2017年中国手机安全状况报告
摘 要
Android系统漏洞分析:
- 此次报告评测的64个系统漏洞,按照Google官方对系统漏洞的危险评级标准,按照危险等级递减的排序规则,共分为严重、高危、中危三个级别。分别有严重级别漏洞11个,高危级别漏洞36个,中危级别漏洞17个。此次系统安全分析结果显示:5%的Android设备受到中危级别漏洞的危害,93.9%的Android设备存在高危漏洞,88.1%的Android设备受到严重级别的漏洞影响。
- 在这64个漏洞中,按照其危害方式分类,有远程攻击漏洞30个,权限提升漏洞24个,信息泄漏漏洞10个。此次系统安全分析结果显示:3%的设备存在远程攻击漏洞,91.5%的设备存在权限提升漏洞,85.6%的设备存在信息泄露漏洞。
- 有94%的设备存在至少一个安全漏洞,漏洞最多的设备同时包含有49个安全漏洞。
- 通过对每个Android版本平均漏洞数量进行统计, Android 5.1及其以下版本平均漏洞数量较多,这很大程度上是由于部分老旧设备无法获得更新而我们检测的漏洞又在持续增加,因此造成了这种现象;而Android 6.0以上系统则更为安全,平均漏洞数量急剧降低。其中比较新的Android 7.0和1的系统中,平均漏洞数较上一季度有所降低,这主要是由于新版本的系统中安全补丁推送已经较为普及,厂商对于新版本系统的推送积极度有所上升。
- 约有0%的用户能够保持手机系统中安全补丁等级的版本与厂商所能提供的最新版本保持一致。整体上,可以明显发现近一半的用户还是会保持手机系统的更新。但是仍有14.6%的用户的系统版本滞后厂商最新版本一个月及以上,大约9.0%的用户手机版本滞后4-6个月,约17.9%的用户手机版本滞后半年以上,有12.4%的用户手机版本滞后官方最新版本达一年以上。
安卓手机APP威胁形势分析:
- 2017年12月通过360显危镜检查的约8万款安卓主流APP应用中,发现了99.5%的安卓应用存在威胁风险,平均每个应用威胁风险数量为38.6个。可见安卓市场上的APP存在严重的安全隐患。
- 动态注册广播威胁风险是检测到的第一威胁风险,占比6%,其次是隐式意图调用风险,占比15.5%,unzip解压缩风险是第三大风险,占比8.3%,未使用编译器堆栈保护技术风险占比6.8%,动态链接库中包含执行命令函数风险占比5.5%。此五大威胁风险占整体的60%以上。还有20余个风险林林总总的存在。
- 从具有威胁风险的APP类型来看,新闻资讯类应用全部都有威胁风险,其次是游戏娱乐类(9%)、购物优惠类(99.8%)、影音图像类(99.8%)和健康医疗类(99.7%)。金融理财类应用是威胁风险最少的,为98.6%。
- 从平均风险数量来看,优惠购物类风险数量最高,达每个应用有70个,其次是新闻资讯类(3个)、旅行出行类(44.6个)、通讯社交类(43.5个)和影音图像类(43.3个)。最少威胁数量的是金融理财类(24.1个)。
恶意程序:
- 2017年全年,360互联网安全中心累计截获Android平台新增恶意程序样本3万个,平均每天新增2.1万恶意程序样本。
- 2017年全年,从手机用户感染恶意程序情况看,360互联网安全中心累计监测到Android用户感染恶意程序14亿,平均每天恶意程序感染量约为58.5万人次。
- 从近六年的移动恶意程序感染人次看,经过2012-2015年的高速增长期,2016和2017年呈现下降趋势,说明手机恶意程序进入平稳期。
- 2017年Android平台新增恶意程序主要是资费消耗,占比高达2%;相比2016年增加了6个百分点。
- 从地域分布来看,感染手机恶意程序最多的地区为广东省,感染数量占全国感染数量的4%;其次为河南(6.8%)、山东(6.5%)、河北(5.9%)和浙江(5.9%)。
- 从城市看,北京用户感染Android平台恶意程序最多,占全国城市的9%;其次是广州(2.1%)、重庆(1.8%)、成都(1.7%)和东莞(1.5%)、石家庄(1.5%)。
Android平台挖矿木马:
- 从2013年开始至2018年1月,360烽火实验室共捕获Android平台挖矿木马1200余个,其中仅2018年1月Android平台挖矿木马接近400个,占全部Android平台挖矿类木马近三分之一。
- Android平台挖矿木马伪装成各类应用软件,统计发现其中工具类(20%)、下载器类(17%)、壁纸类(14%)是最常伪装的应用类型。
- 从样本来源来看,除了被曝光的在Google play中发现的十多个挖矿木马外,我们在第三方下载站点捕获了300多个挖矿木马,根据其网页上的标识,估算出这个网站上的APP总下载次数高达260万余次。
- 从网站来看,据Adguard数据显示, 2017年近1个月内在Alexa排行前十万的网站上,约有220多个网站在用户打开主页时无告知的利用用户计算机进行挖矿,影响人数多达5亿。
- 挖矿木马在币种选择上是随着币种的挖掘难度和币种相对价格等因素而变化。目前在Android平台发现的挖矿木马选择的币种主要有(BitCoin)、莱特币(Litecoin)、狗币(Dogecoin)、卡斯币(Casinocoin) 以及门罗币(Monero)这五种。
Android平台勒索软件:
- 2017年1月至9月,360烽火实验室共捕获手机勒索恶意软件50万余个,平均每月捕获手机勒索软件5万余个。其中1月到5月手机勒索软件呈现波动式增长,
- 今年我们发现了勒索软件使用的三种新型的技术手段:语音识别、二维码和文件加密。
钓鱼网站:
- 2017年,360手机卫士共为全国手机用户拦截各类钓鱼网站攻击8亿次,相比2016年19.5亿增长了47.7%,占360各类终端安全产品拦截钓鱼网站总量(406.5亿次)的7.1%。
- 从钓鱼网站拦截类型来看,赌博博彩类比重最高,为2%。其他占比较高的类型包括虚假购物(9.2%)、虚假招聘(6.6%)、金融证券(5.9%)、假药(1.6%)以及钓鱼广告(1.4%)类型的钓鱼网站。
- 在手机端拦截的钓鱼网站中,正常网站被黑之后用来钓鱼的网站占比为8%,其余94.2%的网站是不法分子自建的钓鱼网站。
- 从地域分布来看,手机端钓鱼网站拦截量最高的地区为广东省,数量占全国的1%;其次为广西(8.7%)、福建(7.4%)、湖南(6.2%)和浙江(4.1%)。其他进入Top10的地区还有四川(3.9%)、江西(3.2%)、山东(3.1%)、湖北(3.0%)、河南(2.7%)。
骚扰电话:
- 2017年,用户通过360手机卫士标记各类骚扰电话号码(包括360手机卫士自动检出的响一声电话)约42亿个,平均每天被用户标记的各类骚扰电话号码约66.4万个。
- 2017年共拦截9亿次,首次出现下降确实,这说明政府、 运营商及相关企业联手打击骚扰电话取得了一定成效,遏制住了其不断上涨的势头。平均每天为全国用户识别与拦截1.04亿次。从月度数据看,3月拦截的最多,达61.3亿次。
- 2017年,综合360互联网安全中心全年的拦截监测与用户标记情况、用户调研分析,“响一声”电话,以2%的比例位居用户标记骚扰电话的首位;其次为广告推销(36.1%)、诈骗电话(9.2%)、房产中介(8.2%),金融/保险(3.3%)。
- 从骚扰电话识别和拦截情况看,广告推销类骚扰电话占比79%而位居首位,其次为诈房产中介(9%),诈骗电话(6.1%)从去年的第二位,下降为第三位,可见在国家大力的打击下,有了初步的成效。
- 从骚扰电话的拦截次数看:固定电话的总拦截次数占比最高,达到2%;其次为中国联通、中国电信、中国移动的手机电话号码,分别占总拦截次数的26.0%、12.3%和9.9%。400/800电话被拦截的次数占比明显减少,2016年为10.6%,而2017年为0.3%, 其与虚拟运营商电话相同。
- 从用户标记为骚扰电话的号码个数看,被标记的中国移动电话号码数最多,占比高达96%;其次为中国联通、中国电信,分别为16.7%和15.6%;固定电话骚扰标记号码数从去年的第二名,下降到今年的第四名,占比14.6%;400/800电话占比最低,为0.1%。
- 从各地骚扰电话的拦截量上分析,2017全年数据显示,广东省用户骚扰电话拦截次数最多,在全国各地的骚扰电话拦截总次数的占比高达7%,其次是北京(10.7%)、山东(6.9%)、上海(5.8%)、四川(5.7%)、江苏(5.4%)、浙江(5.4%)、河南(5.0%)、河北(4.1%)、福建(3.7%)。
- 2017全年数据还显示,广东的骚扰电话号源最多,在全国各地的骚扰电话号码归属地中的占比高达1%;其次是山东与河南,被骚扰电话号码次数占比分别为7.3%、6.7%。
垃圾短信:
- 2017年,360手机卫士共为全国用户拦截各类垃圾短信约5亿条,平均每天拦截2698.6万条。比较近几年数据,整体呈现快速下降的趋势,从2012年的700多亿,下降到2017年的不到百亿。
- 2017年8%的垃圾短信是由伪基站发送的。相比2016年的4%,下降了3.2个百分点。可以说前两年疯狂的伪基站短信基本上已经被遏制住。
- 通过用户举报的垃圾短信内容分析来看,2017年广告推销类短信最多,占比达1%;诈骗短信约占垃圾短信总量的1.2%;违法短信占比0.7%。而2016年诈骗短信和违法短信分别占比为2.8%和4.2%,可见在政府、运营商和安全企业的共同打击下,诈骗和违法短信均出现了下降的趋势。
- 而对于诈骗短信进行抽样分析,冒充类的诈骗短信最多,第一名是冒充电商(5%)、其次是冒充银行/金融机构(37.7%)和冒充运营商(7.9%)。而赌博博彩(6.2%)和虚假购物(2.3%)也占用有一定的比例。
- 2017年广东地区用户接到的垃圾短信数量最多,占全国总量的3%;其次是河南(6.8%)、山东(6.5%)、浙江(6.5%)和江苏(6.4%)。
关键词:恶意程序、钓鱼网站、骚扰电话、垃圾短信、网络诈骗、安卓漏洞、安全趋势
目 录
第一章 安卓系统漏洞形势分析... 1
一、 手机系统安全性综述... 1
二、 手机系统版本安全性... 6
三、 手机系统安全性地域分布... 8
四、 手机系统安全性与用户性别差异... 9
五、 漏洞修复情况... 10
六、 典型手机系统高危漏洞实例... 12
第二章 安卓手机APP威胁形势分析... 14
一、 2017安卓主流应用威胁概况... 15
二、 2017安卓应用第三方SDK威胁概况... 17
第三章 恶意程序... 23
一、 恶意程序新增量与感染量... 23
二、 恶意程序危害分析... 25
三、 手机木马感染量年度TOP10. 25
四、 恶意程序感染量地域分布... 26
第四章 Android平台挖矿木马... 27
一、 手机挖矿木马历史演变... 27
二、 规模和影响... 28
三、 目标币种... 29
四、 挖矿方式及收益分配... 29
五、 挖矿技术原理... 31
六、 挖矿木马的技术手段... 32
七、 Android平台挖矿木马趋势... 34
第五章 Android平台勒索软件... 36
一、 手机勒索软件肆虐严重... 36
二、 新型勒索软件不断涌现... 36
三、 社交网络成为勒索软件主要传播渠道... 37
四、 勒索软件定制与工厂化... 38
第六章 Android平台恶意程序技术特点... 40
一、 恶意程序升级,瞄准企业攻击... 40
二、 安卓平台挖矿木马重回视野... 40
第七章 钓鱼网站... 42
一、 手机端钓鱼网站拦截量... 42
二、 钓鱼网站拦截量地域分布... 43
第八章 骚扰电话... 44
一、 骚扰电话号码标记量与拦截量... 44
二、 骚扰电话类型分布... 45
三、 骚扰电话号源分布... 45
四、 骚扰电话归属地分布... 46
第九章 垃圾短信... 49
一、 垃圾短信数量与源头... 49
二、 垃圾短信类型分析... 50
三、 垃圾短信地域分布... 51
第十章 2017年手机诈骗典型案例... 53
一、 购物退款诈骗... 53
二、 骗取付款码刷单兼职诈骗... 55
三、 利用亲密付的退改签机票诈骗... 58
四、 “分享”钓鱼网站诈骗... 59
五、 返现购物平台诈骗... 60
六、 双人半价购物诈骗... 61
七、 微博高仿号假冒好友诈骗... 64
八、 清理微信僵尸粉诈骗... 65
九、 兼职诈骗-微信朋友圈广告... 69
十、 美女微商的跨国恋诈骗... 71
十一、 朋友圈“免费”的连环陷阱... 72
十二、 微信红包诈骗... 74
第十一章 手机安全趋势分未来析... 77
一、 具备自动化和对抗能力的恶意软件工厂不断涌现. 77
二、 恶意挖矿木马愈演愈烈. 78
三、 公共基础服务成为恶意软件利用的新平台. 79
四、 脚本语言成为恶意软件新的技术热点. 79
第一章:安卓系统漏洞形势分析
本章基于“360透视镜”应用用户主动上传的80万份漏洞检测报告,检测内容包括近两年(最新漏洞检测更新至2017年12月)Android与Chrome安全公告中检出率最高的64个漏洞,涵盖了Android系统的各个层面,且都与具体设备的硬件无关。我们统计并研究了样本中的漏洞测试结果数据,并对安全状况予以客观具体的量化,希望引起用户和厂商对于手机系统漏洞的关注与重视,为Android智能手机用户的安全保驾护航,并希望以此来推进国内Android智能手机生态环境的安全、健康发展。
一、手机系统安全性综述
(一)、系统漏洞的危险等级
此次报告评测的64个系统漏洞,按照Google官方对系统漏洞的危险评级标准,按照危险等级递减的排序规则,共分为严重、高危、中危三个级别。即“严重”级别的漏洞对系统的安全性影响最大,其次为“高危”级别漏洞,然后为“中危”级别漏洞,低危漏洞未入选。
在这64个漏洞中,按照其危险等级分类,有严重级别漏洞11个,高危级别漏洞36个,中危级别漏洞17个。其中高危以上漏洞对用户影响较大,在此次安全评测中对此类漏洞的选取比例达73.4%。
此次系统安全分析结果显示: 87.5%的Android设备受到中危级别漏洞的危害,93.9%的Android设备存在高危漏洞,88.1%的Android设备受到严重级别的漏洞影响。
(二)、系统漏洞的危害方式
此次报告评测的64个系统漏洞,参照Google官方对系统漏洞的技术类型分类标准并加以适当合并,按照各漏洞的明显特征分类,共分为远程攻击、权限提升、信息泄漏三个类别。远程攻击漏洞是指攻击者可以通过网络连接远程对用户的系统进行攻击的漏洞,权限提升是指攻击者可以将自身所拥有的权限得以提升的漏洞,信息泄漏则为可以获得系统或用户敏感信息的漏洞。
在这64个漏洞中,按照其危害方式分类,有远程攻击漏洞30个,权限提升漏洞24个,信息泄漏漏洞10个。
此次系统安全分析结果显示:92.3%的设备存在远程攻击漏洞,91.5%的设备存在权限提升漏洞,85.6%的设备存在信息泄露漏洞。与往期相比,虽然检测漏洞数又有所增加,但影响设备比例有所降低,主要原因为部分设备的厂商大幅度更新手机的安全性,将设备的补丁等级保持与谷歌同步,修复了所有漏洞。
为了观察不同类别的漏洞中哪些影响的设备比例最多,我们分别对三种类别的漏洞进行统计排序,挑选出了各类别中影响设备比例占比前三名的漏洞,其中影响最广泛信息泄露漏洞仍然为CVE-2016-1677,72.5%的设备都存在这个漏洞,环比上升1.8%;权限提升漏洞中,CVE-2017-0666依然影响最广,77.7%的设备均受影响,影响比例下降5.2%;远程攻击漏洞中,CVE-2015-7555影响设备依然最多,影响77.7%的设备,下降10.5%。而第三季度中我们关注的CVE-2016-3861在本季度中影响设备比例已经退出Top3,取代它的位置是漏洞CVE-2015-6764,影响63.0%的设备。
第二季度中Android 新修复并公开的CVE-2015-7555漏洞在本季度中影响设备数量依然十分庞大,同比仅降低了10.5%,并且预计在未来一段时间仍会如此。CVE-2017-13156即是12月披露的“Janus”漏洞,影响59.7%的设备。
远程攻击漏洞,是危险等级高、被利用风险最大的漏洞,也是我们最关注的漏洞,为此我们统计了每期报告中远程攻击漏洞排名Top3的趋势变化,结果如下图所示。
远程攻击漏洞整体呈下降趋势,但是受漏洞影响的设备依旧保持在较高比例,4成以上的用户手机仍然处于被远程攻击的风险之中,安全形势并不乐观。
(三)、系统浏览器内核的安全性
系统浏览器内核是用户每日使用手机时接触最多的系统组件,不仅仅是指用户浏览网页的独立浏览器,实际上,许多安卓应用开发者考虑到开发速度、保障不同设备之间的统一性等因素,会使用系统提供的浏览器内核组件。因而用户在每日的手机使用中,大多会直接或间接地调用系统浏览器内核。
在此次评测中,系统浏览器内核是指Android系统的Webview组件的核心,在Android 4.4之前,Android系统的Webview是基于Webkit的,在Android 4.4及以后的系统中,Webview的核心被换成了Chromium(Chrome的开源版本,可近似理解为Chrome)。
在统计的样本中,Webkit内核版本由于其版本较为一致,故在示意图中仅占一块,其余为Chrome内核的不同版本。本季度Webkit所占比重几乎为0%,较上季度降低9%。截止至本季度,当前Google发布的Android平台Chrome稳定版的内核的最新版本为Chrome 60,而在此次检测中有1%的用户将自己手机中的浏览器内核升级至最新。而从图中可以看出,Chrome内核版本大于等于55的设备占24%。对比上一季度的数据,版本大于50的设备比例有所增长,从18%增至27%。在此次检测中,并且最新版本60在国内用户之中占比1%,同比上季度增长0.91%,说明国内厂商有更新浏览器内核的举措。总的来说,浏览器内核整体版本有所跟新推进,国内安卓生态圈中对浏览器内核的更新进度相对有所增强,但仍存在严重的更新滞后问题,第二节远程攻击漏洞中跻身Top3的CVE-2015-6764,即是浏览器内核漏洞,足以说明这一点。
为了研究不同浏览器内核版本的安全性,我们统计了不同版本的浏览器内核的平均漏洞个数。下图显示了不同Webview版本平均漏洞数量,其中内核版本在Chrome 46以下的版本中漏洞数量明显高于Chrome 47以上版本,Chrome 55以上版本漏洞数量相对最少。从图中可以看出较新版本浏览器内核漏洞数量相对较少,其中Chrome 57版本及以上的设备平均漏洞检出情况则为0。以上数据充分说明保持最新版本的浏览器内核可以十分有效增强手机浏览器内核的安全性。
浏览器内核漏洞多数可通过远程方式利用,因而对于用户的手机安全危害较大。安卓系统浏览器内核漏洞的分布情况如下图所示。其中87.4%的设备存在至少一个浏览器内核漏洞,18.2%的设备同时存在4个浏览器内核漏洞,为漏洞数量最多的设备。有12.6%的设备不受这些漏洞影响。较上一季度,浏览器安全情况有所上升,但上升比例不大。整体来看浏览器安全状态有所缓解,浏览器内核版本的更新所带来的效果十分显著,但老旧设备的升级情况无明显好转,用户依然暴露在浏览器漏洞的威胁之中。
(四)、系统漏洞的数量分布
为了研究用户手机中漏洞数量的分布规律和对用户手机中的安全等级做一个直观的评分,我们统计了所有样本中手机存在漏洞个数的比例分布,结果如下图所示。
在此次测试中,我们检测了64个已知漏洞,有93.94%的设备存在至少一个安全漏洞,漏洞最多的设备同时包含有49个安全漏洞。这一数据较上一季度95.58%的比例降低幅度不大,其他漏洞个数的比例情况与上一季度相比整体有所降低,但依然保持较高的比例。
为了研究近两年用户手机中漏洞数量的变化,同时反映用户手机安全性的变化情况,我们总结了2016年到2017年的漏洞数量比例分布及趋势,结果如下图所示。
可以发现,手机存在漏洞的比例,整体呈下降的趋势。2017年第一季度,10个及以上漏洞的比例下降幅度增加,跟该季度较高比例的系统更新有直接关系,第五章第二节也会有相应的数据反映这一现象。2017年第一到第二季度漏洞比例有所上升,与这期间新增漏洞检测样本数量有关,这也说明一旦加大检测力度,用户手机整体的安全形势将会表现的更加严峻。
如果手机厂商积极做好手机系统的安全补丁更新工作,现行手机系统的安全情况就会有明显的提升。虽然国内厂商在不断地对安卓设备进行安全更新,但是安全漏洞也在层出不穷,存在漏洞的设备比重仍然居高不下。
二、手机系统版本安全性
由于Android系统在升级时不可直接跨版本升级而厂商往往又不愿意为旧机型耗费人力物力适配新系统,因而在一定程度上导致了Android系统版本的碎片化。
为了研究不同版本的安卓系统的安全性,我们统计了样本手机所使用的安卓版本分布,并进一步对这些不同的版本的漏洞数量进行了统计分析。
采用Android系统版本的分布情况如下图所示,在此次样本中,Android系统占比最高的3个版本分别为Android 6.0、Android 5.1和Android 4.4,比例分别达到38%、 28%和22%,而高版本中Android 7.0和7.1版本所占比例分别为3%和4%, Android 8.0及以上接近为0。
与上一季度相同,Android 6.0依旧成为最流行的系统版本,与历史进程和我们的预期均相符。Android 5.1 和Android 4.4所占比例继续降低,但低于6.0版本的设备依然占据了约60%的比例。Android 7.0和7.1的比例有小幅度上升,这不光意味着版本号上的更新,更意味着更多的用户能够享受到新版Android 系统所带来的一系列安全更新,其中包括引入的隐私敏感权限动态管理功能,而这在一定程度上极大的增强了用户手机隐私的安全性。目前最新的系统为Android 8.0,其中引入了一项叫做Project Treble的功能,在未来可以缓解安卓系统更新滞后的问题,我们也希望看到这一功能得以最大化发挥作用。但由于新系统、新设备无法第一时间大范围更新,故短时间内,安卓系统的碎片化和老旧设备的比例依然会保持较高比例,安全状况依然形势严峻。
通过对每个Android版本平均漏洞数量进行统计,得到如下图所示结果。从图中可看出Android 5.1及其以下版本平均漏洞数量较多,且整体较上一季度的平均漏洞数保持增加趋势,这很大程度上是由于部分老旧设备无法获得更新而我们检测的漏洞又在持续增加,因此造成了这种现象;而Android 6.0以上系统则更为安全,平均漏洞数量急剧降低。其中比较新的Android 7.0和7.1的系统中,平均漏洞数较上一季度有所降低,这主要是由于新版本的系统中安全补丁推送已经较为普及,厂商对于新版本系统的推送积极度有所上升。
从图中可以看出,安卓系统版本与漏洞数量并不是简单的线性关系。Android 5.0以下版本漏洞数量随版本升高而递增,并不是说明Android版本越高越不安全,而是因为此次检测主要关注的是最近两年的漏洞,而Android 4.4发布距今已经过去了3年的时间,因而相对版本越老的Android系统因为不支持较新的功能而可能不存在相应的漏洞。Android 5.0以上版本,随着系统版本升高,漏洞数量急剧减少。
环比上季度的数据,除7.0和7.1外,其余版本系统的平均漏洞数均有所增加,这是由于本季度又新修复和公开了一些漏洞,而这些漏洞中有些漏洞影响范围十分广泛。
实际上系统的安全性受到厂商重视度、系统功能的多少与变动,甚至服役时间、普及程度、恶意攻击者的攻击价值等等因素的共同影响,但修补了历史已知漏洞的最新系统往往会相对安全些。
三、手机系统安全性地域分布
下图为各省份平均每台手机漏洞数量,数值越大,说明该地域安卓手机的安全性相对越低、越不安全;数字越小,则代表该地域安卓手机的安全性越高。手机安全性最低的前三名为青海、宁夏、甘肃,平均每台手机拥有漏洞数分别为22.8、22.6、22.1个。而安全性最高的前三名为上海、广东、天津,平均每台手机拥有漏洞数18.7、19.4、19.6。大致上,经济越发达的地区,用户所使用的手机的平均漏洞数量越少,手机安全性相对越高。
用热力图表示如下图所示,可以更好的看出平均漏洞数的地域分布特征。颜色越红的地区,手机的安全性越低,颜色越浅的地区,手机安全性越高。
‘
四、手机系统安全性与用户性别差异
由于性别上天生的性格、喜好等的差异,不同性别的用户在选择手机时可能会有不同的侧重点,比如女性用户可能在外观、轻薄、颜色等方面着重考虑,而男性可能更侧重性能、屏幕尺寸等因素。一部手机在其服役周期内也可能会因时间的推移而被不同的使用者所使用,而厂商在手机的升级维护中,不同手机又会有不同的策略。
为了探究手机系统的安全性与用户性别之间有无联系,我们调研了1000位用户的性别信息,统计了不同性别用户与其手机的安全性之间可能的关系。
’
从上图中,我们可以清晰的看出:男性使用系统版本大于或等于5.1的手机的比例远低于女性用户,包括各版本的比例中,男性用户使用的比例也明显低于女性用户;而男性用户中使用系统版本低于5.1的比例要远高于女性用户所占的比例,包括各版本的比例中,男性用户使用的比例也明显高于女性用户。即女性用户中,使用新版本手机的比例明显高于男性,这一结论在上述数据中,以6.0为界限统计的宏观角度和以不同安卓小版本单独统计的微观角度都成立。
在不同性别的用户手机的所存在的漏洞情况如上图所示。我们可以看到女性手机的平均系统版本数值约为22.2 (数值为系统API版本,为Google官方为便于安卓版本的计数而提供的一个版本的数字代号,其中 5.0为21,5.1为22),即平均使用的版本号接近Android 5.1,而男性使用的平均版本号为21.7,平均使用的Android版本号也接近5.1。
对比上季度的统计数据,男性和女性的平均系统版本均有所提升,其中女性平均版本号提升了0.4,男性则为0.7。
在此次统计中,我们发现,女性手机平均版本比男性要高,且均大于等于5.1,而平均漏洞数女性手机所存在的漏洞数量也是低于男性。这与上面我们分析的漏洞数量与系统新旧不是简单的线性关系有关,并且和我们上述对于不同版本的安卓系统的漏洞数中的高于5.1版本的系统的平均漏洞个数开始递减的结论保持一致。
五、漏洞修复情况
(一)、用户主动升级意愿
对于每一款安卓手机,其手机中运行的系统大多由手机厂商在其维护周期内提供。由于手机服役周期超出厂商维护周期,往往导致手机系统无法与最新的安卓版本保持一致。加之不同厂商对不同手机的支持维护程度不尽相同,在某些机型中,有些用户即使有意愿将系统保持与谷歌最新版本一致,但由于厂商对此机型无支持、推送计划,导致用户最多只能保持到厂商最新版本。
从数据中可以看出,约有46.0%的用户能够保持手机系统中安全补丁等级的版本与厂商所能提供的最新版本保持一致。整体上,可以明显发现近一半的用户还是会保持手机系统的更新。但是仍有14.6%的用户的系统版本滞后厂商最新版本一个月及以上,大约9.0%的用户手机版本滞后4-6个月,约17.9%的用户手机版本滞后半年以上,有12.4%的用户手机版本滞后官方最新版本达一年以上,而这些用户将比保持系统更新的用户更多地暴露在更多的漏洞与更大的攻击风险之下。对比上季度的数据,各分布所占比例略有变化,但保持更新部分仍然保持在46%左右,本季度滞后半年以上的比例有小幅度上升。
我们统计了近两年来用户与手机厂商保持更新的比例变化情况,如下图所示。
整体来说,近半用户还是会愿意保持系统更新至最新版本,但是保持更新的比例并没有呈现上升趋势,而且更新比例仍然偏低,一半以上的用户手机处于高风险状态。
(二)、漏洞修复综合分析
下图给出了用户手机系统与安卓官方系统、手机厂商系统的更新情况对比。
可以看到,近一半的手机用户能够保持手机系统与厂商最新系统的同步更新,且6成以上的用户能够在厂商推出更新版本后三个月内更新自己的手机;但能够享受与安卓官方最新系统保持同步更新服务的用户则仅为5%,滞后时间小于3个月的用户也只有近20%,较上季度比例均有所下降。
综合对比用户手机系统的更新状态、安卓官方的更新状态和手机厂商的更新状态,我们发现:与安卓官方最新更新情况相比,用户的手机系统平均滞后了约11.1个月,但与手机厂商已经提供该机型的最新版本相比,则平均只滞后了4.1个月,由此可见,用户手机因未能及时更新而存在安全漏洞的重要原因之一,就是手机厂商普遍未能实现其定制开发的安卓系统与安卓官方同步更新,而且延时较大。
六、典型手机系统高危漏洞实例
经过上述对 Android 系统漏洞的研究,我们可以看出仍然存在大量未升级至新版本系统和未打补丁的设备正在被使用,这些与安全更新脱节的现象直接导致用户手机暴露于各种漏洞的威胁之下,可造成用户的隐私、财产安全。
下面我们以近期著名的“Janus”漏洞作为案例,分析漏洞对Android用户的实际威胁:
(一)、漏洞简介
Android 12月安全公告中披露了一个名为“Janus”的漏洞(编号:CVE-2017-13156),攻击者可以利用该漏洞绕过Android系统的signature scheme V1签名机制,直接对App进行篡改。由于签名和验证机制是Android系统整体安全机制建立的最基础部分,利用该漏洞可以绕过整个Android系统的安全机制。基于signature scheme V1签名机制的App在Android 5.1到8.0系统均受“Janus”漏洞影响。
(二)、漏洞危害
如果攻击者将植入恶意代码的伪造App投放到Android应用市场,就可替代原有的App,从而提供下载、更新,造成的可能后果如下:
- 用户隐私泄露,如通信、社交类APP的聊天记录、图片、通信录等。
- 用户财产损失,如窃取金融类App的支付密码、钱包密码、token等; 监听、拦截用户的输入,使用欺诈手段,诱骗用户进行输入密码、转账行为。
- 利用该漏洞可以更新Android的系统APP,从而获得更高的系统权限,达到更高级的攻击效果,如远程控制手机等。
(三)、漏洞影响
根据第一章第二节数据显示,受此漏洞影响的设备比例为59.7%,表明有近6成的用户手机仍然存在被此漏洞攻击的风险。
第二章:安卓手机APP威胁形势分析
本章基于360显危镜平台(http://appscan.360.cn/)2017年12月 对1.8万款市场上主流移动应用进行安全扫描检测后进行数据分析所得。本次检测的样本,我们主要根据应用的下载情况来选取,力求将影响用户最多的应用威胁情况进行全面了解,客观体现限制。下图为选取的应用类型分布。
本次检测的工具360显危镜为信息安全部移动安全组开发的Android应用漏洞扫描平台,集成在产品软件生命周期的安全服务,针对应用汇编代码的静态安全扫描及动态分析的方式进行漏洞检测,使得漏洞检测更加精准,目前涵盖了所有导出组件和几十种常见类型的安全风险的检测,嵌入于产品上线前的安全审核流程,进行自动化漏洞扫描,帮助APP应用快速定位漏洞细节,对产品提供安全风险评估和修复建议,实现APP应用的安全管理。
一、2017安卓主流应用威胁概况
(一)、安卓应用威胁风险整体情况
2017年12月通过360显危镜检查的约1.8万款安卓主流APP应用中,发现了99.5%的安卓应用存在威胁风险,平均每个应用威胁风险数量为38.6个。可见安卓市场上的APP存在严重的安全隐患。
动态注册广播威胁风险是检测到的第一威胁风险,占比24.6%,其次是隐式意图调用风险,占比15.5%,unzip解压缩风险是第三大风险,占比8.3%,未使用编译器堆栈保护技术风险占比6.8%,动态链接库中包含执行命令函数风险占比5.5%。此五大威胁风险占整体的60%以上。还有20余个风险林林总总的存在。
由于安卓市场的高度开发性,也造成了威胁普遍存在,且多样化。
(二)、具有威胁风险的安卓应用类型情况
从具有威胁风险的APP类型来看,新闻资讯类应用全部都有威胁风险,其次是游戏娱乐类(99.9%)、购物优惠类(99.8%)、影音图像类(99.8%)和健康医疗类(99.7%)。金融理财类应用是威胁风险最少的,为98.6%。
从平均风险数量来看,优惠购物类风险数量最高,高达每个应用70个,其次是新闻资讯类(56.3个)、旅行出行类(44.6个)、通讯社交类(43.5个)和影音图像类(43.3个)。最少威胁数量的是金融理财类(24.1个)。
二、2017安卓应用第三方SDK威胁概况
移动端应用的开发涉及到许多第三方SDK,而第三方SDK的安全性很难保证。移动端应用的开发为节约成本、快速成型,一般都会使用多种第三方的SDK,包括支付、统计、广告、社交、推送、地图类的第三方SDK。而第三方的SDK开发侧重于功能性的完善,在安全性方面的投入较少,导致了2017年来由第三方SDK引起的安全事件频发。
近两年已被爆出有安全漏洞的第三方SDK主要有FFmpeg、SQLite、pdfium、个信sdk、chrome内核等,且由于其被广泛使用到大量的APP中,造成漏洞的影响范围非常大。
(一)、FFmpeg威胁分析
FFmpeg的是一款全球领先的多媒体框架,支持解码、编码、转码、复用、解复用、流媒体、过滤器和播放几乎任何格式的多媒体文件。
2017年6月,neex向Hackerone平台提交了俄罗斯最大社交网站VK.com的ffmpeg的远程任意文件读取漏洞。该漏洞利用了FFmpeg可以处理HLS播放列表的特性,而播放列表(Playlist)中可以引用外部文件。通过在播放列表中添加本地任意文件的引用,并将该文件上传到视频网站,可以触发本地文件读取从来获得服务器文件内容。同时,该漏洞亦可触发SSRF漏洞,造成非常大的危害。
此外,360GearTeam发现的编号CVE-2016-6671漏洞,FFmpeg在对SWF文件解码时,在计算解码后数据大小时可导致写入数据超过申请内存空间的大小,从而造成缓冲区溢出。编号CVE-2016-10190漏洞中发现FFmpeg在处理chunk数据时由于有符号整数到无符号整数类型转换引起的堆缓冲区溢出。
当然,FFmpeg被爆出的漏洞不止上述几种。下图所示为FFmpeg官方的修复记录,从中可以看到每一版本均修复了大量的已分配CVE编号的漏洞,新版本同样会有许多未发掘出的漏洞等待修复。
在360显危镜后台根据该第三方库的特征规则搜索查询,在库中40万多个APP中,有约6万多个APP使用了FFmpeg的第三方开源库的代码,如下图所示约占15%。主流的一些视频应用几乎都采用了该开源库用于对多媒体文件的处理。从图中可以看出,该第三方库的使用范围是非常大的,一旦被爆安全漏洞,影响范围将是无法估量的。
(二)、SQLite威胁分析
SQLite是遵守ACID的关系数据库管理系统,实现了大多数SQL标准。它使用动态的、弱类型的SQL语法,包含在一个相对小的C库中。作为一款嵌入式数据库,它因占用的资源非常低,数据处理速度快等优点被Andriod、iOS、WebKit等流行软件采用。
2017年Black大会上来自长亭科技的议题介绍了基于Memory Corruption的SQLite漏洞。基于该漏洞,可以攻击常见的使用了SQLite的浏览器,包括Safari、Chrome、Opera等。同时,由于大部分应用本地数据库的存储几乎都采用了SQLite实现,这些应用同样受到该漏洞的影响。基于该漏洞可以造成大范围的用户信息泄露,包括用户在浏览器中填写的用户名、密码、身份证、银行卡等敏感信息。另外,基于该漏洞可以实现远程代码执行,从而控制用户终端设备,危害是非常大的。
此外,SQLite也有许多影响严重的漏洞常常被爆出。SQLite从3.3.6提供了支持扩展的能力,通过sqlite_load_extension API(或者load_extension SQL语句)开发者可以在不改动SQLite源码的情况下,通过加载动态库来扩展SQLite的能力。然而该功能被黑客利用,通过SQL注入漏洞加载预制的符合SQLite扩展规范的动态库,从而实现了远程代码执行,危害非常严重。
当然,SQLite的漏洞并不仅限于这几个。随着版本更新,在功能升级的过程中,每一版本均会被爆出大量的不同级别的漏洞。每一版本均会在上一版本基础上修改一些bug和漏洞,并可能会添加新的功能。由于精力有限,无法保证对每一行代码都经过安全审核,新发布的版本中很可能存在未被发现的漏洞。在现有技术体系下,产品漏洞挖掘的过程将会是长期存在的状况。
在Android应用中,只要有本地存储数据的需求,一般均会采用SQLite数据库存储。因此,一旦SQLite被爆安全漏洞,将影响数以万计的Android应用。同时,在某一Android设备中,一般都会预装许多应用或日常使用中安装了许多需要的应用,而这些应用中总会有一款应用使用了SQLite数据库。因此,SQLite的安全漏洞几乎总会影响的该设备。
(三)、Chromium威胁分析
Chromium是一个由Google主导开发的网页浏览器,以BSD许可证等多重自由版权发行并开放源代码。Chromium是Google的Chrome浏览器背后的引擎,其目的是为了创建一个安全、稳定和快速的通用浏览器。
目前,有许多浏览器是基于Chromium开发的,且提供了Windows、macOS和Android版本的浏览器。国内的主流浏览器均采用了Chromium内核,包括360浏览器、猎豹浏览器、遨游浏览器等。由于终端用户对浏览器均会有硬性需求,PC和移动设备中均会安装各种各样的浏览器,总有一款是基于Chrome内核的。
虽然Chrome是Google开发和维护的,但是也被爆出许多漏洞,影响了基于相当内核版本的其他浏览器。微软于2017年10月18日公布了一款藏匿于Google Chrome的浏览器安全漏洞,编号为CVE-2017-5121。该问题是由V8 JavaScript引擎引起的,通过引起应用崩溃导致攻击者可以在内存地址中放置任意的数据。通过精心构造的攻击,该漏洞可以达到远程代码执行(RCE),影响几乎所有基于Chrome内核的浏览器。Google已于今年9月份中旬在Chrome 61版本修复了相关漏洞。
每年Chrome浏览器都会被爆出许多安全漏洞。影响几乎所有Chrome内核的浏览器。此外,由于漏洞报给Google修复,其他基于Chrome内核的浏览器修复该漏洞需要较长的周期,漏洞的危害还是存在的。同时,其他厂商的浏览器很难跟上Chrome内核的更新速度,以至于很多浏览器还是很久之前的旧版本内核,导致该版本还受以往历史漏洞的影响。
(四)、Android系统安全趋势
Android是一种基于Linux的自由及开放源代码的操作系统,由Google公司和开放手机联盟领导及开发,主要设计用于触控荧幕移动设备如智能手机和平板电脑。目前,Android系统已经成为现今最流行的智能设备操作系统。
Android系统中,也使用了大量的第三方SDK组件用于其系统底层的基础服务功能,例如蓝牙协议栈实现、HTTPS协议实现、音视频编解码等。然而,Google使用的这些第三方组件也时常会被爆出有高危漏洞,且鉴于Android系统的广泛流行性,影响也是巨大的。下图所示内容为统计的2017年1月份至11月份Android系统中修复的第三方组件中的漏洞数量情况。从图中可以看出,第三方组件的安全性严重威胁到了Android系统的安全性。
下图所示为2017年1月份至11月份每月Android系统修复的第三方组件漏洞数量,平均每月约有80个漏洞影响Android系统的安全性。
在软件开发过程中,大量复用第三方SDK加速产品成型成为普遍现状,而第三方SDK的安全漏洞也将影响这些产品。如FFmpeg、SQLite、Chromium、PDFium等开源库,均在安全漏洞的挖掘上投入了非常多的精力,尚且会被爆出许多高危漏洞影响巨大。也有许多优秀的开源产品,重点将精力投入到功能的开发与完善上,而未经过任何的安全审核。这些开源产品中,代码中很难避免地留有大量的安全漏洞,一旦被恶意攻击者利用将对用户造成巨大损失。
目前,国内存在许多提供给第三方用于快速接入的SDK库,然而其安全现状却令人堪忧。绝大部分第三方SDK均缺乏安全审核环节,造成代码中总是有较多的安全漏洞,影响接入该SDK的应用的安全性。对于缺乏安全审核能力的厂商,我们推荐使用360显危镜对Android应用进行线上漏洞扫描,扫描结果报告中将列出风险点供厂商评估修复。
第三章:恶意程序
一、恶意程序新增量与感染量
2017年全年,360互联网安全中心累计截获Android平台新增恶意程序样本757.3万个,平均每天新增2.1万。全年相比2016年(1403.3万)下降46.0%,从2015年来看,新增恶意程序呈现总体下降趋势,且今年下降幅度较大,显示了移动恶意程序总体进入平稳高发期。
下图是2017年各月Android平台新增恶意程序样本量的分布图。由图可见,新增恶意程序整体呈现上半年高、下半年低的态势,即1-5月新增恶意程序量整体呈现曲线上升,在5月达到最高峰。下半年除8月为78.0万个新增样本外,其余月份均较低。
2017全年,从手机用户感染恶意程序情况看,360互联网安全中心累计监测到Android用户感染恶意程序2.14亿,相比2016年2.53亿人次下降15.4%,平均每天恶意程序感染量约为58.5万人次。
从近六年的移动恶意程序感染人次看,经过2012-2015年的高速增长期,2016年和2017年呈现下降趋势,说明手机恶意程序进入平稳期。
下图是2017年Android平台新增恶意程序感染量的按季度对比情况,每季度的新增恶意样本均在下降。
全年来看,2017年四个季度的感染量呈现下降趋势。其中二季度最高约为5934.8万人次,四季度的感染量则最少,仅为4493.7万人次。
二、恶意程序危害分析
根据中国反网络病毒联盟的分类标准,360互联网安全中心在2017全年监测的Android平台恶意程序的分类统计如下图。从图中可见,2017年Android平台新增恶意程序主要是资费消耗,占比高达80.2%;相比2016年增加了6个百分点。
资费消耗类型的恶意样本占比已达到3/4,说明移动端恶意程序依然是以推销广告、消耗流量等手段,增加手机用户的流量资费等谋取不法商家的经济利益。当前主流运营商的资费模式重心已经转向流量,而不再单纯倚重语音通话。资费消耗类恶意程序对用户资费造成的影响还是比较明显。
三、手机木马感染量年度TOP10
下表给出了2017年全年感染量最高的十大恶意程序名称及类型、感染量。关于下面表格中每个恶意程序对应危害的详细描述, 从全年来看,十大恶意程序如下表所示:
四、恶意程序感染量地域分布
2017年,从地域分布来看,感染手机恶意程序最多的地区为广东省,感染数量占全国感染数量的10.4%;其次为河南(6.8%)、山东(6.5%)、河北(5.9%)和浙江(5.9%)。
下图给出了2017年Android平台恶意程序感染量最多的十大城市。毫无疑问,北京用户感染Android平台恶意程序最多,占全国城市的4.9%;其次是广州(2.1%)、重庆(1.8%)、成都(1.7%)和东莞(1.5%)、石家庄(1.5%)。
第四章:Android平台挖矿木马
挖矿(Mining),是获取比特币等电子加密货币的勘探方式的昵称。由于其工作原理与开采矿物十分相似,因而得名。
手机挖矿木马就是在用户不知情的情况下利用其手机的计算能力来为攻击者获取电子加密货币的应用程序。
一、手机挖矿木马历史演变
挖矿木马最早是2013年在PC平台上被发现,而首个手机挖矿木马CoinKrypt[2]最早被国外安全厂商在2014年3月曝光。手机挖矿木马经过一阵沉寂后,随着电子加密货币价格的一路走高,恶意软件作者又重新将目标转向了挖矿。手机挖矿木马的攻击事件也重回视野,且势必是未来恶意软件的趋势之一。
2014年03月Android.Coinkrypt,Android平台上首个挖矿木马。
2014年04月Android. BadLepricon[3],在Google Play上发现手机挖矿木马。
2014年05月Android. Widdit[4],首个使用Android挖矿SDK的挖矿木马。
2017年10月Android.JsMiner[5],首个加载JavaScript的挖矿木马。
2017年10月Android.CpuMiner[6],首个使用cpuminer库的挖矿木马。
2017年12月Android.PickBitPocket[7],伪装成比特币钱包的欺诈程序。
2017年12月Android.Loapi[8],拥有复杂模块化架构的挖矿木马。
2018年1月Android.Hackword[9],首个使用Coinhive安卓SDK挖矿的木马。
二、规模和影响
从2013年开始至2018年1月,360烽火实验室共捕获Android平台挖矿木马1200余个,其中仅2018年1月Android平台挖矿木马接近400个,占全部Android平台挖矿类木马近三分之一。
2014年Android挖矿木马经过短暂的爆发后,于2015,2016年逐渐归于平静。主要原因是受到当时移动平台技术等限制,以及电子货币价格影响,木马作者的投入和产出比不高。但随着2017年年底电子货币价格的一路高涨,挖矿技术的成熟,再次得到木马作者的目标,手机挖矿木马在也呈爆发式增长。
Android平台挖矿木马伪装成各类应用软件,统计发现其中工具类(20%)、下载器类(17%)、壁纸类(14%)是最常伪装的应用类型。
从样本来源来看,除了被曝光的在Google play中发现的十多个挖矿木马外,我们在第三方下载站点捕获了300多个挖矿木马,根据其网页上的标识,估算出这个网站上的APP总下载次数高达260万余次。
从网站来看,据Adguard数据显示, 2017年近1个月内在Alexa排行前十万的网站上,约有220多个网站在用户打开主页时无告知的利用用户计算机进行挖矿,影响人数多达5亿。
三、目标币种
挖矿木马在币种选择上是随着币种的挖掘难度和币种相对价格等因素而变化。目前在Android平台发现的挖矿木马选择的币种主要有比特币(BitCoin)、莱特币(Litecoin)、狗币(Dogecoin)、卡斯币(Casinocoin) 以及门罗币(Monero)这五种。
四、挖矿方式及收益分配
挖矿方式有单独挖矿和矿池挖矿两种。下面以比特币为例来说明两种挖矿方式的区别。
(一)、独立挖矿
独立挖矿是指使用自己计算机当前拥有的计算能力去参与比特币的挖掘,获取到的新区块的收益全归个人所有。
独立挖矿流程
比特币平均每十分钟产生一个区块,而参与比特币挖掘的用户数量非常庞大,独立挖矿可能一整年也无法抢到一个区块。且手机的计算能力相比于其他挖矿设备更是有限,当前Android平台还未发现使用独立挖矿手段来获取电子货币的挖矿木马。
(二)、矿池挖矿
矿工是参与比特币勘探竞争的网络成员的昵称。而矿池是一个通过特定算法而设计的服务器,所有连接到矿池服务器的用户,会组队进行挖矿。
个人设备的性能虽然渺小,但是成千上万的人进行组队挖矿,总体性能就会变得十分强大,在这种情况,挖矿的成功率会大大提升,一旦矿池中的队伍成功制造了一个区块,那么所有队伍中的人会根据每个人贡献的计算能力进行分红。矿池的开发者一般会对每个用户收取一定手续费,但由于这种方法让大家更稳定得获得比特币,大部分矿工都会选择矿池挖矿,而不是单独挖矿。
矿池挖矿流程
矿池挖矿也分为一般矿池挖矿和前端矿池挖矿。
- 一般矿池挖矿:
一般矿池挖矿直接利用CPU或GPU本身的高速浮点计算能力进行挖矿工作。由使用C语言或者其他语言构造的挖矿程序进行CPU或GPU计算得到算力价值。矿池根据产生的算力价值进行分红,并收取10%以下的矿池手续费。
- 前端矿池挖矿:
前端挖矿利用asm.js或webAssembly前端解析器中介在浏览器端被动使用用户的CPU完成挖矿或者利用Html5新规范WebGL利用浏览器完成GPU挖矿操作。由浏览者产生的CPU或GPU计算得到算力价值。前端矿池(如Coinhive[11])会收取30%的矿池手续费。
由于使用方便,跨平台且隐藏性较好等特点,前端矿池挖矿逐渐得到挖矿木马作者的青睐。
五、挖矿技术原理
在Android平台上,攻击者为追求稳定的收益,挖矿方式通常都选择使用矿池来进行挖矿。攻击者通过挖矿木马远程控制用户手机,在用户不知情的情况下,使手机持续在后台挖掘电子货币来为其牟利。
攻击者通过挖矿木马赚取收益的攻击流程
而在代码层上的表现形式为,嵌入开源的矿池代码库进行挖矿和使用矿池提供的浏览器JavaScript脚本进行挖矿。
六、挖矿木马的技术手段
挖矿的过程运行会占用CPU或GPU资源,造成手机卡顿、发热或电量骤降等现象,容易被用户感知。为了隐匿自身挖矿的行为,挖矿木马会通过一些技术手段来隐藏或控制挖矿行为。
(一)、检测设备电量
挖矿木马运行会导致电池电量明显下降,为保证手机在多数情况下正常运行而不被用户察觉,会选择在电池电量高于50%时才运行挖矿的代码。
检测设备当前的电量是否大于50%
(二)、检测设备唤醒状态
挖矿木马会检查手机屏幕的唤醒状态,当处于锁屏状态时才会开始执行,避免用户在与手机交互时感知到挖矿带来的卡顿等影响。
检测屏幕唤醒状态
(三)、检测设备充电状态
设备在充电时会有足够的电量和发热的想象。在充电时运行挖矿木马可以避免用户察觉挖矿带来的电量下降和发热等现象。
通过MiningService服务连接Pickaxe矿池来挖掘比特币
(四)、设置不可见的页面进行挖矿
挖矿木马通过设置android:visibility为invisible属性,达到不可见的Webview页面加载效果从而使用JavaScript脚本进行挖矿,隐藏自身的恶行挖矿行为。
设置不可见的webview页面
(五)、仿冒应用下载器
挖矿木马通过仿冒热门应用骗取用户下载,实际只是应用的下载器,软件启动后就开始执行挖矿,仅仅是提供了一个应用的下载链接。
仿冒应用下载器
七、Android平台挖矿木马趋势
Android平台挖矿木马的演变很大程度上受到PC上的挖矿木马影响,通过持续关注挖矿木马的攻击事件,我们发现Android平台挖矿木马正朝着三个方向发展。
(一)应用盈利模式由广告转向挖矿
通过分析来自某个APP下载网站的样本发现,在其早期的应用中内嵌了广告插件,软件运行时会联网来控制样本请求访问的广告,而在近期当软件访问同一个请求时,返回的内容加入Coinhive挖取门罗币的JS脚本。
(二)门罗币成为挖矿币种首选
对于攻击者而言,选择现阶段币种价格相对较高且运算力要求适中的数字货币是其短期内获得较大收益的保障。
早期挖矿木马以比特币(BitCoin)、莱特币(Litecoin)、狗币(Dogecoin)、以及卡斯币(Casinocoin)为主。
而随着比特币挖矿难度的提高,新型币种不断出现,比特币已经不在是挖矿木马唯一的选择。门罗币(Monero)首发于2014年4月,发行时间相对较短,现阶段的挖矿木马主要以门罗币作为挖掘目标,主要在于门罗币相对其他电子加密货币拥有多种明显的优势:
- 门罗币具有更好的匿名性。门罗币在交易中,不涉及提供钱包地址。对方通过钱包地址来查看你的钱包资产情况。
- 门罗币有更好的挖矿算法。它并不依赖于ASIC,使用任何CPU或GPU都可以完成,这就意味着即使普通的计算机用户也能够参与到门罗币挖矿中来。甚至可以利用剩余的计算机能力来挖矿
- 门罗币拥有“自适应区块大小限制”。门罗币从一开始就设置了自适应的区块大小,这意味着,它可以自动的根据交易量的多少来计算需要多大的区块。因此门罗币从设计上就不存在像比特币的扩容等问题。
- 门罗币背后研发团队的设计质量发展目标都很优越。互联网上有许多优秀的开源门罗币挖矿项目,拥有众多贡献者。
(三)黑客攻击目标向电子货币钱包转移
由于攻击电子货币钱包能直接获取大量的收益,PC上已出现多起攻击电子货币钱包的木马,通过盗取电子货币私钥或者在付款时更改账户地址等手段实现盗取他人账户下的电子货币。
而在Android平台也发现了类似的攻击事件,PickBitPocket木马伪装成比特币钱包应用,且成功上架在Google Play。其在用户付款时将付款地址替换成攻击者的比特币地址,以此来盗取用户账户下的比特币。
对于电子货币钱包应用本身存在的漏洞和风险,并没有引起足够的重视程度。比特币地址相当于银行帐号,私钥相当于开启这个帐号的密码。且通过私钥可以得知其比特币地址,并能对该地址下的比特币进行转账,也就是说获得比特币私钥就拥有了该私钥和地址下的比特币的完全控制权。我们在调查分析中发现部分电子货币钱包甚至将私钥未加密的备份在SD卡,因此对于私钥的备份、存储安全,还需要进一步的增强。
第五章:Android平台勒索软件
一、手机勒索软件肆虐严重
今年5月,WannaCry勒索病毒全球大爆发,至少150个国家、30万名用户中招,造成损失达80亿美元,已经影响到金融,能源,医疗等众多行业,造成严重的危机管理问题。中国部分Windows操作系统用户遭受感染,校园网用户首当其冲,受害严重,大量实验室数据和毕业设计被锁定加密。部分大型企业的应用系统和数据库文件被加密后,无法正常工作,影响巨大。
面对这突如其来的病毒攻击,勒索软件成为人们热点关注的话题。相比PC的勒索软件,手机勒索软件近年来在数量和种类上也得到了逐渐迅猛发展演变。
2017年1月至9月,360烽火实验室共捕获手机勒索恶意软件50万余个,平均每月捕获手机勒索软件5.5万余个。其中1月到5月手机勒索软件呈现波动式增长,6月份网警在芜湖、安阳将勒索病毒制作者男子陈某及主要传播者晋某抓获,全国首例手机勒索病毒案的告破,使手机勒索软件在6月份以后新增数量急剧下降,对手机勒索软件制作者起到了一定震慑作用。
二、新型勒索软件不断涌现
今年我们发现了勒索软件使用的三种新型的技术手段:语音识别、二维码和文件加密。语音识别采用STT(Speech to Text)技术,不再使用手动键入密码来解锁,通过使用者的语音输入,进行识别、匹配从而进行解锁;
二维码技术手段是通过扫描制马人生成的二维码进行转账支付勒索金额,整个转账过程中双方信息交互仅为微信用户的昵称与转账账目相关信息,微信用户的昵称可以随意改变且不唯一,转账过程中不涉及双方微信账号的信息,转账后无法自动解锁,让受害者再次陷入制马人的骗局中。
文件加密类型的勒索软件,虽然在国外早已出现,但在国内之前还并不常见,在受到了PC端的WannaCry勒索病毒大爆发影响后,国内开始出现仿冒其页面布局、图片及功能的手机版WannaCry勒索病毒,甚至将手机版可编译的源码上传至Github。
今年6月,我们发现了一款冒充时下热门手游“王者荣耀”辅助工具的手机勒索恶意软件,会对手机中照片、下载、云盘等目录下的个人文件进行加密。并向用户勒索赎金,金额在20元、40元不等。并且宣称三天不交赎金,价格将翻倍,七天不交,将删除所有加密文件。这个恶意软件由于可以在加密算法、密钥生成算法上进行随机的变化,甚至可以选择对生成的病毒样本进行加固混淆,很大程度上增加了修复难度,对手机中的文件和资料造成了严重破坏。
三、社交网络成为勒索软件主要传播渠道
我们发现勒索软件在勒索页面的设计和文字上都有很多相似的地方,其中最为典型的特征是勒索页面中都留有制马人联系方式,方便中招的受害者与制马人联系,以便制马人对受害者进行敲诈勒索,这些联系方式几乎都是QQ号或者是QQ群。
2017年前三季度,360烽火实验室发现勒索信息中新增QQ号码7.7万余个,QQ群号码1千余个。其中,一季度新增QQ号码和QQ群号码数量均为最多,第二、三季度逐渐下降,与一季度相比二季度下降23.0%,三季度下降56.8%。
四、勒索软件定制与工厂化
勒索软件一键生成器不仅能够根据需求定制手机恶意软件尤其是勒索软件,而且还能够批量生产进入工厂化模式,这种一键生成器与大部分国内勒索软件,同样是使用AIDE开发工具开发。
AIDE是一款用于直接在Android设备上开发Android应用程序的集成开发环境(IDE)。支持编写-编译-调试运行整个周期,开发人员可以在Android手机或者平板机上创建新的项目,借助功能丰富的编辑器进行代码编写,支持实时错误检查、代码重构、代码智能导航、生成APK,然后直接安装进行测试。使用AIDE能降低软件作者的学习成本和开发门槛,同时拥有更灵活和快速修改代码的能力。
制马人肆无忌惮制作、传播勒索软件进行勒索敲诈,并且大胆留下自己的QQ、微信以及支付宝账号等个人联系方式,主要是因为他们年龄小,法律意识淡薄,认为涉案金额少,并没有意识到触犯法律。甚至以此作为赚钱手段,并作为向他人进行炫耀的资本,加速了手机勒索软件的演变。
恶意软件一键生成器取代了人工繁琐的代码编写、编译过程,进一步降低了制作门槛,不仅生成速度变快,并且能够根据需要进行定制。
自从WannaCry勒索病毒全球大爆发后,国内效仿的勒索软件层出不穷。以加密文件方式进行敲诈勒索的手机勒索恶意软件逐渐出现,改变了之前的手机锁屏勒索的方式。手机勒索软件技术上更加复杂,造成的用户额外损失更加严重,同时也给安全厂商带来更大的挑战。
第六章:Android平台恶意程序技术特点
一、恶意程序升级,瞄准企业攻击
移动互联网时代的到来,企业内部数据越来越有价值。近年来,黑客以移动设备为跳板,入侵企业内网,窃取企业数据资产的趋势愈发明显。2017年初,360烽火实验室发现一批感染了一种名为“MilkyDoor”的恶意代码,这是继去年6月份首次出现的“DressCode”恶意代码后,又一种利用移动设备攻击企业内网的木马。然而,与“DressCode”不同的是,“MilkyDoor”不仅利用SOCKS代理实现从攻击者主机到目标内网服务器之间的数据转发,而且利用SSH(Secure Shell)协议穿透防火墙,加密传输数据,进而实现数据更隐蔽的传输。
SSH协议又称为安全外壳协议,其使用的传输机制是TCP/IP,通常使用的都是服务器的TCP端口22,并对经过连接传输的数据进行加解密操作。可以使用SSH对其他应用程序在别的TCP端口建立的TCP/IP传输进行加密与解密。这一过程称为端口转发。利用SSH转发,其他一切基于TCP的不安全协议都可以变得安全。
360互联网中心数据显示,截至2017年5月份,“MilkyDoor”木马传播量已达到3万之多,其分布在世界160多个国家,其中土耳其、俄罗斯、印度、美国属于重灾区,中国的企业内网也面临着“MilkyDoor”木马的严重威胁。该木马在全世界的分布情况如下图所示:
“MilkyDoor”木马利用SSH加密传输数据,而且其恶意代码隐藏在android.system包下,具有很好的隐蔽性,大大加强了检测的难度,一旦有移动设备中招,将很难检测出来。因此,企业应加强防范措施,严格限制不可信的移动设备接入企业内网,禁止智能终端设备与企业内部服务器处于同一个局域网内。
二、安卓平台挖矿木马重回视野
从2013年开始至2018年1月,360共捕获Android平台挖矿木马1200余个,其中仅2018年1月Android平台挖矿木马接近400个,占全部Android平台挖矿类木马近三分之一。
2014年Android挖矿木马经过短暂的爆发后,于2015,2016年逐渐归于平静。主要原因是受到当时移动平台技术等限制,以及电子货币价格影响,木马作者的投入和产出比不高。但随着2017年年底电子货币价格的一路高涨,挖矿技术的成熟,再次成为木马作者的目标,手机挖矿木马在也呈爆发式增长。
第七章:钓鱼网站
一、手机端钓鱼网站拦截量
2017年,360手机卫士共为全国手机用户拦截各类钓鱼网站攻击28.8亿次,相比2016年19.5亿增长了47.7%,占360各类终端安全产品拦截钓鱼网站总量(406.5亿次)的7.1%。
对手机端拦截的钓鱼网站进行分类,可以发现,赌博博彩类比重最高,为73.2%。其他占比较高的类型包括虚假购物(9.2%)、虚假招聘(6.6%)、金融证券(5.9%)、假药(1.6%)以及钓鱼广告(1.4%)类型的钓鱼网站。
在手机端拦截的钓鱼网站中,正常网站被黑之后用来钓鱼的网站占比为5.8%,其余94.2%的网站是不法分子自建的钓鱼网站。
从下图2017年各月的钓鱼网站拦截量情况,从3月份开始,基本保持在2.5亿次左右,其中5月拦截量达到最高,为2.8亿次.
二、钓鱼网站拦截量地域分布
2017年,从地域分布来看,手机端钓鱼网站拦截量最高的地区为广东省,数量占全国的31.1%;其次为广西(8.7%)、福建(7.4%)、湖南(6.2%)和浙江(4.1%)。
其他进入Top10的地区还有四川(3.9%)、江西(3.2%)、山东(3.1%)、湖北(3.0%)、河南(2.7%)。
上述10省区的手机遭遇钓鱼网站攻击数量总和占比约为全国总量的73.4%,说明手机端钓鱼攻击形势具有集中的特点。
第八章:骚扰电话
一、骚扰电话号码标记量与拦截量
2017年,用户通过360手机卫士标记各类骚扰电话号码(包括360手机卫士自动检出的响一声电话)约2.42亿个,平均每天被用户标记的各类骚扰电话号码约66.4万个。
2017年共拦截380.9亿次,首次出现下降确实,这说明政府、 运营商及相关企业联手打击骚扰电话取得了一定成效,遏制住了其不断上涨的势头。平均每天为全国用户识别与拦截1.04亿次。从月度数据看,3月拦截的最多,达61.3亿次。
二、骚扰电话类型分布
2017年,综合360互联网安全中心全年的拦截监测与用户标记情况、用户调研分析,“响一声”电话,以43.2%的比例位居用户标记骚扰电话的首位;其次为广告推销(36.1%)、诈骗电话(9.2%)、房产中介(8.2%),金融/保险(3.3%)。
从骚扰电话识别和拦截情况看,广告推销类骚扰电话占比79%而位居首位,其次为诈房产中介(7.9%),诈骗电话(6.1%)从去年的第二位,下降为第三位,可见在国家大力的打击下,有了初步的成效。
三、骚扰电话号源分布
下图对手机,固定电话,400/800电话,以及虚拟运营商(170号段)分别给出了不同类型号码拦截次数占比和用户标记的骚扰电话号码个数占比。
从骚扰电话的拦截次数看:固定电话的总拦截次数占比最高,达到51.2%;其次为中国联通、中国电信、中国移动的手机电话号码,分别占总拦截次数的26.0%、12.3%和9.9%。400/800电话被拦截的次数占比明显减少,2016年为10.6%,而2017年为0.3%, 其与虚拟运营商电话相同。
从用户标记为骚扰电话的号码个数看,被标记的中国移动电话号码数最多,占比高达48.96%;其次为中国联通、中国电信,分别为16.7%和15.6%;固定电话骚扰标记号码数从去年的第二名,下降到今年的第四名,占比14.6%;400/800电话占比最低,为0.1%。
总体来看,骚扰电话中,固话号码最容易被拦截,但是标准的十一位手机号码的个数是最多的。400/800电话从标记和拦截来看,均表现较好,没有过多的对用户进行骚扰。
四、骚扰电话归属地分布
首先从各地骚扰电话的拦截量上分析,2017全年数据显示,广东省用户骚扰电话拦截次数最多,在全国各地的骚扰电话拦截总次数的占比高达18.7%,其次是北京(10.7%)、山东(6.9%)、上海(5.8%)、四川(5.7%)、江苏(5.4%)、浙江(5.4%)、河南(5.0%)、河北(4.1%)、福建(3.7%)。
下图给出了2017年识别与拦截骚扰电话次数最多的十个城市。从图中可以看出,北京以10.7%的比例位居榜首。排名第二位的是广州,其拦截次数占比为6.3%。其次为上海(5.8%)、深圳(5.5%)、成都(4.3%)、杭州(2.8%)、郑州(2.6%)、武汉(2.3%)、重庆(2.3%)和天津(2.1%)。
其次再以被标记为骚扰电话号码的个数来分析。
2017全年数据还显示,广东的骚扰电话号源最多,在全国各地的骚扰电话号码归属地中的占比高达13.1%;其次是山东与河南,被骚扰电话号码次数占比分别为7.3%、6.7%。
下图给出了2017年中国被用户标记骚扰电话号码数最多的十个城市。图中数字表示该城市被全国用户标记为骚扰电话的号码数占全国骚扰电话号码数量的比例。
2017年北京以5.9%的比例,在全国城市中位居榜首。排名第二位的是上海,其被用户标记的骚扰电话个数占全国的比例为4.1%。第三名是广州(3.8%)、第四是深圳(3.8%)、第五是成都(2.7%)。
第九章:垃圾短信
一、垃圾短信数量与源头
2017年,360手机卫士共为全国用户拦截各类垃圾短信约98.5亿条,平均每天拦截2698.6万条。比较近几年数据,整体呈现快速下降的趋势,从2012年的700多亿,下降到2017年的不到百亿。
2017年各季度拦截的垃圾短信数量见下图,总体来看,各季度垃圾短信拦截量总体呈下降趋势,第四季度有所反弹,为30.5亿条。其主要是与双十一电商购物节、年底商家的各种营销活动频繁有关。
造成垃圾短信数量不断下降的主要原因有以下几个方面:
- 政府和基础电信运营商的持续治理,尤其是近两年来公安部、工信部等部委实施的专项打击行动,对以伪基站为代表的电信诈骗起到一定的震慑作用。
- 短信在即时通信等社交软件竞争下的被依赖程度降低。
- 专业安全厂商不断改进升级,促进手机安全软件智能拦截技术能力得到提升。
统计显示,除了三大基础电信运营商的正常基站可以发短信以外,不法分子利用车载或便携背包式伪基站设备,也可以向周围1km范围内发送垃圾短信。这就是为什么我们在地铁、车站、商场等场所会偶尔发现身边的人怎么和我同时收到相同的短信内容。
根据360手机卫士的统计数据,2017年0.8%的垃圾短信是由伪基站发送的。相比2016年的4%,下降了3.2个百分点。可以说前两年疯狂的伪基站短信基本上已经被遏制住。
二、垃圾短信类型分析
垃圾短信我们一般划分为三大类,如商家发送节假日促销短信的推销广告类、黑心诈骗分子发送虚假冒名顶替的欺诈或钓鱼类,以及不法商贩兜售发票甚至宣扬赌博私刻公章等违法信息类。
通过用户举报的垃圾短信内容分析来看,2017年广告推销类短信最多,占比达98.1%;诈骗短信约占垃圾短信总量的1.2%;违法短信占比0.7%。而2016年诈骗短信和违法短信分别占比为2.8%和4.2%,可见在政府、运营商和安全企业的共同打击下,诈骗和违法短信均出现了下降的趋势。
而对于诈骗短信进行抽样分析,冒充类的诈骗短信最多,第一名是冒充电商(40.5%)、其次是冒充银行/金融机构(37.7%)和冒充运营商(7.9%)。而赌博博彩(6.2%)和虚假购物(2.3%)也占用有一定的比例。
三、垃圾短信地域分布
360互联网安全中心的数据显示,2017年广东地区用户接到的垃圾短信数量最多,占全国总量的17.3%;其次是河南(6.8%)、山东(6.5%)、浙江(6.5%)和江苏(6.4%)。
下图给出了2017年360手机卫士拦截垃圾短信数量最多的十大城市。其中,广州的垃圾短信拦截量最多,全国占比高达8.5%,居于全国首位;其次是北京(5.2%)、深圳(4.4%)、上海(3.3%)、南京(3.2%)。
第十章:2017年手机诈骗典型案例
网络诈骗的方法一直在更新换代,但是万变不离其宗,仔细研究后就会发现有些核心环节都是一脉相承的。所以,对网络诈骗案例的研究能够让我们从中汲取经验教训,从而达到举一反三的效果。为此,我们从2017年的案例中精心挑选出以下案例,为用户讲述骗子的作案手法,帮助用户提升鉴别能力。
一、购物退款诈骗
案例回放1:
2017年2月初,山东省济宁市的张女士接到骗子冒充淘宝卖家的电话,说受害人购买的物品丢失,需要给受害人办理退款,退款金额是用户购买物品价格的数倍,由第三方理赔公司支付。
骗子以降低店铺损失为由,让受害人将理赔公司退款多余的钱退还给他,因受害人是这家店铺的老顾客,出于对“店家”的信任,受害人答应“店家”的请求,帮忙操作,以降低其损失。
因当时退款金额并未到受害人账上,受害人个人账户上的钱不够,骗子要求受害人向招联好期贷和蚂蚁借呗借款1200和44000元。在此期间骗子一直给受害人打电话、发短信,催促受害人转账。当招联好期贷到账后,骗子发送二维码要求受害人转账给他1176元。
因蚂蚁借呗数额较大,到账较慢,受害人发现受骗后,没有再次损失。
案例回放2:
而另一位受害人赵先生,也是接到一个声称是淘宝客服的电话,该“客服”告诉受害人购买的衣服(核对店铺名称、衣服信息正确),因为指标严重超出,淘宝介入调查,需要退款给用户。
询问受害人是否收到此退款,赵先生表示没有后,“客服”说可能是因为赵先生的芝麻信用不够,不能自动退款,该店铺会转给赵先生17000元保证金,以提高芝麻信用额度,等额度提升后,需要赵先生将保证金退还给店铺。
赵先生按照“客服”要求,在支付宝首页输入“招”字,搜索的第一个结果点进去操作后,赵先生的账户上多了17000元,之后,赵先生扫描了“客服”发送的二维码,将17000元转账给了“客服”。
之后,赵先生发现,自己并没有将17000元转账给“客服”,而是转到了点券充值平台,其账户上的17000元,也不是店铺给转的保证金,而是赵先生在“支付宝”平台的贷款(赵先生在按对方操作时,对方完全没有提到贷款二字)。
专家解读
之前冒充电商客服的退款诈骗,是骗子在得到用户的个人信息和购买记录后,以购买物品丢失,损害为由,打电话诱骗用户在自己所发送的链接中输入账户、密码、付款密码,以此来骗取受害人的金钱。
而新出现的骗局,则是骗子货品有质量问题等各种理由,承诺给受害人退款、赔偿,再以转账不通过等理由,要求受害人按照其要求操作,在受害人不知情的情况下,在支付宝等金融机构贷款,再将贷款金额转账给他的方式进行诈骗。
自从2016年下半年开始,退款诈骗利用互联网贷款业务进行行骗已经变为诈骗的新方式,这类骗局最大的特点就是利用受害者不了解最新的互联网贷款业务(只要经过平台设置的身份验证,即可在几分钟内将小额款项打入借款人指定的账号)而透支未来的钱财诈骗。该类诈骗手法,最大的危害就是实现了没钱也能骗,并且给受害者造成沉重的经济负担和精神打击。因为后续可能还要面临每月偿还金融机构贷款,有的受害者甚至被贷款十万、二十万元,如果不能够按时偿还,还将会影响个人征信,而金融机构也会面临坏账等风险。因此这类诈骗手法骗取钱财更多,影响范围更大,危害时间更长。
防骗提示
- 所有来电:“您好,您是x女士/先生么?您在我们的网店购买了xx”,这种多是骗子话术,如有疑问,可以挂断电话后,联系购物网站上的官方电话核实;
- 正规的电商网站都没有所谓的异常处理流程或退款流程,还有类似卡单、掉单等词语也都是诈骗专用术语。退款仅需在订单界面点击退款来办理;
- 切记“我没钱,不怕骗”的心理,谨防骗子利用个人信用进行贷款、预支等行为;
- 填写验证码,要看清验证码办理的业务内容,遇到办理不明业务的验证码,千万不要着急填写,可先了解该业务后再填写。
- 遇到账号资金变化时,请详细看清资金往来情况,不要盲目相信多打款,提高信誉额度充值等话术。
二、骗取付款码刷单兼职诈骗
案例回顾
3月10日,在校大学生小曾在QQ群中看到有人发布兼职消息,只要支付宝有剩余的流动资金就可以进行兼职,刷单立返。
小曾心动后主动添加了对方QQ,与客服沟通过工作内容后,客服要求用户将支付宝付款条形码下面的数字发送给他,完成任务后将提供佣金;于是小曾按照要求将支付宝中付款码的数字28094261411505371发送给了对方,对方要求在发送一遍,因为之前的是失效的,用户再一次生成后的付款码282779473246788892发送了给了对方,后续发现支付宝产生了2笔99.99元的扣款,账单收款方是一家经营炒面的普通商户。
小曾询问对方为什么交易了两笔,客服回答称卡单了,继续向小曾索取付款码。此时,小曾觉得不对劲,可能遭到了诈骗,并质问对方,要求退还本金,但客服称钱卡在平台中,不能进行支付宝转账给用户返款,并承诺第二天处理好之后给用户,并且还继续要求再次提供数字码,但后续小曾没有提供,客服没有给提供答复。
专家解读
随着手机支付扫码越来越普及,手机已经成为了很多用户的“钱包”;扫码付款既简单又方便,我们在与商家的交易中只需要扫描付款的二维码即可完成交易;正因为交易场景简单,很多不法分子也盯上了二维码交易,甚至形成了一整条产业链:
- 冒充兼职客服、淘宝消费者等方式来联系目标用户,伺机套取付款码;
- 通过话术场景来套取付款码,如兼职人员告知用户需要购买商品,只需提供付款码的数字码即可完成;
- 付款码收集者处于整个诈骗环节的第一环,将获得的付款码提供给可兑现的扫码商;
- 付款码支付时针对商家扫描用户二维码(或条形码)来交易时使用,扫码商通过建立商家与用户的面对面支付场景,来完成面对面付款的交易过程;
- 第三方支付对付款码交易有免密交易上限,一般在1000元或100元以下,因此很多交易都是999元或者99元,用户只有在发生交易后才能知道账户已经扣费;
- 在完成扫码交易后,扫码商与付款码提供者往往通过虚拟商品交易平台(游戏点券)进行分成。
防骗提示
- 付款码不管是数字还是付款的二维码,都是用于支付场景,提供给对方就会在自己账户中付款,切记一定要确认收款商家后才可以提供;
- 付款码是用于在面对面商家付款时使用的,一旦有人在聊天或者电话中索要,大多数是有问题,请立刻停止联系;
- 面临好友的转账打款需求,可通过语音辨别、电话确认,避免遭遇冒牌好友损失财产。
三、利用亲密付的退改签机票诈骗
机票退改签诈骗,在去年被多次报道,均是受害者收到短信后,按照要求到ATM机办理,从而上当受骗。但随着ATM转账的新规定,24小时候到账,骗子采用了第三方支付的方式让受害者转账。
2017年5月,狄先生收到了一条短信“尊敬的XXX旅客:您好!您所乘坐的东方航空2017-05-18深圳飞往南昌的U5262次航班因机械故障已被取消,请速电东航客服008617319448682办理退改签业务,您将获得300元的延误补偿。给您带来的不便,敬请谅解!东方航空”由于看到短信上显示的姓名、航班号完全一致,狄先生信以为真,拨通了短信中的客服电话。
虚假的客服告知让程先生使用支付宝办理退款业务,先是给了一个企业账号,但狄先生使用收款功能领取补偿金后,不能进行收款。于是虚假客服让狄先生开通亲密付功能。于是按照虚假客服的要求,添加了骗子的支付宝账号,开通亲密付功能,但没有想到,刚开通后,狄先生就发现支付宝产生了100.10元和500.50元两扣款。此时,狄先生发现被骗,立刻进行报警。
专家解读
机票退改签诈骗是典型的利用个人信息,进行精准诈骗的案例,以前都是通过ATM机进行转账操作,由于ATM机到账有24小时的限制,骗子把转账过程换到了第三方支付平台。并且使用了用户不常使用的亲密付功能。
实际上支付宝的亲密付功能是类似于银行的附属卡功能,有人为亲人、密友开通此功能后,对方在网购消费时,直接从开通者账户中支付,而且不需要开通者确认。目前,“亲密付”的设置额度为100元—20000元。
由于狄先生不太了解这个业务,与骗子开通了亲密付后,骗子盗刷狄先生的金额也就十分容易了。
防骗提示
- 收到类似“航班取消、航班变动、机票退签改签”等内容的短信时,应通过航空公司客服电话、机场客服电话等多方渠道核实,不要盲目轻信来路不明的信息,更不要拨打短信中提供的陌生号码按照对方的要求转账。
- 对于自己陌生的业务,不要轻易开通,尤其是涉及到支付相关业务,一定要了解后再开通
四、“分享”钓鱼网站诈骗
案例回顾
2017年6月7日,大学生小刘在电脑端浏览闲鱼网站官网,并看中了一款二手iPhone手机,但商品特别注明了买家要通过QQ与卖家进行联系。由于价格合适,看着也是比较新的iPhone手机,小刘添加对方QQ,经历了一番讨价还价,最终决定以999元的价格购买该手机。
商谈好价格后,骗子用手机浏览器的分享功能分享了付款网址,由于手机分享的链接无法直接查看域名,好不容易讲好价的小刘还以为自己捡了个大便宜,根本没察觉到异常,毫无警惕地点开了对方发来的链接并付了款。之后,当发现卖家将自己拉黑,且刚刚的付款页面再也打不开时,小刘才意识到受了骗。
专家解读
一般来说,骗子会直接复制钓鱼网址发给用户,而用户根据域名有可能会看出来网站是假的,而这起案例中,骗子没有直接发来钓鱼网址,而是先在自己的手机端浏览器打开钓鱼网址,再利用浏览器的分享功能,把网页分享给用户,这样,用户没法直接看到钓鱼网址而是看到骗子的分享消息,然后点击分享链接,直接付款,导致被骗。
防骗提示
- 在电商网站购物时,使用电商平台官方通信工具沟通,其既可以记录整个交易过程,方便发生纠纷、欺诈时进行投诉,也能拦截非官方虚假钓鱼链接。
- 支付时,仔细看清支付平台网址、付款对象,谨防支付时在钓鱼网站支付。
- 购买二手商品时,明显低于市场价格的商品,要谨慎购买,防止上当。
五、返现购物平台诈骗
案例回顾
2017年5月底,龚女士听朋友说在螃蟹云购购物,最后平台都会如数返还,相当于不花一分钱就能得到商品。于是龚女士于2017年6月2日在手机上下载了一个螃蟹云购app, 下载注册完毕选择自己要买的净水器,价格为:9968元,然后点立即购买输入收货信息和联系方式,点击提交订单选择支付方式,付款成功。
根据螃蟹云购平台的承诺付款后3天起64天会100%全额返到我的螃蟹币账户,8月9日龚女士进入螃蟹云购手机APP确实有看到9968个螃蟹币,申请提现后但款一直没有到账。
这时龚女士再次想打开螃蟹云购APP显示已经封锁,进不去查不到订单。这个时候龚女士感觉到自己上当受骗了。
专家解读
此类购物商城属于一种新型的购物返现骗局,受害者很难对其进行分辨。一般这类平台商品价格高于市场价,承诺消费后冻结资金一段时期就可以拥该商品,并且消费金额全部返还。按照这种模式经营,平台很难盈利,其本质更类似于融资平台,消费者把钱投入平台,过一段时期后进行返还,并且能够得到商品,类似于利息。可能前期购买的消费者可以得到本金及商品,但是随着人数越来越多,一旦平台资金有缺口,就会造成无法兑现承诺,甚至关闭网站而跑路,此时消费者的钱也就永远无法兑现。
防骗提示
- 购物返现属于商家的一种促销、营销手段,但高额的返现或者完全免费得到商品的宣传很大程度上是诈骗活动。特别是比高于市场价几倍购买商品才能返现的平台更要小心;
- 购物尽量选择大型平台选购,不要贪小便宜,以防进入钓鱼网站而钱财两空。
六、双人半价购物诈骗
案例回顾
用户王先生在微信群聊中看到了群友分享了一个微信公众号:双人半价夺宝,称在此平台可赚钱。用户查看后发现此公众号有微信企业认证,自己正好有这个需求,便相信此平台为正规可投资。
平台商城分为20元、50元、100元的商品,有话费充值卡、点券充值卡等不同种类,并且标注的商品价格都是市场价的一半。用户首先需要购买单双数,活动开始后将开奖,如果中奖,可半价购买其商品,如果没有中奖,则支付的款项将无法退回。
用户前期投入了较少的金额,确实有得到回报,在平台的会员群中有越来越多的群友分享自己在此平台的赚钱经验,于是用户想加大投资力度,在运气好的前提下。如果中的多兑换回来也是一笔不小的收入,于是用户前后充值了14000多元购买100元充值卡。
后续用户进行了批量兑换,但只有少量的订单中了,于是用户想要收手,将中了的资金兑换回来,但尝试多次,一直提示兑换失败,联系客服后,客服称兑换金额今日已达到限额,让用户过了12点后重新尝试,后续用户试过之后,还是提示失败,再联系客服时,对方已经删除了好友,这时用户察觉被骗。
专家解读
此用户问题已不同于以往的网络购物,而是升级为一种变相赌博,以购物的形式取代典型赌博的资金投入,投入与回报金额之间相差大。属于一种新型购物诈骗,且受骗用户损失金额巨大这种诈骗手段主要有:
1) 将首批用户顺利发展成为会员,引导其在自己的微信群、QQ群等社交平台进行推广传播,以平台经营正规安全吸引潜在用户,公众号平台也会有企业资质认证,让用户信以为真。
2) 后续以利用高回报,赌运气来吸引用户进行投资,将潜在用户与平台会员添加在一个社交群内,当平台会员分享自己的投资经历时,无形中对潜在用户进行了引导,极大可能发展成为下线。
3) 前期让成功投资的会员尝到甜头,让其坚信此平台正规安全,可长期发展,成为闲时投资赚钱的好去处。当会员们加大投资力度后,想要提现金额时,则会以各种借口理由推脱拒绝,不予处理,从而导致用户损失。
防骗提示
- 不论是一元夺宝或者双人抢购,此类行为目前均已认定为不正规的交易行为,因此请不要再相信任何平台发起的这类抢购活动;
- 对于没有一定资质的公众号,即使是认证的,也要看清相关经营范围,很多都是企业经营范围与实际网站内容不相符的,一定要当心;
- 切不可贪小便宜吃大亏,超过正常市场价格的优惠,背后往往都是不怀好意的商家,一定不要被低价格诱惑;
七、微博高仿号假冒好友诈骗
2017年7月初,小林收到微博“好友”私信,称自己在国外机场转机,还发给小林微博定位,找他帮忙办货物托运手续。小林发现对方的介绍、头像与朋友一样,但发送的私信却是“未关注人消息”,就有点怀疑,追问其是否使用的小号。对方肯定并发了张异地限制登陆的截图让小林相信他就是自己的好友。
接着,对方以国外手机信号不好为由,让小林帮助联系货运代理的张经理了解物托运办理情况。张经理却先让小林缴纳托运费,并称由于汇率不稳必须从国内转账。小林微博告知了好友,两人商量后决定让小林先垫付托运费,小林就给货运代理公司的银行账户转去6920元。
没想到“朋友”又说还有两只宠物狗要托运,小林讯问后得知狗只能加仓,还要支付4800元加仓费,小林这才如梦初醒,意识到自己上当了,赶紧报警。
专家解读
此前假冒好友诈骗都是以QQ、微信等社交软件盗号诈骗为主。而微博高仿号诈骗由于少见,大家警惕性不高。此外,由于犯罪分子专门研究目标受害者社交习惯等信息,实施精准诈骗,高仿的微博账号也很难辨别,用户很容易上当。
骗子首先潜伏到受害者微博中观察人员关系及聊天内容,然后通过更改头像、昵称创建高仿号,假冒受害者微博好友,且通常冒充的用户都是在国外,并以目前只能微博联系为借口,防止受害者通过其他渠道进行身份核对。然后寻求帮助购买机票、办理货物托运等借口让其联系国内的所谓代理商,一旦受害者相信骗子,骗子就会利用国际转账业务延时的借口让帮忙付款,从而进行诈骗。通常这类诈骗受害者被骗去几千元到几万元不等。
防骗提示
- 目前网络应用发达,不存在只能上一种社交工具,而其他都用不了的情况,遇到转账需求,请通过其他渠道进行核实。尽量采取实时通话的形式了解好友身份;
- 国际转账延时到账、国外不能直接办理国内业务均是骗子的借口,不要相信;
- 如果发现自己已经上当,请及时停止后续的交易,以免损失更多的钱财。
八、清理微信僵尸粉诈骗
案例回放
近期,微信上经常会收到“免费帮你清理微信僵尸粉”的信息,或是“我在清理微信好友,一清吓一跳”的朋友圈吐槽。很多人点开了信息中的附带链接,按照对方说的步骤清理僵尸粉,结果可能会出现微信号被盗、好友信息被窃取,甚至手机会中木马病毒等严重后果。
首先,点击链接,关注公众号以后,你会收到自动推送消息,引导你联系客服进行清理。
添加人工客服后,对方会对清理步骤做简单介绍或发送教程视频,查看步骤后,需要回复确认是否清理。
待确认清理后,客服会发送一个临时二维码。此二维码不能直接识别,需要将它发送至其他手机或用其他手机拍照,再进行识别。
识别二维码,你的手机就会收到以下界面,经常使用电脑登陆微信的人们都知道,这是电脑登陆手机微信的确认界面,也就是确认登陆后,对方的电脑可以直接登陆你的微信!对方用你的微信开始群发消息,筛选僵尸好友。
专家解读
用这种方式清理好友,存在很多弊端!
- 用这种方法清理好友,会陷入尴尬扰人的循环之中。今天你用这种方式给朋友发送信息,就形成了对朋友的无端骚扰。而如果朋友也点击链接,也用这样的方式进行,那么不久你又会收到信息被骚扰.....就这样,会时不时看到这样的消息。
- 你的手机可能会中木马病毒。微信好友发送的“清理僵尸粉”信息中的链接,很有可能是手机病毒。
- 微信号可能会被盗。如果你点击了消息中的链接,微信可能会出现闪退、无法正常登陆的问题。
- 如果你的微信有银行卡绑定,在点击链接时,经专业黑客破解了支付密码后,钱财也将遭受损失。
- 如果骗子借清理僵尸粉为由,在电脑上登陆你的微信,就可以直接用你的微信号,以生病、出车祸、急用钱等各种理由向你的朋友群发信息进行诈骗
- 对方可以通过你的微信群发色情信息,这样不但对自己造成不良影响,还会使你涉嫌传播色情信息,一经举报核实,微信号还会被封。
- 如果骗子群发了带有病毒的链接,会将你的好友置于上述风险之中,形成“循环骗局”。
防骗提示
- 保护好个人的社交账号,尤其保护好账号密码及不要让他人登录你的账号。
- 遇到社交软件发来的链接,不要轻易点击。如果是下载安装软件,可通过大型的应用商店下载安装,不要直接点击安装链接里面的应用。防止安装上山寨程序、恶意程序。
- 不要相信所谓的网络黑客找到应用漏洞、或者开发的外挂软件。
- 在社交软件中收到朋友发了的转账、代付等涉及到财产信息时,最好通过其他渠道联系朋友进行确认核实,谨防盗号诈骗。
九、兼职诈骗-微信朋友圈广告
近日,朋友圈开始流行入会发广告轻松兼职的项目。
只要预缴200元会费,每天在自己的微信朋友圈里转发推荐信息,每天就能够拿到20元的返还工资,按照这样一个说法,这种投资,只要10天,就能轻松回本。
除了入会金额和公众号可能不同,但手段都是一样的!看完是不是心里“咯噔”一下,如果家里的老人或孩子遇到了这样的骗子,真说不定就会上当受骗!
专家解读
虚假兼职类诈骗是猎网平台举报类型最多的诈骗,其主要利用高薪、低门槛、简单轻松赚钱为借口,吸引受害者参加。
最近流行在朋友圈分享广告的案例,就是一种很典型的诈骗方式,看上去不用浪费太多时间,只要把相关的广告转发到朋友圈,就可以轻松赚上几十元,其实幕后就是拉你进入所谓的兼职群,缴纳会员费。通常这类诈骗不仅先要收取小额会费,后期还会索要押金、保证金、vip会员费等,如果相信了骗子所说的话,被骗金额可达上千元。受害者一旦发现了上当受骗,骗子就马上拉黑,消失的无影无踪。
防骗提示
- 所有那些宣称技术门槛低,工作轻松但又赚钱很快的工作,都是诈骗。
- 不要相信所谓的会员费、审核费等费用,兼职工作中如果需要缴纳此类费用,绝大多数是诈骗。
- 如果发现自己已经上当,请及时停止后续的交易,以免损失更多的钱财。
十、美女微商的跨国恋诈骗
案例回放
2017年6月,国外生活的蔡先生微信上突然来了个新朋友,其备注是福建南平的微商,看对方的头像是位“美女”,蔡先生就通过了好友申请,开始和她聊天。
对方称自己为了减轻父母经济负担,通过微商卖茶叶赚钱,但最近有批货被滞压,20号内不出手就会赔钱,希望好心人买点茶叶帮帮她。被“小妹”的“孝心”感动,蔡先生出于同情的买了两斤茶叶,给她转了980美元,“小妹”还感动的说会附赠一斤茶叶。
此后,“小妹”和蔡先生经常聊天,两人关系越来越暧昧,让蔡先生一度认为他们有真感情。一次,“小妹”称要去美国看蔡先生,但机票太贵,希望他可以出钱订机票。蔡先生迟疑了,但之后与“小妹”聊天,蔡先生又忍不住给她微信转了一笔3150元和一笔5200元人民币的买机票钱。结果,收到转账的“小妹”却立刻将蔡先生拉黑,这时蔡先生终于意识到被骗,赶紧报警。
专家解读
其实,类似假冒美女通过社交平台实施诈骗的事件早已屡见不鲜。从假冒美女找男朋友到利用“美女身份”引诱网友付款裸聊再到冒充漂亮妹子吸引推荐网友买期货、股票……骗子们采取的手段不断推陈出新,但其套路基本不变,都是用美女头像,用女性口吻跟用户聊天,慢慢与用户发生暧昧关系,利用用户男性心理和同情心,以各种借口让用户不断转账。许多网友缺乏网络安全意识,难以抵抗所谓的“美女”诱惑,往往容易跳入骗子的陷阱,人财两空。
防骗提示
- 无论在什么社交平台上,都要谨慎添加陌生好友;
- 不要被陌生好友表象所欺骗,头像、说话语气都是可以假扮出来的;
- 如果对方提到转账汇款,无论以什么样的理由,都要坚决不听不信不转账。
十一、朋友圈“免费”的连环陷阱
案例回放
2017年8月底,绣绣在朋友圈看到一条消息称“免费送一米六抱抱熊和银手镯”,瞬间被吸引,于是点进去查看,对方让先加微信再领取赠品。于是绣绣加了对方的微信,对方让她发来收货地址和电话,说手镯是免费送,但是抱抱熊需要付邮费,还让她选择手镯的款式和抱抱熊的颜色并截图发过去。最后绣绣出于对邮费的怀疑,只选了免费的手镯。
三天后,绣绣收到了手镯,但是快递说需要付邮费29元,她心想既然都送来了,邮费也不多,就给了吧。结果打开快递后,发现快递盒子里除了手镯还有一张刮刮卡,她刮开刮刮卡后,惊喜地发现自己中了二等奖,奖品是一部手机。
被“中奖”冲昏头脑的绣绣赶紧联系对方问怎么领取手机,对方说手机是免费的,但是手机要从香港总公司发货,需要支付69元保价费。她想,只要69元就能拿到手机了,这样的好事绝不能错过,可是给对方付款后,对方又说如果是空运需要再支付100多元,并承诺连着之前的抱抱熊一起发过来。这时,绣绣虽然对这些款项有所怀疑,但禁不住诱惑又给对方转了100多元。结果绣绣前后总共被骗300多元,只收到了一副假手镯。
专家解读
此骗局环环相扣,先是骗子在朋友圈发布免费赠品,吸引用户加微信,在聊天过程中避重就轻,用免费赠骗取用户收货地址,待用户收到快递得知要收快递费并且跟赠品价格比不多时,很多人会选择给快递费。
在接下来的诈骗中,骗子首先让受害者收到物品中藏有刮刮卡,假装让其中奖,由于受害者收到了第一次快递,对骗子增加了信任,且由于中奖,容易被喜悦的心情冲昏头脑,更加相信自己中了手机。此事骗子再利用收手机需要空运费,保价费等借口进行二次诈骗。
总之,骗子都是利用人们贪图小便宜的心理,一步一步引诱用户掉入陷阱。
防骗提示
- 免费赠的东西要谨慎,不要贪图小便宜;即使是正规商家赠送礼物,都是带有一定营销目的的,不会白白赠送。一定要了解活动的目的和自己将要付出的成本;
- 警惕要交各种费用的活动,不要相信天上掉馅饼的事;
- 即使是完全免费的活动,也要小心泄露了自己的个人信息,特别是需要填写个人隐私及财产相关账户信息的活动,都要小心谨慎参加;
- 不向任何人透露自己的密码或者短信验证码信息,如果需要在网站上进行填写,要认证是否是正规网站,谨防钓鱼网站获取信息,从而进行盗刷。
十二、微信红包诈骗
案例回顾
2017年8月,在微信朋友圈流传起来一个 “战狼2票房剑指60亿,庆功午宴,撒钱啦,我刚刷到了XX块”的信息。
点进去一看,要先手动上滑抽红包,每次三十秒,共三次红包抽取机会,很简单的就可以得到几十元的现金红包。
抽到红包后,想要领取,要先分享到3个群,再分享到朋友圈。
当你以为可以拿到红包的时候,又会弹出一条消息说分享失败,请重新分享到朋友圈。再次分享后,就会发现其实最后一次分享的是一条广告。做了这么多工作,如果真的能领到几十元红包倒也不错,可是网页最终提示:红包会在48小时内存入您的钱包,请保留朋友圈24小时。通过一系列的努力,你只是帮助别人发了一次广告,而所谓的红包也不会真的到你的账号中。
专家解读
其实这根本不是真的发红包,而是假冒“战狼2”剧组的名义发红包,让广大网友帮他打广告!甚至在点击抽取iPhone 时,又会弹出另一个链接让你填写个人信息领奖,从而造成信息泄露或者再次进行中奖诈骗。其实这种诈骗是有固定模板的,比如10G全国通用流量任性送,任何点击都会收到领取500M甚至1G流量的提示,然后依然是分享到朋友圈才能得到,而之后又是熟悉的抽奖提示。这类诈骗基本上每次换一个热门话题,再PS上新的相关图片就制作完毕,然后就投到朋友圈中进行传播。
防骗提示
- 在微信抢现金类红包,应该是用户获取微信红包后自动存入微信零钱,再由零钱进入银行卡,绝对不存在需要用户填写姓名、电话、身份证号等要求,如有以上要求一定是假红包;
- 如果是优惠券类的红包,要仔细查看商家的真实性,正规企业通常会要求你输入手机号或账户名进行领取,不会让你填写密码、银行卡等账号信息。如果遇到一定是虚假的钓鱼网站;
- 红包的本质是商家的优惠活动,不可能存在大金额的,并且特别容易就得到。如果遇到基本可以判定为诈骗。
第十一章:手机安全趋势分未来析
一、具备自动化和对抗能力的恶意软件工厂不断涌现
2017年,BlackHat的议题《AVPASS: Automatically Bypassing Android Malware Detection System》[28]引发业内关注,这是首次在国际黑客会议上公开的,关于自动化探测安全软件规则工具的集合介绍。
AVPASS是一个可以探测Android杀毒软件的检测模型,并结合探测到的信息和混淆技术构造特定APK来绕过杀毒软件检测的工具。AVPASS不仅可以推测出杀毒软件使用的特征,而且可以推导出其检测规则,因此,(理论上)它可以自动的变形APK,使得任何杀软将一个恶意APP误认为一个正常APP,即免杀。
AVPASS检测模型
AVPASS实现了自动化免杀,这种技术已经衍生出多种类型软件的一键生成器,比如广告软件和勒索软件。
恶意广告(左)和勒索软件(右)一键生成器
在2016年我们发布的《ANDROID逃逸技术汇编》报告,报告汇总了60多种恶意软件对抗检测的手段。由此可见,恶意软件与检测手段的对抗从未停止,恶意软件工厂取代了人工繁琐的代码编写、编译过程,进一步降低了制作门槛,不仅生成速度变快,并且能够根据需要进行定制,这种恶意软件生产模式必将成为未来的发展趋势之一。
二、恶意挖矿木马愈演愈烈
2017年最疯狂的莫属电子货币,以比特币为代表的电子货币,年内单价突破了2万美元,随着电子货币价格暴涨,针对电子货币相关的攻击事件也越来越频繁。
今年5月,以比特币为勒索目标的WannaCry[29]勒索病毒全球大爆发,至少150个国家、30万名用户中招,造成损失达80亿美元,已经影响到金融,能源,医疗等众多行业,造成严重的危机管理问题。中国部分Windows操作系统用户遭受感染,校园网用户首当其冲,受害严重,大量实验室数据和毕业设计被锁定加密。部分大型企业的应用系统和数据库文件被加密后,无法正常工作,影响巨大。
而在移动平台上,从2013年开始至2018年1月,360烽火实验室共捕获Android平台挖矿木马1200余个,其中仅2018年1月Android平台挖矿木马接近400个,占全部Android平台挖矿类木马近三分之一。
相比PC平台,移动终端设备普及率高,携带方便,更替性强,因而安全问题的影响速度更快,传播更广。然而,移动平台在挖矿能力上受限于电池容量和处理器能力,并且在挖矿过程中会导致设备卡顿、发热、电池寿命骤降,甚至出现手机物理损坏问题,就目前来看移动平台还不是一个可持续性生产电子货币的平台。
今年曝光的Android挖矿木马事件,初步显示应用盈利模式由广告转向挖矿,门罗币成为挖矿币种首选以及攻击目标向电子货币钱包转移成为Android平台挖矿木马的演变的三大趋势。挖矿和勒索成为2017年两大全球性的安全话题,2018年将会继续延续。
三、公共基础服务成为恶意软件利用的新平台
今年恶意软件使用的新技术中,出现了利用Telegram软件协议和VA应用多开技术,在早期还出现过恶意软件还使用了Google的GCM推送服务以及第三方消息推送服务,这些公共基础服务、开源代码被恶意利用,成为恶意软件的新平台。
以使用Telegram软件协议服务和Google的GCM服务为例,需要恶意作者申请自己唯一的ID,进行指令控制时仅通过ID来区分,访问的都是服务提供商的服务器,并不是恶意软件作者自己的服务器,从而避免了通过C&C追踪溯源。
而在使用VA应用多开技术时,也可以实现对公共基础服务的恶意利用。恶意软件不但在Manifest中声明的权限和组件结构、数量上基本相似,又常以子包形式加密存储在VA内,主包代码特征也表现一致,在检测引擎扫描时使用VA的样本引擎无法识别,从而绕过杀软静态检测。
综合来看,公共基础服务被恶意利用,一方面,是由于这些基础服务提供了简便易用的接入方法,使得恶意软件方便快速的接入;另一方面,恶意软件利用这些基础服务,能够实现绕过检测、躲避跟踪溯源。
四、脚本语言成为恶意软件新的技术热点
脚本语言具有跨平台、配置灵活简单特性,方便开发者增强应用体验效果。但同时,也为恶意软件躲避查杀提供了便利。2017年我们发现了三种利用JavaScript脚本语言实施恶意行为的隐蔽方式。
第一种是利用JavaScript模拟点击刷网页、广告流量。我们在《移动平台流量黑产研究——流量作弊与流量泡沫》报告中,以某个渠道近一周的数据为例进行抽样分析,恶意软件每30秒完成一次刷量行为,据此每个受害用户的手机每天能产生2880次虚假访问,最近一周产生的虚假访问总数为1.8亿次。按照每千次10元到20元的收费标准,最近一周能为该渠道创造185万元的收入。
某恶意软件使用的JavaScript模拟点击脚本
第二种是利用JavaScript私自发送短信,我们在《Expensivewall家族变种再现Google Play》报告中发现Google Play上存在Expensivewall恶意家族变种。该家族运行原理是先根据getSimCountryIso获取到的国别码获取不同的广告URL;其次,通过webview方法加载的含有JavaScript脚本的广告页面;最后,在打开的广告展示页面上,点击关闭按钮×时触发发短信操作。
Expensivewall使用JavaScript脚本发送短信
第三种是利用JavaScript进行挖矿,Coinhive提供的灵活方便的JavaScript API,在网页中调用Coinhive官网中的JavaScript文件coinhive.min.js并指定一个唯一的标识符即可。
Coinhive提供的JavaScript API[30]
以上这三种隐蔽方式,展现了一种新的恶意软件发展的新趋势。由于这种方式不依赖与核心代码,在软件动态运行时才会触发调用,给安全软件检测提出了更高的要求和挑战。未来在脚本语言的检测防御上,各个安全厂商应该提高重视程度,提供更加全面的安全防护模式。
官方 