原标题：　新病毒藏身游戏或色情app，恶意安装扣费程序，几千万手机中招

　　来源：财经天下周刊

　　文| AI财经社 刘丹如

　　明星公主换装、疯狂消宝石等小游戏，由于占用空间小，一直是许多人的碎片时间玩伴，尽管各种大型游戏层出不穷，装机量仍然居高不下。但这种看来“人畜无害”的小游戏，却被黑客盯上成为最新的黑产提款机。

　　近期，阿里巴巴钱盾反诈实验室发现，一些新木马病毒，会被包装到很多装机量很大的儿童应用游戏中，普通杀毒软件发现不了，用户可以顺利下载。装机成功后，手机会不停的下载安装恶意扣费应用，系统会被破坏，继而手机开始卡顿、话费资损、隐私泄漏。这些恶意病毒已经形成了一整条恶意推广黑色产业链条，由制马人、广告平台、多渠道分发、转账洗钱构成。

　　数千万下载 每日上万用户手机被感染

　　据AI财经社了解，这种病毒叫DowginCw病毒，是阿里巴巴钱盾反诈实验室，在今年11月24日通过钱盾恶意代码智能监测引擎，感知并捕获的。由于该批病毒会联网加载“CWAPI”插件，故将其命名为“DowginCw”病毒家族。

　　近两月该病毒家族样本查杀量已达93w多个，平均每日感染用户过万，共计感染87w用户设备。这种病毒家族通过插件形式集成到大量儿童游戏应用中，然后通过发布于各大应用商店，或软件强制更新等手段安装到用户手机设备中，用户一旦运行，设备将不停下载、安装其他恶意应用，直接造成用户手机卡顿，话费资损，个人隐私泄漏等风险。

　　目前，钱盾反诈实验室已拦截查杀2603款“DowginCw”病毒家族应用。

　　恶意代码智能监测引擎是钱盾反诈AI大脑的核心引擎之一，原理是基于静态文件特征、动态行为、网络流量等维度特征进行深度学习构建智能模型，用于在海量样本关联挖掘相同家族的恶意应用及其变种。

　　从技术层面讲，手机病毒和杀毒软件一直处于“道高一尺，魔高一丈”的升级和斗法当中。此次的DowginCw为了能上架应用商店和长期驻留用户设备，使用了一套成熟的免杀技术，包括使用国内某几家厂商加固以及恶意代码插件化技术，绕过主流杀软特征查杀，恶意代码块延迟加载躲避动态沙盒监测。利用这套技术，免杀病毒可以在杀软面前肆无忌惮地实施恶意行为而不被发现，最终成功上架知名应用商店和长期驻留用户设备。

　　形成黑色产业链 强制安装恶意应用扣费

　　实际上，早在去年10月“DowginCw”病毒家族就上架应用商店，目前，多家应用商店仍能下载到此恶意应用，其中几款应用下载量甚至高达3千万，疑似存在刷榜、刷量、刷评分，来诱骗用户下载的行为。

　　在查杀该类病毒的过程中，钱盾实验室发现恶意推送的应用全部来自xiongjiong[。]com和youleyy[。]com这两个域名。

　　下载的应用以伪装成游戏和色情类app为主，也就是在下载该类应用后，手机会启动发送扣费短信。还有一部分应用会向手机系统推荐其他恶意应用，比如《我的世界》、《绝地求生》等游戏。

　　目前“DowginCw”已经形成了一整条恶意推广黑色产业链条，该产业链由制马人、广告平台、多渠道分发、转账洗钱构成。

　　制马人团队负责开发维护，以及免杀处理，目前病毒已迭代到5.0版本，特点能以插件形式集成到任意app；代码延迟加载，且由云端下发；字符串加密，代码强混淆等。

　　“广告平台”角色通过在黑市进行能力宣传，并明码标价，以成功下载、安装、启动应用收费。

　　“多渠道分发”团队在整个链条中处于相对核心的地位，通过与某些应用合作，集成DowginCw插件，最终成功上架国内知名应用商店。

　　从实际运作来看，整个圈子除了上述几个重要角色外，一些环节还会有其他黑产人员参与其中，比如上架应用商店后，想要让app曝光诱骗用户下载，会请专业人员进行刷榜，刷量，刷好评。

　　钱盾反欺诈实验安全技术专家魏锋（化名）表示：“目前只有钱盾App支持“DowginCw”病毒家族查杀。”他建议用户安装安全防护软件，定期使用进行病毒查杀。以防止新的手机病毒侵害用户的手机。