然后,再將鼓勵用戶點擊進行更多的相關應用程序的安裝。 草榴 1024 套路 對于通過欺詐手段獲取企業證書簽署的iOS應用程序,蘋果有一個緩解措施。在啟動應用程序之前,iOS會提示用戶通過“設置”>“常規”>“設備管理”手動來添加信任的企業證書。但是,這樣就有可能存在風險,一旦用戶受信任的這些企業證書被人盜用了,那所有拿該企業證書進行簽名的程序就都成為在默認狀態下,受信任的程序了,這時即使有什么危險提示,用戶也不會看到。 App Store中iOS色情應用程序的惡意行為 開發和傳播色情應用的組織會不斷嘗試在App Store上進行運行,并努力繞過Apple的審查過程,比如對于這些特定的色情應用程序,其背后的組織可能會利用各種用于偽裝應用程序的方法。到目前為止,專家們已經注意到色情應用總共使用了三種特殊的策略,來把自己偽裝成合法的應用程序: 1. 利用本地配置, 2. 成為“容器”, 3. 使用位置回避策略。 利用本地配置策略的色情應用,通常會被偽裝成瀏覽器或小游戲。一旦用戶下載之后,該下載程序就會添加一個快速瀏覽或彈出式按鈕,將用戶重定向到色情網站,并吸引人們安裝色情應用。 草榴 1024 套路 然后這些色情應用程序會將用戶重定向到的色情網址直接存儲在位置文件中或隱藏在plist文件中的一段JavaScript代碼中,如下圖所示。 草榴 1024 套路 除了內置色情網站網址的應用程序外,還有許多嵌入色情搜索工具的應用程序,如歌曲類應用程序。 在成為“容器”的策略如下,應用程序首先從遠程服務器請求plist配置文件,一旦被用戶下載,惡意行為就會開始運行,更改用戶的默認值。作為從遠程服務器獲得內容的“容器”,該內容可能包括色情網站的鏈接,這樣用戶就能被引導到有更多鏈接應用程序的界面,甚至色情搜索工具。 草榴 1024 套路 上圖顯示了由“dmoe[.]cn”管理的應用程序的代碼,當該應用啟動后,用戶就將被重定向到服務器返回的特定站點。在下面這個案例中,用戶會鏈接到一個名為“草榴社區”的色情網站。該網站的登陸頁還詳細羅列了各種色情資源。此外,該網站自動將用戶重定向到App Store以下載另一個色情應用,不過目前該應用程序已被蘋果刪除。 草榴 1024 套路 所提到的最后一個偽裝策略涉及利用用戶的位置信息,如果用戶是在斷網狀態或在特定國家或地區訪問,則該色情應用程序就會將自身偽裝成合法的安裝。在下圖所示的案例中,我們可以看到,在特定區域,色情應用突然顯示為“報價和語音應用”。不過,在這些區域以外,該應用程序就將會重新開始傳播色情應用。 草榴 1024 套路 在此方法下,這些應用程序可以使用識別IP來源的第三方IP服務,或者從用戶設備獲取移動國家代碼(MCC)和移動網絡代碼(MNC)信息。然后其背后的組織就會利用位置信息來嘗試繞過蘋果的審查過程,以便通過更嚴格的應用程序規則來偽裝自己。 草榴 1024 套路 如上所述,這些應用程序會從遠程服務器請求其他色情應用的URL。不過,這些URL會不斷地進行更改,下圖就顯示了這些應用程序是如何繼續傳播的。 從以上這個三個方法我們可以看出,這些色情應用的開發人員更愿意把時間和資源花費在規避蘋果的審查流程上,這樣就能分發越來越多的應用程序以獲得更大的利潤。趨勢科技,目前只確定了這三種方法,但以后會不會出現更多的辦法就不一定了。 草榴 1024 套路 雖然這些色情應用并不是什么惡意程序,所以分銷商就可以使用非法的手段獲得企業證書并偽裝成合法企業的應用。他們還使用位置回避策略,收集用戶信息,訪問Android設備上的私人通信,以及通過詐騙的色情視頻來欺騙用戶的錢。 趨勢科技的調查顯示,目前這幾種辦法的主要影響區域在亞洲國家,而且傳播趨勢異常猛烈。不過,目前專家們僅發現了兩個分銷商在這么干,但是他們管理了一個跨越亞洲甚至歐洲的大規模運營。 目前色情內容仍然是詐騙手段中常用的一種方法,且仍然是攻擊移動用戶的熱門工具。 我們建議用戶在從第三方應用商店下載應用程序時一定要謹慎,當你選擇從這些程序的站點下載時,你會很容易將自己暴露在各種安全威脅(如這些色情應用)中。
    喜歡
    0
    失望
    0
    乒乓球世界排名