2020年Android平台恶意样本整体态势分析报告

2020年 Android平台安全态势分析报告 奇安信威胁情报中心移动安全团队 2021.2 主要观点  2020年奇安信威胁情报中心累计截获Android平台新增网银盗号木马样本约20万个，针对全球金融行业的攻击依然是攻击者的主要目标之一。  从全球范围来看，移动互联网的安全治理相对薄弱，特别是网银盗号木马依然泛滥，呈现出种类繁多、手段多样等特点，对用户财产威胁严重。而相比之下，国内的移动互联网安全治理更有成效，整体安全环境明显好于全球，特别是网银盗号木马等传统移动安全威胁，在国内已经比较少见。  2020年，AdbMiner挖矿木马家族攻击活跃，在全球范围内攻陷数以万计的物联网设备，国内被攻陷的物联网设备数量也接近千级。鉴于物联网设备越来越多，物联网安全事件对物联网的设备的影响量也越来越广。  由于物联网设备也普遍以Android系统为基础，且物联网设备的安全防护水平普遍不及智能手机，因此，随着用户身边的物联网设备越来越多，物联网设备被攻陷的风险也在日益增加。针对Android系统的安全研究，必须把物联网设备考虑在内。  2020年国内依然有多条黑色产业链持续活跃，对用户的隐私、财产安全威胁严重。其中，山寨网贷、裸聊勒索、诱惑视频、刷量广告、黑卡、群控、棋牌私彩最为突出。 摘 要  2020年奇安信威胁情报中心累计截获Android平台新增恶意程序样本230万个，平均每天截获新增恶意程序样本6301个。其中，恶意扣费类占34.9%、资费消耗类占24.2%、流氓行为类占22.8%、隐私窃取类占12.3%、诱骗欺诈类占4.3%、远程控制类占1.5%。  2020年国外出现众多针对金融行业的网银盗号木马，而国内出现少量的网银盗号木马对用户资产造成威胁。  2020年老牌挖矿家族AdbMiner针对物联网设备的攻击活动比较活跃，木马通过特定端口持续感染不安全的物联网设备实施挖矿来获取收益。有关监管机构通过微信公众号发布预警消息，警示充电宝木马再次来袭。  2020年山寨网贷黑产通过伪冒正规网贷APP对民众资产以及个人信息造成严重威胁。  2020年裸聊勒索黑产利用社会工程学引诱男性受害者下载安装裸聊木马并引诱其进行裸聊，然后通过木马窃取受害者裸聊视频并对受害者进行威胁恐吓来获取钱财。  2020年诱惑视频木马通过伪冒色情APP引诱用户购买VIP来骗取钱财，但并不提供任何完整色情视频。  2020年刷量广告黑产通过对热门APP二次改包的方式来注入广告模块并将广告收益人指向自己。  2020年新型黑卡产业通过木马远程控制受害者设备的方式，将受害者的设备作为自己的基础设施来向下游黑产人员售卖服务进行收益。  2020年群控黑产继续发展，通过最新云控来登录大量虚假账户，然后通过注册水军等多种方式获取收益。  2020年棋牌私彩黑产继续通过盗版视频推广、群推广等多种渠道推广木马程序，引诱受害者进行赌博并通过木马程序控制赌博结果来骗取受害者钱财。 关键词: 移动安全、金融、流量、网银盗号木马、黑色产业链、挖矿、物联网设备 目 录 第一章 Android平台恶意样本分析 ............................................. 1 第二章 金融类Android木马攻击分析 ........................................... 2 一、 全球网银类木马流行趋势 ................................................ 2 二、 针对国内金融机构的仿冒木马 ............................................ 3 第三章 物联网Android木马攻击分析 ........................................... 6 一、 挖矿木马 .............................................................. 6 二、 充电宝木马 ............................................................ 6 第四章 移动平台黑产活动监测................................................. 8 一、 山寨网贷 .............................................................. 8 （一） 山寨网贷诈骗模式 ............................................... 8 （二） 山寨网贷APP态势 ............................................... 8 二、 刷量广告 .............................................................. 9 （一） 刷量广告黑产分析 .............................................. 10 （二） 刷量广告样本态势 .............................................. 11 三、 棋牌私彩 ............................................................. 13 （一） 棋牌黑色产业链分析 ............................................ 13 （二） 棋牌私彩APP分布态势 .......................................... 15 四、 诱惑视频 ............................................................. 15 （一） 诱惑视频产业链分析 ............................................ 15 （二） 诱惑视频木马样本态势 .......................................... 16 五、 裸聊勒索 ............................................................. 17 六、 黑卡 ................................................................. 18 七、 群控 ................................................................. 20 第五章 安全建议 ........................................................... 22 参考资料 ................................................................. 23 附录A 奇安信威胁情报中心移动安全团队 ...................................... 24 附录B 奇安信移动产品介绍 ................................................. 24 1 第一章 Android平台恶意样本分析 2020年奇安信威胁情报中心累计截获Android平台新增恶意程序样本230万个，平均每天截获新增恶意程序样本6301个。2020年全年共有三个月爆发较大规模的新增恶意程序样本，分别是位于上半年的4月（34.6万个），下半年的10月（43.6万个）和11月（45.2万个），累计共占全年新增恶意程序样本的53.7%。其中在爆发最高峰的10月和11月，这两个月的恶意样本占比高达70%以上，是最低峰6月的4倍。2020年Android平台各月新增木马数量见下图。 2020年移动端恶意样本类型主要为恶意扣费(占全年移动端恶意样本的34.9%)，其次是资费消耗(占比24.2%)、流氓行为(占比22.8%)。可以看到，大半的移动恶意程序是直接冲着用户“钱包”来的，切实关系到用户直接的经济损失。 2 第二章 金融类Android木马攻击分析 国内外的Android应用安全环境存在很大的不同，世界各个不同地区的流行Android木马，其攻击目的、攻击方式、伪装方式也有很大的不同。研究和追踪全球木马流行趋势，对于我们做好国内的安全“免疫”工作，具有很重要的参考价值，也是威胁情报分析的核心工作之一。所以，在分析国内Android木马流行趋势之前，我们首先对国外的Android木马流行趋势做一个基础分析。 一、 全球网银类木马流行趋势 2020年奇安信威胁情报中心累计截获Android平台新增网银盗号木马样本约20万个，其中TOP5的网银盗号木马家族样本多达近16万个。 在TOP5全球网银盗号木马家族中，最“耀眼”的当属Anubis和Ceberus，其除了仿冒数百款国外银行应用进行攻击外，还在疫情期间借助疫情诱惑、吸引受害者。2020奇安信威胁情报中心疫情期间分别对其展开了披露，提醒广大移动互联网用户谨防中招。 网银盗号木马常常伪装成其他应用程序诱骗用户下载安装。监测显示，Chrome(23.7%)、佐川急便(8.2%，日本流行的快递应用)、Flash Player(4.7%)是被伪冒量最多的应用。下图给出了被国外网银盗号木马仿冒最多的10类应用程序。TOP10排名见下图。 3 Chrome浏览器是国外用户手机上一款常用的APP，国外用户对该APP的信任程度较高，故攻击者们常将其作为仿冒的主要目标。另外，攻击者们也会出于某些目的将目标瞄准特定地区，如针对日本地区的佐川急便，针对土耳其地区的Sistem Güncelleştirmesi(系统更新)，针对韩国地区的KB저축은행(KB储蓄银行)，针对俄语地区的ВТБ Онлайн(VTB在线)、Одноклассники(Odnoklassniki)等。 分析显示，在国外，流行的网银盗号木马主要通过以下四种技术方式来实现盗取用户银行卡凭证信息。 1) 利用钓鱼页面 例如，Chrome浏览器具备绑定银行卡的功能，所以木马伪冒Chrome在启动的时候弹出银行卡绑定页面诱骗用户输入银行卡凭证。 2) 伪冒银行APP 仿冒合法网银APP软件的木马程序，会在用户登录时要求用户输入个人信息以及银行卡凭证进行窃取。 3) 弹出钓鱼页面覆盖银行APP 木马一经安装启动就会在桌面上消失，躲藏在后台默默运行，等待用户启动正常银行APP时弹出钓鱼页面覆盖银行APP的页面来诱骗用户输入银行卡凭证进行窃取。 4) 利用无障碍服务 木马启动后要求用户开启Android系统为残障人士提供的无障碍服务来监听用户使用银行APP情况，木马还会记录键盘输入信息来进行窃取银行卡凭证。 二、 针对国内金融机构的仿冒木马 4 国内网络监管审查相比国外更加严格，移动互联网治理工作更有成效，拥有较好的大环境。研究发现，在国内，仿冒其他应用的网银类木马数量要比国外少得多。2020年，奇安信威胁情报中心共在国内监测伪冒正常应用的网银盗号木马近百个。其中主要以伪冒各大银APP、伪冒安全软件以及银行相关APP为主。具体分布见下图。 2020年10月份，我们捕捉到一个国内网银盗号木马新家族“BYL”，该家族会伪装成国内数家知名银行APP。该家族木马通过获取用户银行卡凭证、个人信息来盗窃用户财产。奇安信威胁情报中心大数据统计，该样本于2020年7月至10月中旬首次爆发，至少在国内31个省级行政区的用户手机上进行传播，感染总设备多至2000台左右，其中