【PConline资讯】消息,近日钱盾反诈实验室发现一批恶意推广应用,通过伪装成儿童游戏应用,发布于国外各大应用商店或通过软件强制更新等手段安装到用户手机设备中。用户一旦安装,设备将不停下载安装恶意扣费和系统破坏类应用,直接造成设备卡顿、话费资损、隐私泄漏,用户设备将完全沦陷,成为僵尸机,黑产提款机。由于恶意应用会联网加载“CWAPI”的插件,其被命名为 DowginCw。
DowginCw 具有成熟的免杀技术,包括利用厂商壳加固和恶意代码插件化技术绕过杀软特码查杀,以及恶意代码块延迟加载躲避动态沙盒监测。利用这套技术,免杀病毒可以在杀软面前肆无忌惮地实施恶意行为而不被发现,最终成功上架知名应用商店和长期驻留用户设备。
DowginCw 病毒共计 1400+ 款应用,目前,国内多家应用商店仍存活此类恶意应用。某几款应用下载量上千w,部分应用疑似存在虚假评分评论。
据了解,早在去年 10 月 DowginCw 病毒家族已上架应用商店,目前,多家应用商店仍能下载到此恶意应用,其中几款应用下载量甚至高达 3 千万,疑似存在刷榜、刷量、刷评分,来诱骗用户下载。近两月该病毒家族样本查杀量已达 93w 多个,共计感染 87w 用户设备,平均每日感染用户过万。
▲平均每日感染量
▲DowginCw家族感染用户 top10 的应用
▲国内感染区域分布
上图为国内感染区域分布,发现人口大省是重灾区,原因是 DowginCw 病毒家族发布于各大应用商店,很容易进入用户手机。
