近日,安全管家獨家截獲一批以“挾持手機正常軟件進行惡意推廣”的病毒,傳播手段如“驚天魔盜團”般尖端—“利用華麗的舞臺作為掩護,于眾目睽睽之下完成偷天換日的盜竊”。
該病毒通過捆綁到盜版知名游戲如博雅斗地主、宅男必殺、天天炸金花等軟件進行傳播,以“無限金幣輔助”工具誘導用戶安裝后,便對用戶手機內已安裝的軟件進行挾持,在被挾持的正常軟件內進行惡意傳播,推廣具有惡意扣費、竊取隱私等嚴重惡意行為的軟件。
這是繼今年4月被爆出病毒挾持微信、微博亂彈廣告后更嚴重和更惡劣的挾持行為和手段,“驚天魔盜團”如變魔術般讓手機內所有軟件為己所用,而用戶則會以為是正常軟件本身的提示或推薦,目前憑借第二代超級查殺引擎(SMD+AGC)的安全管家對此病毒已可精準查殺。
安全管家查殺盜版的“博雅斗地主”截圖
據安全管家云安全中心分析,上一次被挾持的微信、微博等亂彈廣告的病毒會檢測判斷手機中是否含有微信、新浪微博等應用,隨即在這些正常應用界面中頻繁彈出“精品推薦”等不同類別的廣告。而此次“驚天魔盜團”則是全面對手機軟件進行挾持,只要運行正常手機軟件即會遭到劫持,神不知鬼不覺的進入到其設定的圈套,從而進行惡意傳播,甚至惡意扣費的目的。
“驚天魔盜團”劫持手段簡單分析:
當用戶安裝并運行捆綁該病毒的盜版軟件后(以盜版“博雅斗地主”為例),直接安裝其內置的一款軟件名稱是“無限金幣輔助道具”的軟件,而其實“無限輔助道具”軟件是用來獲取當前運行軟件的圖標和名稱等一些信息,然后在該軟件運行之前強制的偽造一個“**軟件強烈推薦”的廣告,點擊該界面直接開始下載。
1) 運行盜版“博雅斗地主”軟件后,直接強制彈出安裝無限金幣輔助工具:
直接強制彈出安裝“無限金幣輔助工具”
