【技术分析】DowginCw病毒家族解析
0x1.背景
近期,钱盾反诈实验室通过钱盾恶意代码智能监测引擎感知并捕获一批恶意应用。由于该批病毒会联网加载“CWAPI”插件,故将其命名为“DowginCw”病毒家族。“DowginCw”通过插件形式集成到大量儿童游戏应用中,然后通过发布于各大应用商店或强制软件更新等手段,将恶意代码植入用户手机设备中,用户一旦运行,设备将不停下载、安装其他恶意应用,直接造成用户手机卡顿,话费资损,个人隐私泄漏等风险等。
“DowginCw”能上架知名应用商店和长期驻留用户设备,是因为它使用了一套成熟的免杀技术,利用这套技术,免杀病毒可在杀软面前肆无忌惮地实施恶意行为而不被发现,其免杀技术手段包括:代码加固保护、插件化,以及代码延迟加载。
0x2.影响范围
相关数据表明,早在去年10月“DowginCw”病毒家族应用就上架应用商店。其中几款应用下载量甚至高达3千万,疑似存在刷榜,刷量和刷评分,来诱骗用户下载。
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
面对“DowginCw”病毒家族带来的威胁,阿里云提供了一系列安全产品和服务,可以帮助用户有效防御此类恶意软件的攻击,保护个人隐私和数据安全。以下是一些推荐的安全措施:
-
云安全中心(Security Center):作为阿里云的一站式安全管理和防护平台,云安全中心能够实时监控您的云上资源,检测潜在的安全风险,包括恶意软件、病毒、木马等。它通过智能分析技术,可以及时发现并预警“DowginCw”这类恶意应用的行为,帮助您快速响应,采取隔离或清除措施。
-
内容安全(Content Moderation):针对应用商店中可能存在的恶意应用,阿里云的内容安全服务提供了全面的内容检测功能,包括文本、图片、视频等多种媒体类型。通过集成内容安全API,应用商店可以自动扫描上传的应用,识别并阻止包含恶意代码或违反政策的应用上架,有效防止“DowginCw”病毒家族的传播。
-
移动安全服务:对于移动应用开发者而言,阿里云的移动安全服务提供了从应用加固、安全检测到威胁防御的全方位解决方案。应用加固功能可以防止代码被逆向工程,减少被插入恶意插件的风险;而安全检测则能帮助开发者在发布前发现应用中的安全漏洞和恶意代码,如“CWAPI”插件,确保应用的安全性。
-
Web应用防火墙(WAF):虽然“DowginCw”主要影响的是移动应用,但其联网加载插件的行为也可能涉及Web服务。阿里云的WAF能够防御SQL注入、XSS跨站脚本、恶意爬虫等网络攻击,保护网站和API接口免受“DowginCw”病毒通过网络途径进行的攻击。
-
数据加密服务:为了进一步保护用户数据和个人隐私,阿里云的数据加密服务提供了一套完整的数据保护方案,包括数据加密、密钥管理等功能。即使数据不幸被盗,加密也能确保信息不被非法访问和利用。
综上所述,通过综合运用阿里云的安全产品和服务,可以构建起多层防护体系,有效抵御“DowginCw”病毒家族及其他类似恶意软件的威胁,保障用户的手机设备安全及个人信息隐私。
