勒索软件“假面”被揭 360手机卫士提示小心代刷

　　2017年WannaCry勒索病毒全球爆发，其在PC端的“亮眼表现”也引来移动端 “效仿”，手机勒索软件在数量和种类上也得到了迅猛发展。同时，为了引诱更多用户掉进“勒索”的陷阱，不法分子还制作出各种伪装，比如游戏外挂和辅助工具、色情工具、免流软件等，从而达到勒索钱款和个人信息窃取的目的。

　　继《勒索软件“假面”系列——免流软件》报告之后，360烽火实验室联合360互联网安全中心再次为广大用户揭开了勒索软件的另一“假面”——代刷软件，并发布了《勒索软件“假面”系列——代刷软件》报告。报告显示，截止到2018年3月，360烽火实验室共捕获到超过20万个代刷软件，其中恶意勒索软件占比高达57.4%，这些软件打着代刷、代挂的幌子诱导用户下载、安装或激活设备管理器，随后对用户进行锁屏勒索，给用户设备与财产安全带来了严重威胁。

　　代刷软件可快速生成 扮演需求“中转站”角色

　　在自媒体时代，人们更愿意通过网络发声来获得别人的赞许和认同，而点赞数、阅读量、转发量等便成为了衡量其热门程度的主要指标，代刷软件由此“应运而生”并飞速传播开来。据360安全专家介绍，常见的代刷软件主要有刷量、刷会员和代挂这三类，其通过某些手段便可获取特定权限，或为使用者提高各类量化指标。

　　在360安全专家对大量Android代刷软件进行分析后发现，绝大多数代刷软件是由Web代刷网站转化而来。目前市场上有很多Web网站打包工具与平台，只要借助这些工具或平台，与特定Web网站相对应的代刷软件便唾手可得，并且代刷软件开发者只需提供代刷接口和不同软件名称，便能快速生成多款代刷软件。

　　同代刷软件的生成一样，其刷量原理也十分简单。代刷软件的实质为下单平台，仅能实现接收用户下单购买需求的功能，并不包含实际刷量逻辑。作为一个需求“中转站”，代刷软件会将订单请求传递至代刷网站，代刷网站随后在后台进行统一处理，并将刷量请求传递给真正实现代刷功能的供货商代刷后台，进而完成刷量任务。

　　图1. 代刷完整流程

　　代刷软件庐山真面目：勒索、盗号和诈骗

　　目前，代刷软件中充斥着大量危险的假冒代刷软件，以“XX代刷”、“XX代挂”或“XX业务”的名义诱骗用户下载和安装，实际上安装后却会置顶特定窗口阻止用户进入桌面，或者向设备管理器申请锁屏密码相关权限来实施锁屏。据《报告》显示，360烽火实验室捕获到的代刷软件中，超一半以上为恶意锁屏软件。一般来说，普通用户手机遭到勒索软件攻击后，都会选择妥协并主动支付“赎金”。

　　图2.仿冒勒索软件的代刷软件

　　除此之外，部分恶意代刷软件意在窃取用户个人隐私。这些软件同样打着“代刷”、“代挂”的旗号，诱导用户输入个人账号和密码，以此达到窃取用户登录凭证的目的。不仅如此，在恶意代刷软件入侵下，用户的短信、联系人、通话记录等隐私信息也会被不法分子获取。且多数情况下，这些软件自备“隐身术”，致使用户日常无法感知和正常卸载，便于其长期潜伏、持续作恶。

　　图3.盗号界面

　　针对这类现象，360手机卫士安全专家指出，代刷软件属于不合规软件，游离于制度管理边缘来满足用户刷量诉求，这一行为本身就可能给用户带来不可预知的风险。而其伪装下的各类恶意软件，背后更是暗藏“杀机”。对此，360手机卫士安全专家提醒广大用户，尽量避免使用不合规软件，同时，设备管理器等高风险权限也需要谨慎授予，以防个人财产和隐私被不法分子暗中窃取。此外，360安全专家还建议广大用户安装360手机卫士此类安全管理软件，该软件具有识别盗版软件的功能，可对下载和安装软件进行安全扫描，及时识别风险并进行安全处理。

　　图4. 360手机卫士“隔离程序名单”功能